Upload
husam-el-hamed
View
224
Download
8
Embed Size (px)
DESCRIPTION
sigurnost elektronske trgovine
Citation preview
SVEUČILIŠTE/UNIVERZITET ''VITEZ'' TRAVNIK
FAKULTET POSLOVNE INFORMATIKE
STUDIJ VI CIKLUSA; GODINA STUDIRANJA: II GODINA
SMJER: INFORMACIJSKE TEHNOLOGIJE
“SIGURNOST ELEKTRONSKE TRGOVINE”
SEMINARSKI RAD
Travnik, 19.06.2013. godine
SVEUČILIŠTE/UNIVERZITET ''VITEZ'' TRAVNIK
FAKULTET POSLOVNE INFORMATIKE
STUDIJ VI CIKLUSA; GODINA STUDIRANJA: II GODINA
SMJER: INFORMACIJSKE TEHNOLOGIJE
“SIGURNOST ELEKTRONSKE TRGOVINE”
SEMINARSKI RAD
Potpis studenta: _____________
STUDENT:
PREDMET: Digitalna Ekonomija
PROFESOR: Prof Dr. Branko Latinović
ASISTENT: Altijana Mameledžija dipl. ing.
SADRŽAJ
UVOD ............................................................................................................................... 4
1.1. Problem, predmet i object istraživanja ............................................................... 4
1.2. Svrha i cijelvi istraživanja .................................................................................. 5
1.3. Radna hipoteza i pomočne hipoteze ................................................................... 5
1.4. Znanstvene metode ............................................................................................. 5
1.5. Struktura rada ........................................................................................................ 6
2. ELEKTRONSKO POSLOVANJE I ELEKTRONSKA TRGOVINA ...................... 7
2.1 Elektronsko poslovanje ....................................................................................... 7
2.2 Točak elektronskog poslovanja .......................................................................... 7
2.3 Razvoj i oblici elektronskog poslovanja............................................................. 8
2.4 Elektronska trgovina (e-commerce) ................................................................. 10
3. ZAŠTITA INFORMACIJSKIH SISTEMA ............................................................ 14
3.1 Rizici informacijske Tech Report ..................................................................... 14
3.2 Računarski (cyber) kriminal ............................................................................. 17
4. ZAŠTITA U UVJETIMA ELEKTRONSKOG POSLOVANJA ........................... 19
4.1 Kontrola povjerljivosti ..................................................................................... 19
4.2 Kontrola pristupa .............................................................................................. 23
4.3 Kontrola integriteta, raspoloživosti i nemogućnosti poricanja ......................... 24
5 INFRASTRUKTURA JAVNOG KLJUČA ........................................................... 25
ZAKLJUČAK ................................................................................................................. 29
LITERATURA ................................................................................................................ 30
4
UVOD
U poglavlju koje slijedi upoznaćemo opširnu zaštitu informacijskih sistema I zaštitu
elektronske trgovine. Sama zaštita nam dovoljno govori da je potrebno provesti jaku
zaštitu informacionog sistema. Danas su visrusi brzom putanjom jako napredovali, stoga
omogućuje vam korisnički zaštitu vaših računarskih sistema. Nije riječ samo o
visrusima, tu je i zaštita od zlouporabe informacijske tehnologije i mnoge druge zaštite.
Važno je napomenuti da je bitna zaštita neovlaštenog korištenja podataka.
Zaštita podataka - proces kojim se osigurava podatke od oštećenja pri prijenosu i
kontrolira pristup podatcima u računalu. Na taj način zaštita podataka osigurava
privatnost. Koristi se za zaštitu, kako privatnih, tako i javnih podataka. Zaštita podataka
se koristi pri prijenosu podataka osjetljivog sadržaja (vladinih dokumenata, bankovnih
podataka, dokumenata državnih služba, podataka velikih poduzeća...). Kako bi podatci
na svoje odredište stigli netaknuti i u istom obliku u kojem su poslani, podatke
zaštićujemo od oštećenja u prijenosu i neovlaštenih upada ili preusmjeravanja tijekom
prijenosa. Također je potrebno zaštiti i podatke koji su spremljeni u našem računalu – od
neovlaštenih upada sa istog ili drugih računala i od napada virusa.1
1.1. Problem, predmet i object istraživanja
Sistem čuvanja podataka te zaštita informacijskih sistema je oduvijek bio problem, iz
razloga što postoji više desetine načina za gubitak poataka, ili zloupotreba tih podataka.
Predmet ovog rada je zaštita tih podataka i tih sistema, od zloupotrebe podataka,
hakera/krakera i slično.
1 http://hr.wikipedia.org/wiki/Za%C5%A1tita_podataka 19.6.2013g
5
1.2.Svrha i cijelvi istraživanja
Istraživanje podrazumijeva prikupljanje velikog broja informacija, a kvalitetno
istraživanje ne štedi samo novac i vrijeme, već i povećava šanse za uspijeh.
Osnovna svrha ovog istraživanja je pronalazak hipoteza vezane za temu, te cjelokupno
objašnjenje istih.
1.3.Radna hipoteza i pomočne hipoteze
Definisanje problema, predmeta i objekta istraživanja dovodi do oblikovanja radne
hipoteze; objašnjenje zaštita informacijskog sistema je temelj za detaljnije pojašnjenje
zaštite podataka, sigurnost i najbolje načine za zaštitu podataka.
Ovako postavljena glavna hipoteza implicira i pomoćnu hipotezu (skr.P.H.):
P.H.1.: Kroz rad ćemo dokazati nekoliko ključnih podataka koji su bili bitni za izum
sistema za kriptovanje podataka, te zaštita uređaja hardverskim i softverskim načinom.
1.4. Znanstvene metode
Znanstvena metoda obuhvaća mnoge tehnike za proučavanje fenomena, pribavljanje
novih saznanja, te ispravljanje i dopunjavanje postojećih spoznaja. Zasniva se na:2
1. prikupljanju opipljivih, empiričkih i mjerljivih dokaza koji su podožni nekoj logici
2. prikupljanju podataka kroz promatranje i eksperimentiranje
3. formuliranju i testiranju hipoteza
Znanstvenom metodom naziva se i skup različitih postupaka kojima se znanost koristi u
znanstveno istraživačkom radu da bi istražila i izložila rezultate znanstvenog
istraživanja.
2 http://hr.wikipedia.org/wiki/Znanstvena_metoda 18.06.2013
6
Osnovne osobine znanstvenih metoda su: objektivnost, pouzdanost, preciznost,
sustavnost i općenitost, a za izradu ovog rada kao prikladne metode odabrane su: metoda
analize i metoda studija slučaja.
1.5. Struktura rada
Struktura ovog rada postavljena je kroz 5 međusobno povezanih dijelova. U prvom
dijelu, tj. UVODU navedeni su problem, predmet te objekat istraživanja, postavljene su
hipoteze, svrha i cilj istraživanja, te naučne metode, a objašnjena je i struktura samog
rada. Drugi dio rada objašnjava šta informacioni sistemi i na koje načine može da se
ošteti, i zaštiti. U trečem dijelu rada sam opisao oblike zloupotrebe informacijskih
tehnologija, te oblike zaštite od zloupotrebe. I zadnji dio rada koji zaokružuje cijeli rad a
to je ZAKLJUČAK, u njemu su sažeto i obrazloženo moje lično razmišljanje o izabranoj
temi.
7
2. ELEKTRONSKO POSLOVANJE I ELEKTRONSKA TRGOVINA
2.1 Elektronsko poslovanje
Tradicionalno poslovanje
Tradicionalno poslovanje temelji se na uporabi papirnatih dokumenata u strukturirane
prethodno definisanog i opće prihvaćene komunikacije između sudionika u procesu
poslovanja.
Elektronsko poslovanje (e-busines):
Elektronsko poslovanje je digitalno omogućene transakcije i procesi unutar
organizacije, uz pomoć i pod nadzorom svog informacijskog sistema.
E-biznis ne obuhvata komercijalne transakcije izvan granica organizacije gdje se
vrši razmjena vrijednosti.
2.2 Točak elektronskog poslovanja
Znanje o korištenju elektronske trgovine uključuje znanje o poslovnim procesima
elektronske trgovine. Konceptualni model "eBusiness wheel" (kotača elektronskih
trgovina), opisuje najvažnije procese e-poslovanja.
Točak elektronskog poslovanja se sastoji od sedam dijelova koji okružuju kupca kao
polazište suvremenih poslovnih procesa. Glavni cilj modernog poslovnog koncepta je da
zadovolji potrebe klijenata i formiranja poslovnog okruženja u tvrtki na sve poslovne
procese će biti u potrebama klijenta, te da je kao rezultat dobrih odnosa s klijentima
pojavljuje profit.
8
Točak e-poslovanje sastoji se od dva glavna dijela: elektronske poslovne strategije i
implementacija e-poslovanja (operativni procesi) (slika 2.1). Elektronska poslovna
strategija definira sve poslovne procese s krajnjim ciljem zadovoljstva kupaca i profita
tvrtke. Međutim, kako bi se postigla cilj e-poslovanja, potrebno je stvoriti i održavati
operativne procese koji u osnovi čine elektronskog poslovanja.
(Sl. 2.1). Točak elektronskog poslovanja
2.3 Razvoj i oblici elektronskog poslovanja
Elektronsko poslovanje se pojavilo početkom 80-tih godina prošlog stoljeća, ali je
iskusni i brzi razvoj doživjelo poslednjih godina, prije svega zahvaljujući Internetu.
Elektronsko poslovanje (electronic business) je razmjena standardiziranih elektronskih
poruka u obavljanju raznih poslova u bankama, kompanijama, aktivnostima građana,
upravi i u svim drugim poslovnim transakcijama.
Elektronsko poslovanje uključuje obavljanje poslovnih procesa uz korištenje
elektronskih tehnologija. Ova vrsta tehnologije omogućuje slanje velike količine
9
podataka na velike udaljenosti u kratkom vremenskom razdoblju. To omogućuje
tvrtkama u njihovom poslovanju da koriste elektronske tehnologije kako bi se postigla
značajna ušteda u troškovima poslovanja, učinkovitije obavljaju svoje zadatke i biti
konkurentniji na tržištu. Opseg Elektronskog poslovanja razlikuje se od države do
države (Sl. 2.2)
Sl. 2.2 Obim elektronskog poslovanja u2008
Izvor: "The Real Numbers behind 'Net Profits
2008”
Elektronsko poslovanje nudi široku paletu utjecaja i aplikacija, tako da su osnovni
oblici:
e-Trgovina - predstavlja poslovne komunikacije i prijenos dobara i usluga
(kupnja i prodaja) - razmjena vrijednosti.
e-Bankarstvo Predstavlja poslovanje između banke i klijenta,
e-Uprava - elektronsko poslovanje u upravi ili administraciji (kompanije,
tvrtke,države..)
Jedna od tačaka eEurope operativnog plana Evropske komisije iz 2002. godine
naglašava značaj razvoja savremenih javnih servisa i u oblasti e-Zdravlja i e-
Obrazovanja i sl.
Elektronsko poslovanje ima slijedeće prednosti:
10
smanjenje operativnih troškova, a to se prvenstveno odnosi na
proizvodnju papirnatih dokumenata,
smanjenje pogreške, pogotovo gdje je tačnost podataka od značaja,
ušteda vremena, posebno u prenosu informacija,
smanjenje obima ljudskoga rada,
pristupačnost i razmjenjivost informacija.
2.4 Elektronska trgovina (e-commerce)
Predstavlja razmjenu poslovnih informacija, održavanje poslovnih odnosa i obavljanje
poslovnih transakcija između organizacija preko telekomunikacijskih mreža.
Osim toga, možemo reći da je kupnja i prodaja informacija, proizvoda i usluga putem
računarske mreže i podršku za bilo koju vrstu poslovne transakcije putem digitalne
infrastrukture - digitalno omogućeni komercijalne transakcije između Ovo udruženje
(B2B) organizacijama i pojedincima (B2C), pojedinci (C2C ), organizacije i vladine
agencije (B2G), vladine agencije (G2G), itd.
Klasifikacija e-trgovine prema tipovima učesnika uobičajeno se prikazuje matricom
e-trgovine (Tabela 2.1).
11
(Tabela 2.1). Matrica E-Trgovine
B2B (Business-to-business)
Interorganizacioni informacijski sustav u kojem tvrtka posluje u okviru vlastitih
transakcija vrijednosnog lanca ili s drugim tvrtkama i organizacijama. B2B ponekad
nazivaju business-to-zaposlenika (B2E) kada je usmjerena na upravljanje aktivnosti
unutar organizacije.
Sudionici u ovoj vrsti sustava za e-commerce organizacija i poslovnim sustavima.
Početak B2B poslovanje povezano s pojavom prvog EDI (Electronic Data
Interchange) sustava. Eliminirati brojne nedostatke klasične komunikacijskih
sredstava (gube dokumenti, oštećenja na prijenos, pogreške u prekucavanje teksta,
itd.).
Predstavlja najvažniji oblik e-trgovine, transakcijama na ovom tržištu ostvaruje se
između 80-85% ukupnih prihoda od e-trgovine na Internetu.
B2C (Business-to-consumer)
12
Prodavci su organizacije, a klijenti su pojedinci. Uglavnom se odnose na prodajnim
transakcijama između tvrtki i potrošača. Jedan uspješan primjer je Amazon.com,
osnovana 1994. godine, i to je tipični primjer tvrtke koja se bavi ovim poslom.
Iznenađujući porast Amazon - 20 milijuna korisnika u više od 160 zemalja kupljenih u
2000. G. roba u vrijednosti od 2,8 milijarde dolara.
Ovaj poslovni model oslanja na sposobnost Interneta za prijenos velike količine
podataka brzo i učinkovito. B2C je najjasniji aspekt e-poslovanja iz perspektive
korisnika. Očekivani razvoj na globalnom tržištu e-poslovanja u SAD-u 2007-2008 je
prikazano na slici 2.3.
Sl. 2.3. Očekivani razvoj modela B2B i B2C
C2C (Consumer-to-consumer)
Potrošači izravno prodaju robu ili usluge drugim potrošačima on-line putem,
uključuje i prodaju automobila, nekretnina, usluga i dr. u on-line oglasima. Najpoznatiji
primer C2C je veb stranica eBay.com. Neki aukcijski sajtovi nude mogućnost C-C
elektronske trgovine omogućavaju korisnicima da ponude robu na on-line aukcijama.
13
Ovaj oblik transakcija podrazumijeva učešće i treće strane u online trgovini.
Treća strana može biti neki aukcijski sajt: eBay, Monsters (online poslovi), Gnutella
(prodaja muzike), Owners.com (klasifikovane reklame), itd.
Poseban oblik C2C transakcije su transakcije u peer-to-peer komunikacije bez
posrednika (Kazaa, Tornet programi).
14
3. ZAŠTITA INFORMACIJSKIH SISTEMA
Sigurnost elektronskih transakcija je preduslov za uspješno elektronsko poslovanje i
obuhvata metode, tehnike i pravne norme kojima se kontroliše pristup podacima od
strane programa i ljudi i štiti fizički integritet celokupnog sistema.3
Sve veći problem i ograničavajući faktor razvoja i primjena računarskih sistema postaje
sigurnost informacijskih sistema.
U poslovnim informacijskim sistemima računalne konfiguracije su vrlo različite, te se u
jednom poslovnom sistemu mogu koristiti:
Velika računala za centralnu obradu;
Manja računala za decentralizirano prikupljanje i obradu podataka;
Osobna računala za automatizaciju uredskog poslovanja.
Sa aspekta sigurnosti, svaka od ovih vrsta računala ima specifičnosti koje se ogledaju u
različitim organizacijama rada ovih sistema.
3.1 Rizici informacijske Tech Report
Prilikom definisanja odgovarajuće politike zaštite informacijskog sistema, potrebno je
izvršiti analizu rizika kojima su informacije izložene u svim fazama životnog ciklusa
informacijskog sistema. Analiza rizika je dobra pretpostavka za uspostavljanje dobre
politike upravljanja rizicima (Risk Management Policy).
Generalno, rizik se može definisati kao potencijalna opasnost da neka preduzeća
aktivnost dovede do neželjenih posljedica U skladu s tim, informacijski rizik
predstavlja opasnost da će primjena informacijske tehnologije dovesti do
neželjenih posljedica, tj.. šteta u poslovnom sistemu i njegovom okruženju. Iz tog
3
http://sr.wikipedia.org/wiki/%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%
B8%D1%98%D0%B0:%D0%A1%D0%B5%D0%BC%D0%B8%D0%BD%D0%B0%D1%80%D1%81
%D0%BA%D0%B8_%D1%80%D0%B0%D0%B4%D0%BE%D0%B2%D0%B8/Sigurnost_elektronski
h_transakcija#Sigurnost_infrastrukture 19.6.2013
15
razloga je neophodno upravljati informacijskim rizicima prema sljedećim
načelima:
Potrebno je primjenjivati sistemsku metodiku identifikacije svih informacionih
rizika;
Potrebno je definisati adekvatne procedure evaluacije ozbiljnosti (težine) I
frekvencije (učestalosti) rizika, i
Potrebno je formulisati odgovarajuću strategiju i taktiku kontrole nad rizicima, kao
izbor odgovarajućih protumjera.
Unatoč formalno daleko većem broju vanjskih izvora rizika, empirijska istraživanja
pokazuju da su u praksi daleko mnogo brojniji napadi na sistem iznutra, iz same
organizacije. Tako npr, neke procjene govore da je omjer približno 70:30, A neke čak
80:20. Po svemu sudeći, ova druga procjena je blizu stvarnosti, ne samo zato što dolazi
iz kompetentnijeg izvora (CERT), Nego izato što je prva procjena stara nekoliko godina,
a od tada su se stvari po pitanju sigurnosti informacija bitno promijenile.
(Slika 3.1) CERT tabela napada izvan i unutar mreže
S obzirom na uzrok, rizici mogu biti objektivni i subjektivni. Objektivni rizici proizlaze
iz prirode i zakonitosti funkcionisanja sistema u kojem se informaciona tehnologija
primjenjuje, dok subjektivni rizici nastaju namjerom pojedinaca ili grupa ili kada se u
sistemu ne poduzimaju raspoložive mjere zaštite od objektivnih rizika. Protiv
objektivnih rizika se teško štititi i njih nije moguće u potpunosti izbjeći. Subjektivni
rizici se mogu u potpunosti izbjeći preduzimanjem odgovarajaćih preventivnih mjera u
16
sistemu. U cilju pronalaženja odgovarajućih načina minimalicacije mogućih razlika,
neophodno je razviti i provesti primjereni skup postupaka, odnosno metodologiju
upravljanja rizicima. Kao i bilo koji drugi upravljački proces, i proces upravljanja
rizicima neophodno je pažljivo planirati. Takvim planom bi trebale biti obuhvaćene
sljedeće aktivnosti:
Identifikacija rizika - pri identifikaciji rizika se polazi od slabosti informacionog
sistema. Svaka organizacija mora uočiti nedostatke zaštite, te nastojati definisati
rizike, polazeći od njihovih mogućih izvora;
Ispitivanje vjerovatnoće i kvantifikacije rizika - kada su identificirani rizici kojima
je izložen informacijski sistem, nositelji zaštitne politike moraju pokušati
kvantificirati težinu i frekvenciju rizika, odnosno procjeniti vjerovatnoću njihovog
nastajanja u određenom vremenskom razdoblju;
Utvrđivanje prioriteta rizika - kvantifikacija rizika u vidu vjerovatnoće pretpostavka
je za određivanje prioriteta poduzimanja odgovarajućih protivmjera;
Identifikacija protivmjera - vrši kreator politike zaštite na bazi sugestija
administratora zaštite podataka, kada su u pitanju tehničke mjere i konsultacija sa
srednjim i top menadžmentom organizacije;
Utvrđivanje odnosa troškova i koristi od primjene protumjera – troškovima se
smatraju ukupni troškovi pripreme i poduzimanja određene protumjere, dok se
koristima smatraju troškovi koji su izbjegnuti eliminacijom određene vrste rizika;
Izbor najprihvatljivijih protivmjera - vrši se na bazi procjene odnosa troškova i
koristi za svaku od njih;
Implementacija izabranih protivmjera - mjere koje iskazuju niže troškove i vecu
koristi kandidata su za provedbu;
Definisanje mjera otklanjanja potencijalnih šteta - unatoč preduzetim protivmjerama
i dalje su određeni rizici prisutni. Iz tog razloga se planom upravljanja rizicima
moraju definisati i mjere otklanjanja potencijalnih šteta koje će nastati kao
posljedica realizacije rizika;
17
Kontrola, revizija i modifikacija plana postupka - na kraju, planom
upravljanja rizicima treba se utvrditi i obveza kontrole nad njegovim izvršavanjem,
te njegove povremene revizije i eventualne modifikacije.
Rizici koji prijete jednom računalnom sistemu su:
kompjuterski kriminal
sabotaža
špijunaža
Nedovoljna čistoća u prostorijama u kojima su smješteni računari
Slučajno ili namjerno kvarenje računrskih sistema
Razne vremenske nepogode.
3.2 Računarski (cyber) kriminal
Računari su u ranim fazama njihovog razvoja bili neophodni za neke veće zloupotrebe i
to iz dva osnovna razloga:
njihovo korištenje je podrazumijevalo posebnu edukaciju, tako da se njima bavio
samo relativno uzak krug informatičkih stručnjaka.
oni se nisu nalazili u masovnoj upotrebi.
Prilikom definisanja kompjuterskog kriminala neophodno je imati veoma širok pristup
koji se mora temeljiti na tri osnovna elementa:
1. načinu izvršenja,
2. sredstvu izvršenja,
3. posljedici kriminalnog djelovanja.
18
Kompjuterski kriminal predstavlja oblik kriminalnog ponašanja, kod koga se
korištenje računalne tehnologije i informatičkih sistema ispoljava kao način
izvršenja krivičnog djela, ili se računalo upotrebljava kao sredstvo ili cilj izvršenja.
Obrasci kompjuterskog kriminala su raznolika i brojni:
Krađa računarske oprema
Krađa računarskog privremena
Krađa softvera zbog neovlaštenog korištenja i prodaje
Upadanje između mreža zbog kopiranja i mjenjanja podataka
Kopiranje podataka iz računarskih centara bežičnim putem
Pronevjera zaposlenog osoblja između tvrtki.
19
4. ZAŠTITA U UVJETIMA ELEKTRONSKOG POSLOVANJA
Zaštita tajnosti podataka nikada nije bio jednostavan problem, ali sva njegova težina i
značaj dolaze do punog izražaja s pojavom računalnih mreža, a naročito Interneta i
elektroniskog poslovanja. Organizacije koje se bave elektronskim poslovanjem moraju
provoditi najmanje pet vrsta kontrolnih postupaka:
1. Kontrola povjerljivosti (Confidentiality Control),
2. Kontrola pristupa (Access Control),
3. Kontrola integriteta ( Integrity Control),
4. Kontrola raspoloživosti ( Availability Control),
5. Kontrola nemogućnosti poricanja ( Nonrepudiation Control).
4.1 Kontrola povjerljivosti
Povjerljivost informacija zahtijeva zaštitu informacijskog sadržaja od neovlaštenog
uvida i uporabe od strane neovlaštenih korisnika. Zaštita povjerljivosti informacijskog
sadržaja ostvaruje se kriptografijom,
Kriptografija je metoda ostvarivanja zaštite povjerljivosti informacionog sadržaja na
bazi nerazumljivosti poruka od strane onih subjekata kojima poruke nisu upućene.
Znanstvena metoda koja se bavi izučavanjem kriptografskih metoda naziva se
kriptologija,
Kriptoanaliza je znanost o ostvarivanju razumljivosti podataka od strane subjekata koji
su ih primili, a nisu trebali.
U sistemu u kojem se primjenjuju kriptološke metode pretpostavlja se postojanje
sljedećih entiteta: (pošiljatelj poruke, izvorna poruka, kriptografska metoda, kriptogram,
ovlašteni i neovlašteni korisnik). Pošiljatelj stvara izvornu poruku, nakon čega je
20
podvrgava kriptografisanju pomoću odgovarajuće metode i šalje ovlaštenom korisniku,
koji je prima i dekriptira.
Sve poznate kriptografske metode se mogu podijeliti u dvije skupine:
a) Metode premještanja ili transpozicije.
b) Metode kodne zamjene ili supstitucije.
Metode premještanja (transpozicije) Prikrivaju stvarni informacioni sadržaj zamjenom
mjesta znakova u izvornom sadržaju. Razlikuju se jednodimenzionalne ili linearne i
višedimenzionalne ili matrične metode. Jednodimenzionalne ili linearne metode izvorni
informacijski sadržaj, tzv.otvoreni tekst remete određenim postupcima kako bi izmijenio
izvorni redosljed znakova.
Višedimenzionalne ili matrične metode organizuju vanjski tekst u dvodimenzionalni ili
višedimenzionalni oblik ili matricu, a kriptogram nastaje iščitavanjem matrice na način
različit od njegovog punjenja u matricu.
Metode premještanja su se u praksi pokazale suviše jednostavnim pa su još ustar Rimu
razvijene prve metode kodne zamjene, Odnosno supstitucije.
Koriste se dvije abecede: izvorna i kodna. Izvornom abecedom se iskazuje vanjski tekst,
a kodnom kriptogram. Prva metoda je tzv. Cezarova metoda, koja kao izvornu abecedu
koristi latiničnu abecedu u njenom prirodnom redosljedu, a kao kodnu istu tu abecedu,
ali permutiranu za jedno ili više slovnih mjesta.
Kasnije se Cezarova metoda sa pomakom poboljšala uvođenjem tzv. ključa. Ključ je niz
znakova izvorne abecede, koji može ali i ne mora imati neko značenje, a postavlja se
kao prvi prilikom stvaranja kodne abecede. Tokom vremena razvija se čitav niz sve
21
složenijih metoda kodiranja zamjene poput Vigenoreova metoda, Sestrieva metoda,
metoda Playfair, Beassova metoda, Delastelleova metoda.
Enkripcija je kriptografski postupak koji kriptogram stvara u numeričkom obliku.
U praksi se najčešće koristi kombinacija većeg broja metoda premještanja imetoda
supstitucije, a postupak stvaranja kriptograma odvija se u većem broju slijednih i
ponavljajućih koraka. Takvi postupci se nazivaju kriptografskim algoritmima. Svaki
kriptografski algoritam se može transformisati u računarski program, pa iz toga proizlazi
da se kriptografisanje poruka može ostvariti jednostavno i brzo pomoću elektronskog
računala. Da bi se omogućila jednostavnija primjena tih algoritama u privatnim i javnim
komunikacijskim mrežama, 1975.godine je razvijen standard za enkripciju podataka.
Ovaj standard bi trebao osigura postizanje sljedećih ciljeva:
1. Garantuje visoku razinu pouzdanosti,
2. Jednostavan za upotrebu,
3. Kriptografski algoritam mora biti javnog karaktera, dakle poznat I dostupan svim
zainteresiranim korisnicima,
4. Prilagodljiv za upotrebu u okvirima različitih aplikacija,
5. Ekonomičan pri implementaciji i eksploataciji,
6. Primjenjiv u svakom konkretnom slučaju.
Standard za šifriranje podataka DES je enkripcijski algoritam koji je razvijen iz
kriptografskog algoritma lucifer, Kojeg je početkom 1970-ih godina osmislila tvrtka
IBM
DES spada u kategoriju blok-šifara, jer enkriptuje podatke u 64-bitne blokove uz
primjenu 64-bitnog ključa.
22
Konkretne metode zamjene i premještanja znakova u izvornoj poruci radi stvaranja
kriptograma, kao i redosljed njihove primejne određuje ključ (key). ključ
(Slika 4.1) Data Encryption Standard
U javnim komunikacijskim mrežama u uvjetima elektronskog poslovanja, enkripcijski
algoritmi u infrasturkture javnog ključa koji su se pokazali primjereni i dovoljno
pouzdani su sljedeći:
RSA algoritam, koji je nastao kao akronim početnih slova prezimena tvoraca
algoritama, Ronalda L.Rivesta, Adija Šawira i Leonarda M.
PGP algoritam
Grupa algoritama zasnovana na sažecima
RSA algoritam se može koristiti kako za enkripciju informacijskog sadržaja, tako i za
autentifikaciju, odnosno utvrđivanje vjerodostojnosti sadržaja ili identiteta pošiljatelja.
dužina RSA algoritma može biti između 40 i 1024 bita, temelji se na primjeni javnog i
tajnog ključa.
PGP algoritam je algoritam za autentifikaciju i enkripciju informacija u infrastrukturi
javnog ključa, koji je izuzetno popularan u Internetu, zbog svoje robusnosti i
23
pouzdanosti, ali i činjenice da je njegova upotreba u nekomercijalne svrhe od samog
početka bila besplatna.
PGP sistem koriste praktično svi Internet servisi i on predstavlja izuzetno kvalitetno
sredstvo zaštite tajnosti podataka u mnogim poslovnim primjenama Interneta, kao što je
elektronska pošta, elektronska razmjena podataka i elektronske financijske transakcije.
U upotrebi je i skupina algoritama koji se temelje na sažecima. Sažetak poruke je niz
znakova fiksne dužine, koji se izvodi iz informacije koja može biti varijabilne dužine.
4.2 Kontrola pristupa
Kontrolom pristupa se provjere autentičnosti identitet onog ko nastoji pristupiti
računalnim ili informacijskim resursima, te kontrolira upotreba tih resursa.
Autentifikacija predstavlja provjeru vjerodostojnosti identiteta subjekta koji traži
pristup nekom sistemu ili mreži. Najpoznatiji mehanizmi autentifikacije korisnika koji
su do sada razvijeni su sljedeći:
Autentifikacija temeljena na statičnim lozinkama - ovo je osnovni oblik
autentifikacije koji se koristi u savremenim informacijskim sistemima. Klijent
koristi određenu identifikaciju i lozinku kako bi se predstavio sistemu, a sistem
održava lozinku u enkriptovanim formatu.
Autentifikacija pomoću hardverskih uređaja - ovo je metoda autentifikacije pri kojoj
određeni uređaj (Token) ima u sebi memorisane potrebne identifikacione oznake
korisnika, koje mogu poslati na provjeru radi autentifikacije sistemu kojem se želi
pristupiti.
Autentifikacija temeljena na dinamičnim lozinkama - ima za cilj smanjiti rizik od
krađe lozinki iz mreže. Ova autentifikacijski šema zahtijeva od korisnika prilikom
svake nove autentifikacije unos nove lozinke, koja je različita od prethodne
24
korištene. Generišu ih hardverski uređaji tokeni, koji su prethodno programirani za
svakog korisnika.
Biometrijska autentifikacija - zasniva se na upotrebi fizičkih, odnosno fizioloških
svojstava korisnika kao sredstva za njegovu identifikaciju.
Autentifikacija temeljena na javnim i privatnim ključevima - u ovom slučaju snažan
mehanizam autentifikacije predstavlja infrastrukturu javnog ključa.
4.3 Kontrola integriteta, raspoloživosti i nemogućnosti poricanja
kontrola integriteta štiti podatke ili računarske resurse od bilo kakvih namjernih ili
nenamjernih nedopuštenih izmjena. Integritet osigurava tačnost i potpunost informacija.
kontrola raspoloživosti podrazumijeva osiguranje kontinuiteta obrade podataka i
raspoloživosti informacija. Smanjenjem ili potpunim ukidanjem raspoloživosti
informacijskih ili računalnih resursa utječe se na rad sistema I poslovanje organizacije,
što može uzrokovati financijske štete i smanjenjekvaliteta usluga pruženim klijentima.
Kontrolom nemogućnosti poricanja se osigurava da korisnici ne mogu poricati
aktivnosti koje su poduzeli. Primjer takve situacije je kada klijent u elektronskoj trgovini
naruči neku robu, a kasnije je ne želi primiti, tvrdeći da je nije naručio. Takvi incidenti
se mogu spriječiti upotrebom digitalnog potpisa.
25
5 INFRASTRUKTURA JAVNOG KLJUČA
Organizacije diljem svijeta koriste novu generaciju distribuiranih aplikacija, koje im
omogućuju isporuku proizvoda i usluga putem intraneta, ekstraneta i Interneta.
Okruženje u kojem se implementeraju takve aplikacije mora biti stalno raspoloživo i
pouzdano, kako bi klijenti organizacije osjećali povjerenje, a sama organizacija mogla
koristiti sve prednosti elektronskog tržišta.Osnova za razvoj sigurnih distribuiranih
aplikacija u takvom okruženju jeste infrastruktura javnog ključa koja omogućuje
autentičnu, privatnu i nesmetanu komunikaciju.
Korisnici prije nego što se odluče na razmjenu informacija putem Interneta, zahtijevaju
određene mehanizme koji će im jamčiti ne samo integritet podataka koje šalju
internetom, nego i onu razinu diskrecije koja im omogućuje i tradicionalni način
obavljanja transakcija. Oni žele njihove elektronske transakcije da budu povjerljive i
zaštićene od neovlaštenih izmjena.
Kriptografija pomoću javnog ključa osigurava povjerljivost osjetljivih informacija ili
poruka primjenom matematičkog algoritma ili ključa, kojima se enkriptuju, odnosno
šifriraju podaci, te povezanog matematičkog ključa kojima se oni dekriptiraju, odnosno
dešifriraju. Najznačajnija komponenta infrastrukture javnog ključa jeste certifikacijski
autoritet. To je tzv. treća strana od povjerenja koja izdaje digitalne certifikate i upravlja
certifikatima tijekom njihovog cijelogživotnog ciklusa.
U elektronskom poslovanju koristi se i niz manje značajnih dokumenata koji se prenose
u elektronskom obliku, a koji također moraju biti na neki način ovjereni. To se može
postići primjenom tehnike digitalnog potpisa, čime će sudionici u nekom poslu moći
potvrditi da su neki dokument poslali, a drugi da su ga primili.
26
Digitalni potpis je elektronski identifikator usporediv s tradicionalnim svoje ručnim
potpisom, jedinstven je, moguće ga je verificirati i samo korisnik može identificirati
njegovo generisanje. Da bi se spriječilo negiranje digitalno potpisanog ugovora,
elektronski potpisan dokument mora uključivati određene elemente i zadovoljavati
uvjete:
mora jasno i detaljno održavati iskazanu volju svih ugovornih strana za sklapanje
ugovora;
mora jasno ukazivati na činjenicu da su ugovorne strane voljne preuzeti obaveze iz
ugovora;
ugovor mora biti autentičan, bez ikakvih modifikacija.
27
(Slika 5.1) Enkripcija pomoću javnog ključa i digitalni potpis
Infrastruktura javnog ključa pruža sljedeće:
1. povjerljivost - osigurava da samo željeni primatelji mogu čitati poruke
2. Integritet podataka - osigurava da se poruke ne mogu mijenjati
3. autentifikacija - jamči da su sudionici u elektronskoj komunikaciji upravo oni
kojima i kakvima se predstavljaju
4. Neosporavanje - onemogućava sudionicima poricanje sudjelovanja u izvršenoj
elektronskoj transakciji.
28
Kvaliteta infrastrukture javnog ključa naročito se ogleda u tome što se funkcije
enkripcije, dekripcije i verifikacije identiteta obavljaju vrlo brzo i nevidljivo za
sudionike u komunikaciji iako su efekti gotovo isti kao da se radi o potpunoj i sigurnoj
komunikacija "face to face".
Tehnologija infrastrukture javnog ključa omogućuje korištenje jednog od dva modela
izgradnje takve infrastrukture za potrebe organizacije u okruženju elektronskog
poslovanja. To su:
Nabavka samostalnog softvera infrastrukture javnog ključa - u ovom slučaju
organizacija preuzima potpunu odgovornost za nabavku i korištenje tehnologije,
uključujući potrebne računalne sisteme, telekomunikacijske vezei uređaje, baze
podataka, zaštitu svog Web- sajta, zaštitu mrežne konfiguracije, itd..
Korištenje platforme integrirane u infrastrukturu javnog ključa - ovaj model
garantuje usluge prema načelu, podjelu investicijskog opterećenja i podjelu rizika,
te ima daleko više izgleda na uspjeh. U ovom modelu se kombinuju softver i
hardver infrastrukture javnog ključa koji kontroliše organizacija, kompatibilnost s
javnim aplikacijama, te usluge upravljanja certifikatima i vitalnim dijelovima
infrastrukture koje pruža za to specijalizovana institucija.
29
ZAKLJUČAK
U današnjem "umreženom" svijetu, sigurnost podataka i informacija je ključno, posebno
kada se u uzme obzir da svaka Firma/Kompanija u svakom trenutku može biti meta
napada ili potencijalna žrtva propusta. Ranjivost (vulnerable) sistema može
prouzrokovati financijske gubitke ili problem, naškoditi imidžu kompanije, umanjiti
produktivnost i prihode, a rješenja takvog napada je često vrlo skupa i dugotrajna.
sigurnost sistema i zaštita podataka, te procjene trenutnog stanja, testiranja ranjivosti
sistema, izrade rješenja za sanaciju sigurnosnih propusta do integracije rješenja u
postojeći sistem, je vrlo težak, mukotrpan i skup posao. jer u svakom slučaju je potrebno
zaštiti opremu, alarmnim sistemom, protiv požara, zagrijavanja i slično, te klima
uređajima kako bi se prostor hladio, te plačati stručnjake za zaštitu sistema, kako bi vršli
redovno ažuriranje sistema i uređaja, i najvažnije postavljanje Firewalla koji štiti
informacioni sistem od upada nepoželjnih osoba.
zbog toga postoji veliki broj kompanija koje se bave zaštitom podataka i informacionih
sistema, koje toplo preporučujem svim korisnicima velikih informacijskih sistema kako
bi imali uvijek zaštitu ili rješenje takvog problema.
30
LITERATURA
1. http://www.cert.org%2Farchive%2Fpdf%2Finsiderthreat_programmers_1208.pd
f 19.6.2013
2. http://www.apisgroup.org/sec.html?id=10 19.6.2013
3. http://hr.wikipedia.org/wiki/Za%C5%A1tita_podataka 19.6.2013
4. http://www.tekbar.net/internet/e-commerce-web-site-security-control-of-
resistance.html 19.6.2013
5. sr.wikipedia.org/wiki/Википедија.../Sigurnost_elektronskih_transakcija
19.6.2013