Embed Size (px)
DESCRIPTION
INFORMATIZACIJA POSLOVANJA. pred. mr. sc. Tatjana Listeš, dipl. inž. [email protected]. Tatjana Listeš Materijali: Skripta: Klasić K. : ” Informatizacija poslovanja ” , Veleučilište u Splitu, Zagreb, svibanj, 2002. Predavanja: http://moodle.oss.unist.hr/. - PowerPoint PPT Presentation
Citation preview
Tatjana Listeš
Materijali:
Skripta:Klasić K.:
” Informatizacija poslovanja” , Veleučilište u Splitu, Zagreb, svibanj, 2002.
Predavanja:http://moodle.oss.unist.hr/
8. SIGURNOST I ZAŠTITA INFORMACIJSKOG SUSTAVA
8.1. I RAZINA ZAŠTITE IS8.2. II RAZINA ZAŠTITE IS 8.3. III RAZINA ZAŠTITE IS
Rizik informatičko/internetske tehnologije je opasnost da njezina primjena dovede do neželjenih posljedica (šteta) u organizacijskom sustavu i/ili njegovoj okolini.
Do zloporabe uglavnom dolazi iz dva razloga: radi ostvarivanja neopravdanih ili protupravnih koristi od strane pojedinaca ili organiziranih skupina ili radi nanošenja materijalne ili nematerijalne štete pojedincu, skupini ili zajednici.
Najugroženiji su informacijski sustavi iz kojih se može pristupiti Internetu, jer je i sam Internet izuzetno ugrožen.
Rezultat istraživanja tvrtke Computer Security Institute o razini kriminala samo u San Franciscu 2000. god. dalo je sljedeće rezultate: • 273 poslovna sustava su prijavila 2000. godine napad na
svoje baze podataka, a izravna šteta iznosi 265 589 940 $ • 90 % poslovnih subjekata i vladinih institucija smatrale su da
je povećan broj napada i provala sustava zaštite tijekom posljednjih godinu dana, od čega − u 70 % napadi virusa, krađe putem računala ili pokušaj
napada na podatke − u 74 % slučajeva prijavljen je i financijski gubitak kao
posljedica prodora u računalni sustav − u 42 % slučajeva bilo je moguće kvantificirati financijski
gubitak.
Istraživanje o elektronskom poslovanju korištenjem Interneta u Evropi u 2000. godini pokazalo je da:
• 93 % tvrtki ima web stranice
• 43 % koristi neki oblik elektroničkog poslovanja
• 19 % ima problema s uočavanjem i otklanjanjem neovlaštenog pristupa
• u 32 % tvrtki nisu upoznati s ograničenjima u smislu neautoriziranog pristupa
• u 35 % slučajeva utvrđen je identitet napadača ali je procesuirano svega 2-5 incidenata
• u 19 % tvrtki prijavljeno je 10 ili više incidenata
• 64 % tvrtki pretrpjelo je štete od napada na web stranice ili preko web stranica
• u 60 % prijava navedena je nemogućnost rada i korištenja poslužiteljem zbog posljedica napada na informacijski sustav itd.
Najčešći oblici zloporabe informacijske tehnologije u praksi su:
• zloporaba inače legalnih ovlasti korisnika opreme,
• napadi tzv. hakera,
• računalni virusi,
• ilegalni fizički pristup opremi i podacima,
• djelomično ili potpuno onesposobljavanje opreme,
• krađa opreme,
• modifikacija opreme,
• ugrožavanje privatnosti korisnika informacijskog sustava,
• ometanje normalnog rada opreme,
• neovlaštena uporaba opreme,
• softversko piratstvo odnosno neovlašteno korištenje i distribucija računalnih programa i povreda autorskih prava,
• fizički napadi na osoblje informacijskog sustava.
Rizik zloporabe nije moguće u potpunosti spriječiti, ali ga je moguće minimalizirati poduzimanjem općih preventivnih mjera:
• zaštita tajnosti podataka pohranjenih na računalnim memorijskim medijima, pri čemu je najpouzdanija enkripcija
• kontrola vrste ostvarenih veza s ostalim subjektima na Internetu,
• zaštita privatnosti pojedinca,
• zaštita od prijevara u poslu,
• zaštita od obasipanja neželjenim porukama,
• zaštita tajnosti enkripcijskih i identifikacijskih ključeva
• redovito provjeravanje postojanja neka vrste "zloćudnog" koda (računalni virus ili crv) koji se u pravilu lijepi na računalni program kako bi preuzeo kontrolu pri njegovom sljedećem izvođenju,
• razviti u tvrtkama odgovarajuću sigurnosnu politiku i primorati sve djelatnike da se pridržavaju njezinih odrednica.
Osim preventivnih mjera provodi se i fizička zaštita informacijskog sustava, koju čine:
• kontrola nenamjernog i namjernog ugrožavanja fizičke imovine informacijskog sustava (od prirodnih nepogoda, požara i zlonamjernih aktivnosti), u što su uključena računala i ostala oprema,
• kontrola zlonamjernog ugrožavanja logičke imovine informacijskog sustava odnosno diskova, medija, podataka na računalu,
• provođenje mjera zaštite pristupa informacijskom sustavu kroz:
− aktivnosti identifikacije korisnika koja se provodi putem lozinke (engl. Password) korisnika, i
− aktivnosti provjere ovlaštenosti (autoriziranosti) korisnika koja se obavlja programski, na temelju unaprijed definiranih parametara za svakog korisnika.
Mogu se definirati tri osnovne razine organizacije sigurnosti i zaštite informacijskog sustava:
I razina, na kojoj se uklanjaju rizici fizičke naravi uvođenjem sljedećih postupaka:
• kontrola fizičkog pristupa opremi i prostorijama s računalima,
• protupožarna, protupotresna, protupoplavna zaštita opreme i podataka,
• osiguranje neprekinutog napajanja računala električnom energijom,
• zaštita od prljavštine, prašine, elektrostatičkog naboja,
• redovita izrada zaštitnih verzija podataka (engl. Backup).
II razina, na kojoj se uklanjaju rizici moguće zloporabe informacijskog sustava ili neovlaštenog pristupa podacima, a temelji se na fizičkoj i logičkoj identifikaciji korisnika te dodatnim provjerama ovlaštenja u pojedinim koracima obrade podataka.
III razina, koja je usmjerena na osobito važne i vrijedne podatke i informacije u sustavu, na očuvanje njihove tajnosti i sigurnosti, a temelji se na kriptografskim metodama.
Imovina firme smatra se sigurnom onda kada su gubici za koje se očekuje da će nastati u nekom određenom vremenskom razdoblju na nekoj prihvatljivoj razini.
Temeljne pretpostavke sigurnosne kontrole su:
• Pretpostavlja se da će sigurno doći do gubitaka jer je sve opasnosti koje mogu ugrožavati sustav ili nemoguće ili preskupo izbjeći
• Pretpostavlja se da firma ima unaprijed određenu razinu prihvatljivih gubitaka odnosno da se točno zna koliko je spremna potrošiti na uspostavljanje i provođenje sigurnosnih kontrola
• Pretpostavlja se da će do gubitaka doći u određenom vremenskom razdoblju i samo za njega se određuje ukupan mogući iznos prihvatljivih troškova
8.1. I razina zaštite IS
Sigurnosna kontrola pokriva:
• kontrolu nenamjernog i namjernog ugrožavanja fizičke imovine informacijskog sustava,
• kontrolu zlonamjernog ugrožavanja logičke imovine informacijskog sustava
• zaštitu fizičke i logičke imovine informacijskog sustava od požara, udara groma, poplave i ostalih opasnosti
Fizičku zaštitu čine sredstva i procedure koje se koriste za zaštitu fizičke imovine poduzeća s ciljem prevencije i ograničavanja mogućih šteta, te za uspostavljanje sigurnog radnog okoliša za zaposlenike.
Vanjski rizici kojima može biti izložen informacijski sustav
Unutarnji rizici kojima može biti izložen informacijski sustav
S obzirom na visoku cijenu zaštite sustava kriteriji kojima se mjeri učinkovitost postavljenih zapreka su:
• potrebno vrijeme i troškovi za njihovo probijanje,
• brzina otkrivanja pokušaja provale,
• točnost lociranja i identificiranja prijetnje i provalnika, neometanje drugih mjera zaštite i redovitog poslovanja,
• transparentnost za ovlaštene osobe.
Često se događa da preoštre mjere zaštite ometaju redovan rad sustava, pa se onda od njih nakon nekog vremena u potpunosti odustaje.
Zaštiti fizičke imovine informacijskog sustava različito se pristupa ako se radio o:
• računskom centru
• opremi koja se nalazi distribuirana u poslovnim prostorima poduzeća.
U većim poslovnim sustavima zaštita fizičke imovine informacijskog sustava određena je posebnim pravilnikom o zaštiti informacijskog sustava. Ponekad su u nj uključeni i elementi zaštite logičke imovine, no u tom području odredbe o postupanju propisuju i nadziru informatičari - specijalisti za sigurnost podataka i sustava. U pravilnik o fizičkoj zaštiti obično se uključuje i manipuliranje magnetskim medijima, što znači izrada, distribucija i pohrana magnetskih medija sa podacima. Preporuka je da se čuvaju u vatrootpornim sefovima i ormarima, posebno sigurnosne kopije koje omogućuju rekonstrukciju sustava u slučaju zgode ili zlonamjernog napada.
Pravilnikom također moraju biti propisane mjere koje treba poduzeti ako dođe do štete.
Zaštita podataka pohranjenih na magnetskom mediju računala mora se provoditi na različite načine, ovisno o odgovornosti djelatnika i organizaciji podataka:
1. zaštita od neovlaštenog pristupa podacima i njihova kopiranja ili krađe, pri čemu napadač može biti zaposlenik tvrtke ili haker koji pristupa putem Interneta.
Stoga treba provoditi sljedeće:
• računalo se ne smije iznositi iz tvrtke bez da su obrisani poslovni podaci sa diska računala,
• prijenosni magnetski mediji (diskete, CD, DVD, trake itd.) ne smiju se prenositi bez odgovarajuće zaštite podataka
• podaci koji se prenose komunikacijskim linijama također moraju biti zaštićeni od moguće krađe i zloporabe.
8.2. II razina zaštite IS
Zaštita intraneta i ekstraneta od upada sa Interneta provodi se putem posebnih sigurnosnih stijena ili "vatrenih zidova" (engl. firewall).
Sigurnosni zid dopušta izlaz svim korisnicima intraneta na Internet, a sa Interneta dopušta ulaz na intranet samo za to ovlaštenim korisnicima-
Ekstranet je zaštićen sigurnosnim zidom prema intranetu tvrtke koja vodi ekstranet, i drugim zidom prema Internetu ili prema intranetu tvrtke .
Glavni nedostatak ovog načina zaštite je u nesrazmjeru između prevelikih ograničenja vanjskih korisnika sustava i prevelikih ovlaštenja internih korisnika sustava i informatičkog osoblja (posebno zato što većina ozbiljnih prijetnji dolazi od strane počinitelja iz sustava).
2. zaštita od neovlaštene promjene sadržaja podataka, pri čemu takva promjena može biti provedena:
• uporabom aplikacijskog programa (zbog nenamjerne greške programera ili zbog namjerno izrađenog zloćudnog programskog koda),
• uporabom jezika baze podataka (standardni jezik za relacijske baze podataka je SQL i jednostavan je za korištenje) za direktno mijenjanje sadržaja u bazi, te
• zbog nemarnosti zaposlenika koji nepažljivim korištenjem dopuštenih operacija nad podacima u bazi podataka može namjerno ili nenamjerno izmijeniti sadržaj podataka.
3. zaštita od neovlaštenog pristupa arhivama podataka koje se nalaze na magnetskom mediju, pri čemu se takva zaštita provodi posebnim postupcima:
• odlaganjem u vlastitoj arhivi, što je uglavnom nepouzdano
• odlaganjem u podzemnim bunkerima, zakopavanjem zapečaćenih kontejnera ili odlaganjem u zatvorenim vatrootpornim ormarima u čuvanim prostorima, što nije potpuno pouzdano
• brisanjem informacija snažnim magnetskim poljem, primjenom uređaja za demagnetiziranje .
4. zaštita od gubitka podataka u slučaju uništenja magnetskog medija, pri čemu se moraju provoditi:
• izrada dnevnih, tjednih i mjesečnih i godišnjih sigurnosnih kopija podataka (engl. Backup)
• izrada i redovno ažuriranje jasnih procedura za rekonstrukciju i obnovu podataka iz pohranjenih sigurnosnih kopija .
Jedna od najpouzdanijih metoda kontrole pristupa informacijskom sustavu kao i zaštite od neovlaštene uporabe resursa je kriptografija.
Kriptografija je znanost o prikrivanju informacijskih sadržaja i onemogućivanju njihova razumijevanja, modificiranja i uporabe od strane neovlaštenih (neautoriziranih) objekata.
Kriptiranje je postupak kojim se izvorni otvoreni tekst transformira u kriptirani ili šifrirani tekst odnosno kriptogram. Cilj kriptiranja je učiniti tekst nerazumljivim za sve osim za ovlaštene korisnike, koji će ga moći razumjeti kada tekst dekriptiraju odnosno transformiraju natrag u izvorni oblik.
Kriptoanaliza je postupak pronalaženja izvornog teksta bez poznavanja upotrijebljenog ključa.
8.3. III razina zaštite IS
Informacijski sadržaj u izvornom obliku je otvoren, odnosno razumljiv svima kojima je dostupan. Da bi se sadržaj poruka informacija koje se javno prenose zaštitio od onih kojima one nisu namijenjene (dakle od neovlaštenih korisnika), primjenom kriptografskih metoda nastoji se poruke učiniti nerazumljivom, odnosno tajnim.
Kriptografske metode dijele se na dvije osnovne skupine:
• metode transpozicije (premještanja) i
• metode supstitucije (zamjene).
Metode premještanja temeljene su na načelu mijenjanja izvornog redoslijeda znakova u poruci, čime se ona čini nerazumljivom za onog tko ne zna ključ. U pravilu se pri kriptiranju koriste slova jedne abecede.
Metoda je stara, primijenjena je još u doba Cezarovog boravka u Galiji kada je svako slovo poruke bilo pomicano za tri znaka.
Metode zamjene svode se na sustavno zamjenjivanje znakova u poruci nekim drugim znakovima. U ovom slučaju se pri kriptiranju koriste slova iz najmanje dvije abecede - izvorne i kodne (primjerice, slova latinične abecede zamjenjuju se brojevima).
Svi korisnici sustava moraju biti upoznati sa pravilima i postupcima zaštite uredskog informacijskog sustava i podataka, te sve aktivnosti redovito provoditi. Sigurnost i zaštita informacijskih sustava i računala važno je područje kojim se bave informatičari, a primjenjuju ga svi zaposlenici u uredu.
