Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
1
SVEUČILI�TE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Zavod za primijenjeno računarstvo
Prof. dr. sc. Nikola Hadjina
ZAŠTITA I SIGURNOST INFORMACIJSKIH SUSTAVA
(nastavni materijali sa zbirkom zadataka)
Zagreb, srpanj, 2009.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
2
Predavač: prof. dr. sc. Nikola Hadjina Zavod za primijenjeno računarstvo
Sadržaj kolegija Sadržaj po tematskim cjelinama:
1. Definiranje sigurnosti, problemi, ciljevi, načela i politika sigurnosti. 2. Analiza, upravljanje i nadzor rizika. 3. Kontrola pristupa i tokova - Matematički modeli sigurnosti 4. Osnove kriptografije. Protokoli, tehnike i algoritmi. 5. Arhitektura sigurnosnog sustava-osnovni moduli. 6. Postupci digitalne identifikacije i autentifikacije. 7. Sustavi za sigurnosno upravljanje i nadzor radnih tokova (WFMS). 8. Sigurnost i zaštita programa i operacijskih sustava. Povjerljivi sustavi. 9. Standardi i kriteriji vrednovanja sigurnosti i povjerljivosti sustava. 10. Sigurnost baza podataka. 11. Sigurnost računalnih mre�a i distribuiranih sustava. 12. Transakcijska obrada u višerazinskim sigurnosnim bazama podataka. 13. Sustavi za detekciju sigurnosnih proboja (IDS). 14. Upravljanje i nadzor sigurnosnog sustava (ISMS ). 15. Upravljanje sigurnosnim incidentima i kontinuitet poslovanja (BCMS) 16. Zakonski i etički aspekti sigurnosti.
LITERATURA ZA KOLEGIJ: 1. Charles P. Pfleger, “Security in Computing”, Prentice Hall PTR, 1997 2. Schneier, B., “Applied Cryptography”, (2nd ed.), Wiley 1996. 3. S. Castano, M. G. Fugini, G. Martella, P. Samarati, "Database Security", ACM Press, 1995 4. Harold F. Tipton, Micki Krause, "Information Security Management", Handbook, 4th edition,
CRC Press LLC, 2000 5. Menzies, A.J., von Oorschot, P.C., and Vanstone, S.A. “Handbook of Applied Cryptography”,
CRC Press, NY, 1996. 6. Douglas R. Stinson, “Cryptography: Theory and practice”, CRC Press, 1995. 7. Deborah Russell, G.T. Gangemi Sr., “Computer Security Basic, O’Reilly & Associates, Inc.,
1991 8. Steven L. Shaffer, Alan R. Simon, “Network Security”, Academic Press, Inc, 1994 9. Glen Bruce, Rob Dempsey, “Security in Distributed Computing”, Prentice Hall PTR, 1997 10. Simson Garfinkel, Gene Spafford, “Web Security & Commerce”, O’Reilly & Associates, Inc.,
1997. 11. Richard Barkserville, “Designing Information System Security”, John Wiley & Sons, 1988 12. Sushil Jajodia, "Data Base Security XII", Status and Prospects, Kluwer Academic Publisher,
1999 13. V. Atluri, S. Jajodia, B. George, "Multilevel Secure Transaction Processing", Kluwer Academic
Publisher, 2000.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
3
1. DEFINIRANJE SIGURNOSTI, PROBLEMI, CILJEVI, NAČELA I POLITIKA SIGURNOSTI
Stanje i problemi:
Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih prijevara, špijunaže, sabotaže, vandalizma, požara, poplave i sl.
Šteta nanesena organizaciji u obliku zloćudnog koda, računalnog hakiranja i uskraćivanja usluge je sve prisutnija pojava.
Financijski gubici vezani na sigurnosne upade povećavaju se iz godine u godinu i iznose bilione dolara.
Oko 60% napada se događa izvana( kroz Internet), a oko 40% napada dolazi iznutra. U vrijeme globalne ekonomije, stalnih promjena rizika kojima su izložene tvrtke,
uspostave suradnje među tvrtkama, on-line trgovine informacijska sigurnost postaje sve vi�e poslovni problem koji treba omogućiti i unaprijediti poslovanje.
Tvrtke se bore sa zahtjevima regulatora (banke, telekom operatori,..), ekonomskim uvjetima te upravljanjem rizicima.
Uloga informacijske sigurnosti nažalost još nije dovoljno definirana u mnogim tvrtkama.
Iako mnogi vide informacijsku sigurnost kao mjesto troška može se pokazati i dokazati da tvrtke koje ispravno upravljaju s informacijskom sigurno�ću posti�u kvalitetno, racionalno i učinkovito svoje poslovne ciljeve.
Sigurnosti informacijskih sustava može biti od presudne važnosti kako bi se ostvarila i zadržala konkurentnost, osigurao dotok novca i profitabilnost, kako bi se zadovoljile zakonske norme i osigurao poslovni ugled, te konačno kako bi organizacija pre�ivjela na tržištu.
Informacijska sigurnost pored ovih navedenih ciljeva treba svoriti i priliku za planiranje i ostavrenje novih poslovnih ciljeva, te kao takva mora biti integralni dio korporativnog upravljanja i poslovnog planiranja.
Informacijska sigurnost i sigurnost informacijskih sustava Osnovni pojmovi
Podatak Informacija Računalni sustav Informacijski sustav
Informacija je poslovna imovina Atributi:
Povjerljivost (tajnost) . Točnost Raspoloživost
Faktori koji imaju utjecaj, odnosno ugrožavaju, informacijsku sigurnost:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
4
Prekid Presretanje Izmjene Produkcija
Informacijska sigurnost u kontekstu
Sigurnost je poslovni proces Sigurnost je proces smanjenja rizika ili vjerojatnosti nastajanja štete. Neki od aspekata informacijske sigurnosti o kojima treba voditi računa ovaj poslovni proces su:
Pristup Identifikacija Autentifikacija Autorizacija
Informacijska sigurnost je poslovni zahtjev Dodatni aspekti informacijske sigurnosti:
Odgovornost
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
5
Podizanje svijesti Administracija (upravljanje)
Izgradnja plana informacijske sigurnosti Pet glavnih faza svakog Plana informacijske sigurnosti su:
Inspekcija Zaštita Detekcija Reakcija Refleksija
Informacijska imovina Informacijska imovina su sva ona sredstva koja uskladi�ćuju informaciju, prenose informaciju, kreiraju informaciju, koriste informaciju ili su informacija sama za sebe. Takvu imovinu predstavljaju i informacijski sustavi. Sredstva organizacije se mogu stoga grupirati u slijedeće kategorije:
Ljudi Posjed Informacija Infrastruktura Reputacija
Odnos sigurnosti računarskih sustava i informacijskih sustava Sigurnost računarskih sustava najče�će podrazumjeva sigurnost u okviru tehničke arhitekture, računala, mre�e i komunikacije, dok sigurnost informacijskih sustava obuhvaća puno �ire područje, koje uključuje izgradnju, implementaciju i kori�tenje informacijskih sustava, što je direktno povezano sa poslovnim procesima i organizaciojom tvrtke, osobljem , zakonima i cjelokupnim društvom. Prema tome razvoj je i�ao od tehničkih rje�enja (IT orijentacije ) prema poslovnim potrebama i zahtjevima organizcija i ostvarenju njihovih poslovnih ciljeva : Sigurnost računala (Computer Security -1970) Sigurnost podataka (Data Security - 1980) Sigurnost informacija, Informacijska sigurnost (Information Security - 1983) Sigurnost informacijskih sustava (IS Security - 1988) Sigurnost poslovanja (Enterprise protection – Enterprise Security Architecture,
Industrial Security - 1995) Osnovne grupe razvoja sigurnosti mogu se podijeliti na:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
6
IT orjentirana sigurnost Poslovno orjentirana sigurnost
(informacijska sigurnost je poslovni problem, čije rje�enje unapređuje poslovanje) Računlna sigurnost, informacijska sigurnost i sigurnost informacijskih sustava �to je računalna sigurnost ?
privatnost, ograničenje fizičkog pristupa, raspoloživost aplikacija, mrežna povjerljivost, integritet sadržaja (podataka i programa) politika pristupa. Sigurnost je u biti upravljanje rizicima.
Što je i što nije informacijska sigurnost ? Pogledi na sigurnost (informacijske operacije, zaštitu informacija i ostavrenje ciljeva poslovanja) →Informacijska sigurnost se ponekad povezuje sa informacijskim operacijama koje štite i brane informacijski sustav kako bi osigurale njegovu raspoloživost, integritet, autentifikaciju, povjerljivost (tajnost) i neporecivost. Informacijska sigurnost također uključuje oporavak informacijskih sustava kroz uključene sposobnosti za za�titu, detekciju i reakciju. →Informacijska sigurnost je zaštita informacija od velikog broja prijetnji radi osiguranja kontinuiteta poslovanja, smanjenja poslovnog rizika i povećanja prihoda od investicija i poslovnih prilika. Informacijska sigurnost posti�e se primjenom odgovarajućeg skupa kontrola, uključujući politike, procese, procedure, organizacijske strukture i softverske i hardverske funkcije → Omogućiti ostvarenje ciljeva poslovanja na siguran način, u kojem su zadovoljeni regulatorni i sigurnosni zahtjevi kroz ugradnju odgovarajućih kontrola, upravljanje rizicima, te kroz podizanje sigurnosne kulture i svijesti u organizaciji. Stoga je informacijska sigurnost:
• Način razmi�ljanja • Beskonačan proces • Upravljanje rizikom • Jamstvo poslovnog uspjeha • Odgovornost svakog zaposlenika
Informacijska sigurnost nije:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
7
• Odgovornost samo IT-a • Problem koji se rješava samo tehnologijom • Konačno odredi�te – 100% sigurnost nije moguća
Filozofija informacijske sigurnosti je dakle sadr�ana u slijedećem:
• Va�nost i kritičnost informacija se stvara u glavama poslovnih ljudi a ne u njihovim sustavima
• Sveopći pristup (holistički) sigurnosti je preduvjet za informacijksu sigurnost • Sama tehnologija i alati ne mogu osigurati kompletno rješenje sigurnosti • Ljudi su najveći problem u implemetaciji informacijske sigurnosti • To je proces , a ne proizvod, koji nikada ne završava.
Što je sigurnost informacijskih sustava ? Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u obradi, ili su pohranjeni, ili je u tijeku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i raspolo�ivosti, te radi sprječavanja gubitaka cjelovitosti ili raspolo�ivosti samih sustava. “Jedini informacijski sustav koji je zaista siguran je onaj koji je uga�en, isključen iz napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okru�en nervnim plinom i dobro plaćenima naoru�anim čuvarima. Čak ni tad, ne bih se ba� kladio na njega.” Eugene Spafford Direktor Computer Operations, Audit and Security Technology (COAST) Purdue University Glavni ciljevi u istra�ivanju računalne sigurnosti su:
ispitivanje sigurnosnih rizika u računarstvu razmatranje raspoloživih zaštitnih mjera i kontrola stimuliranje razmišljana o neotkrivenim ranjivostima i prijetnjama identifikacija područja u kojima se zahtjeva više rada na postizanju bolje sigurnosti.
Ranjivost, prijetnja i rizik Ranjivost (engl. vulnerability) – stanje, nedostatak ili slabost u sigurnosnim procedurama, tehničkim kontrolama, fizičkim ili drugim kontrolama sustava, dizajnu i implementaciji tih kontrola i procedura koja se mo�e iskoristiti, slučajno ili namjerno aktivirati i eksploatirati, što može rezultirati povredom sigurnosti i/ili sigurnosne politike, koja prouzrokuje operativne i financijske gubitke za organizaciju. Prijetnja (engl. threat) - mogućnost izvora prijetnje da iskoristi neku ranjivost slučajnim ili namjernim aktiviranjem i eksploatacijom.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
8
Rizik se prepostavlja od strane vlasnika ili administratora sustava, a to je vjerojatnost da sustav neće biti u mogućnosti provoditi sigurnosnu politiku., uključujući i kontinuiranost kritičnih operacija u toku izvođenja napada. Rješenja:
izbjegavanje upravljanje prihvaćanje transfer
Rizik = F(prijetnji,ranjivosti, vrijednosti informacijske imovine, sigurnosne kontrole)
Svojstva računarskih upada Princip najlakšeg upada
Vrste sigurnosnih proboja (upada)
prekid, presretanje, izmjene i produkcija.
Ciljevi sigurnosti računarskog/informacijksog sustava
Autentifikacija (Autentification) Kontrola pristupa (Access control Nadzorni zapisi (Audit trail) Povjerljivost (Confidentiality) Cjelovitost (Integrity) Raspoloživost (Availability Neporecivost (Nonrepudtaion)
Računarska sigurnost u u�em smislu, općenito, sastoji se od odr�avanja tri sigurnosna svojstava:
povjerljivost (tajnost/privatnost), cjelovitost i raspoloživost.
Povjerljivost Povjerljivost zvuči prilično jasno; samo ovla�teno osoblje mo�e vidjeti za�tićene podatke.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
9
Cjelovitost Neka značenja cjelovitosti su:
Točnost (precise) Ispravnost (accurate) Neizmjenivost Izmjenjivost samo na prihvatljiv način Izmjenjivost samo od starne ovlaštenih osoba Izmjenjivost samo od ovlaštenih procesa Konzistentnost Unutarnja konzistennost Značajni i ispravni rezultati
Raspoloživost Očekivanja:
prisutnost objekta ili usluge u upotrebljivom obliku kapacitet koji zadovoljava potrebnu uslugu napredak: ograničeno vrijeme čekanja odgovarajuće vrijeme izvr�enja usluge
Ciljevi raspoloživosti su:
vremenski odziv prihvatljiva dodjela veličine sistemskog resursa neosjetlivost na greške korisnost ili upotrebljivost ( može se koristi kao namjeravana) nadzirana paralelnost-konkurentnost: potpora istovremenim pristupima, kontrola
potpunog zastoja, ekskluzivni pristup ( ako se zahtjeva).
Odnos između povjerljivosti, cjelovitosti i raspolo�ivosti
Povjerljivost
Cjelovitost Raspoloživost
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
10
Ranjivosti računarskog/informacijskog sustava
Za računalne kriminalce ranjivosti informacijskih sustava i mreža su skriven, ali vrlo vrijedan podatak i imovina.
Nove ranjivosti pojavljuju se svakodnevno zbog grešaka u softveru, hardveru, u konfiguriranju aplikacija i IT-a te zbog grešaka ljudi.
Svaki poslovni sustav povezan na Internet je izložen riziku zbog mrežne ranjivosti.
Od kuda dolaze ranjivosti ?
Gre�ke u programiranju uzrokuju mnoge ranjivosti u softveru. Uobičajena gre�ka je ne provjeravanje veličine spremnika podataka (eng. data buffers).
Javno dostupni i publicirani programi Kvaliteta programskog koda Implementacija nerobustnih Internetskih protokola Nepravilno konfigurirane sigurnosne aplikacije (sigurnosna stijena), Neadekvatno kori�tenje mobilnih uređaja (bez VPN-a,..)
Ranjivosti računarskog sustava
Princip adekvatne zaštite: Računarska sredstva (informacijska imovina) moraju se zaštiti samo do vremena do kada one gube vrijednost. Ona se moraju zaštiti sukladno s njihovom vrijednos�ću.
HARDWARE
PROGRAMI PODACI
Presretanje(krađa)
Prekid(Sprečavanje usluga)
Prekid(Brisanje)
Presretanje
Izmjene
Prekid(gubitak)
Presretanje
Izmjene
Produkcija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
11
Ostala izlo�ena sredstva računarkog/informacijskog sustava
Medij za uskladištenje podataka Mreže Ključno osoblje
Prijetnje informacijskoj sigurnosti - Identifikacija prijetnji Vrste prijetnji Postoje četri opće vrste prijetnji u uvjetima računalnih/informacijksih sustava: 1. Prirodne prijetnje 2. Nenamjerne prijetnje (nesreća) 3. Namjerni (ljudski) aktivni napadi 4. Namjerni (ljudski) pasivni napadi
Prirodne prijetnje Vrsta prijetnje
Individualna prijetnja (izvor prijetnje)
Usputne (posredne) prijetnje
Učinci prijetnje (događaj prijetnje)
Geofizička nesreća Potres, vulkanske aktivnosti, poplave
Požar, pomicanje tla, ispuštanje plina ili kem. tekućina, ispad napajanja
Uni�tenje uređaja ili o�tećenje (prekid)
Vremenski ovisne nesreće
Hariken, tornado, tajfun
Polave, po�ari, nesreće, ispuštanje plina i kem. tekućina, ispad napajanja
Gubitak ili degradacija mreže i komunikacija, uni�tenje uređaja i informacija (prekid)
Meterolo�ke nesreće Atmosferske neprilike, snijeg, vjetar, oluja, grmljavina, visoke ili niske temperature
Poplave, nesreće, ispad napajanja, elektromagnetski impulsi
Gubitak ili degradacija komunikacija, uni�tenje uređaja i informacija (prekid)
Sezonski fenomeni Vremenski ekstremi, šumski požari
Poplave, po�ari, nesreće, ispad napajanja
Gubitak ili degradacija mrežnih komunikacija, uni�tenje uređaja i informacija (prekid)
Astrofizički fenomeni
Sunčani fenomen, (sunčane rupe)
Gubitak ili degradacija satelitske veze (prekid)
Biološki fenomeni Bolesti i divljaštvo Nesreće O�tećenja na uređajima i osoblju (prekid)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
12
Nenamjerne prijetnje
Korisničke pogre�ke Operaterske pogreške Pogreške administriranja (specijalnih komponenti ili programa konfiguracije ) Greške pripreme podataka Greške izlaza Gre�ke računalnih sustava Komunikacijske pogreške Greške aplikacijskih programa Druge nenamjerne prijetnje mogu uključiti slijedeće: Vrsta prijetnje
Individualna prijetnja (izvor prijetnje)
Učinci prijetnje (događaj prijetnje)
Transport Avionska, �eljeznička, kamionska i automibilska nesreća
Uni�tenje uređaja i informacija (prekid)
Industrija Ispuštanje plina, kem. izlijevi, radioaktivno zračenje, po�ari, eksplozije, prekidi u snabdjevanju energijom
O�tećenje ili uni�tenje mre�nih uređaja i informacija, te gubitak mogućnosti obrade (prekid)
Okolina Šumski požari, poplave, oneči�ćenje zraka, epidemija
Degradacija i uništenje uređaja, usluga i informacija (prekid)
Uređaji Gre�ke mre�nih uređaja, greške u podršci softwarea/hardwarea
Degradacija i destrukcija mre�nih uređaja, usluga i informacija
Namjerni aktivni ljudski napadi Vrsta prijetnje Individualne prijetnje (izvor
prijetnji) Učinci prijetnji (događaj prijetnje)
Građanska neposlu�nost Protesti, neredi, sindikalne demonstracije
Onemogućavanje dolaska na posao, o�tećenja uređaja i osoblja (prekid)
Neovlašteni pristup Povjerljivi personal, neovlašteni personal, korisnička nju�kala
Gubitak, manipulacija, o�tećenje ili otkrivanje podataka (prekid, presretanje, izmjene)
Sabotaža Terorizam, bombardiranje, modifikacija programa, vandalizam na uređajima
Destrukcija ili o�tećenje ciljanog uređaja i osoblja rezultira u gubitku usluga (prekid)
Gomilanje prometa Uvođenje la�nog prometa Gubitak ili degradacija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
13
na mre�i, povećana frekvencija dodjele na mre�i, uvođenje up-link i down-link gomilanja
veze/mreže i gubitak usluga/podataka, DoS napad (prekid)
Namjerni pasivni ljudski napadi
Vrsta prijetnje Individualne prijetnje
(izvor prijetnji) Učinci prijetnje (događaj prijetnje)
Elektromagnetsko zračenje Kablovi, zemaljske linije, mikrovalovi, računala, mrežne komponente
Neovla�teno oslobađanje informacija ( presretanje)
Priključak na liniju ili prisluškivanje
Kablovi, zemaljske linije, mikrovalne veze
Neovla�teno oslobađanje informacija ( presretanje)
Otkrivanje osjetljivih informacija
Gubitak prozveden od strane personala, nepravilno označavanje informacija, nepravilno rukovanje informacijama, zloupotreba mrežnih sredstava
Neovla�teno oslobađanje informacija ( presretanje)
Kategorije prijetnji
Odbacivanje usluga (DoS - Denial of Service) o Fizičko uni�tenje mre�nog segmenta ili podmre�e o Neoperabilnost mrežnih segmenata ili podmre�a zbog gre�ke uređaja,
greške programa ili sabotaže o Degradacija performansi zbog zasićenja sustava, zbog gre�aka na liniji, ili
zbog vanjskih faktora (vremenske prilike) o Ovla�teni korisnici sprečavaju fizički pristup mre�nim uređajima i
uslugama IS-a o Svi drugi uvjeti koji izazivaju neraspoloživost IS-a ovlaštenim korisnicima
Neovlašteno otkrivanje o Nenamjerno otkrivanje može biti izazvano od korisnika, operatera, kod
pripreme podataka, grešaka izlaza, grešaka sustava ili grešaka u komunikaciji
o Kršenje postavljenih procedura za kontrolu pristupa (ovlaštenja) o Zlonamjerne akcije personala o Aktivni pokušaji (napadi) ovlaštenog personala da pristupe osjetljivim
informacijama
Neovlaštene modifikacije o Osoblja (djelatnici - insideri) koje aktivno rade na sabotaži ili prekidu rada
mrežnih operacija ili usluga IS-a.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
14
o Osoblje (djelatnici - insideri) koje nenamjerno interferira sa IS-om, mrežnim operacijama i uslugama
o Vanjsko osoblje - outsideri (hakeri, krekeri, računalni kriminalci,..)
Prijetne na LAN komunikacije Prijetnje na WAN komunikacije Uključeno osoblje
o Amateri o Krekeri/hakeri o Računlni kriminalci
Model sustava informacijske sigurnosti Poslovni model Programi informacijske sigurnosti trebaju uzeti u obzir kako su tvrtka, njezino osoblje, procesi i tehnologija međusobno povezani i kako međusobno djeluju , te kako vođenje i upravljanje tvrtkom (governance), kultura, ljudski faktor i arhitektura podupiru ili ote�avaju mogućnost tvrtke da za�titi svoje informacije i upravlja rizikom koji dovodi do kršenja informacijske sigurnosti i sigurnosti IS-a Struktura modela Model je orijentiran prema poslovnom rje�enju upravljanja informacijskom sigurno�ću. Njegova potpunost i dinamičnost čini ga da informacijska sigurnost bude predvidiva i proaktivna. Struktura modela dana je na donjoj slici:
USC - University of Sothern California
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
15
Kao �to slika prikazuje to je trodimezionalni oblik piramide koji se sastoji od četiri elementa i i �est dinamičkih međuveza. Svi aspekti modela međusobno su povezani. Ukoliko se bilo koji dio modela mijenja ili se upravlja na neodgovarajući način to izaziva neravnotežu modela koja predstavlja potencijalni rizik.. Elementi modela
1. Dizajn tvrtke i strategija 2. Ljudi 3. Proces 4. Tehnologija
Dinamičke međuveze
1. Vođenje i upravljanje (Governing) 2. Kultura 3. Omogućavanje i podr�ka 4. Nastanak (Emergence) 5. Ljudski faktori 6. Arhitektura
Upotreba modela
Zakonski i regulatorni zahtjevi Globalizacija Rast i proširenja Organizacijske sinergije Pojava i razvoj novih tehnologija Ekonomija tržišta Ljudski resursi Sve prisutne izmjene prijetnji i ranjivosti Inovacije
Konceptualni model - sigurnosna arhitektura ( razrada poslovnog modela- Potpuni model sigurnosnog sustava sastoji od pet cjelina:
Poslovne i sigurnosne strategije Organizacijskog sustava Sustava upravljanja Tehnološkog sustava Vrednovanja sigurnosnog sustava
Ovaj model dan je na slijedećoj slici.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
16
Poslovna strategija i ciljevi
Sigurnosni zahtjevi Sigurnosna strategija i ciljevi
Organizacijaska struktura Podjela posla - role Edukacija korisnika
Organizacijski sustav
Upravljanje propisima Upravljanje sredstvima Upravljanje rizikom Upravljanjem tehnologijom
Sustav upravljanja
Ocjena funkcionalnosti Validacija i autentifikacija Kontrola pristupa Integritet podataka Povjerljivost podataka Anti DoS
Zaštitna funkcionalnost (Sigurnosni servisi i sigurnosni mehanizmi)
Funkcionalnost detekcije sigurnosnih incidenta Funkcionalnost odgovora na sigurnosne incidente Funkcionalnost oporavaka od sigurnosnih incidenata
Tehnološki sustav
Vrednovanje sigurnosnog sustava Principi sigurnosti informacijskih sustava Organizacija za ekonomsku suradnju i razvoj (engl. The Organisation for Economic Cooperation and Development - OECD ) je ustanovila 9 principa sigurnosti informacijskih sustava:
Svijest o informacijskoj sigurnosti
Odgovornost
Odziv
Etika
Demokracija
Procjena rizika
Dizajn i implementacija sigurnosnih mjera
Upravljanje sigurno�ću
Procjenjivanje
Sigurnosni principi (načela) za izgradnju sigurnosnih mjera Odgovornost i nadzor (Accountability) Namanje privilegije
Minimiziranje raznoličnosti, veličine i slo�enosti povjerljivih komponenti Podrazumjevana sigurnost (default ) Obrana po dubini
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
17
Metode obrane (zaštite) / Kontrole - Sigurnosni mehanizmi-mjere U projektiranju i izgradnji sigurnosnih mehanizama potrebno je rukovoditi se nekim osnovnim principima i operacijama koje su svojstvene za većinu sigurnosnih mehanizama: Definiranje domena
Povezivanje korisnika s domenama
Ovlaštene (autorizirane) operacije
Operacije nadzora i upravljanja(Auditinig)
Kriptografija (enkripcija/dekripcija)
Kontrole U nastavku dat ćemo pregled kontrola ili kontrolnih mjera koje će poku�ati spriječiti kori�tenje ranjivosti računarski/informacijskih sutava. Enkripcija Programske kontrole
Unutarnje programske kontrole: dijelovi programa koji provode restrikcije glede sigurnosti, kao �to je ograničenje pristupa u program za upravljanje bazom podataka
Kontrole operativnog sustava: ograničenja koja provodi operacijski sustav kako bi zaštitio jednog korisnika od drugog
Kontrole razvoja: standardi kvalitete pod kojima treba provesti projektiranje, kodiranje, testiranje i održavanje
Sklopovske kontrole Politike Fizičke kontrole Učinkovitost kontrola Briga o problemu (engl. Awerness) Vjerojatnost upotrebe
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
18
Princip djelotvornosti (učinkovitosti): Kontrola se mora koristiti da bi bila učinkovita. Ona mora biti djelotvorna, laka za upotrebu i adekvtana.
Preklapanje kontrola
PODATCI
PRISTUPDATOTEKAMA
PRISTUPPROGRAMIMAFIZIČKI
PRISTUP
FIZIČKIPRISTUP LOGIČKI
PRISTUP
PRISTUPDATOTEKAMA
PROGRAMIHARDWARE
Periodički pregledi sigurnosti i učinkovitosti kontrola Principi koji djeluju na istra�ivanja u području računarske/informacijske sigurnosti: princip najlakšeg upada princip vremenskog ograničenja princip učinkovitosti kontrole
Implemetacija plana informacijske sigurnosti Ta implementacija se obavlja primjenom najbolje prakse kroz upotrebu normi za sigurnost informacija i informacijksih sustava a ti su: ISO 27001 i ISO 17799 /ISO 27002 , ISO 2700X, BS 25999 i dr. Oni definiraju njegove glavne elelmente:
Cilj normi
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
19
Što je sigurnost informacija? Zašto je potrebna sigurnost informacija?
Kako utvrditi sigurnosne zahtjeve?
Procjena sigurnosnih rizika
Odabir kontrolnih mjera i sredstava
Polazište sigurnosti informacija
Kritički faktori uspjeha
Razvoj vlastitih niti vodilja
Sigurnosna politika Politika sigurnosti informacija Cilj je osigurati upute i podršku rukovodstva glede sigurnosti informacija. Rukovodstvo mora postaviti jasno usmjerenje, podršku i predanost u vezi sigurnosti informacija utvrđivanjem i provođenjem politike sigurnosti informacija u čitavoj organizaciji. Dokument politike sigurnosti informacije Minimum koji treba biti uključen je slijedeći:
a. definicija sigurnosti informacija, sveukupni ciljevi i svrha, te važnost sigurnosti kod zajedničkih informacija;
b. iznošenje namjere rukovodstva u svrhu podupiranja ciljeva i principa sigurnosti informacija;
c. kratki opis sigurnosne politike, principa, standarda i zahtjeva u pogledu usklađenosti od osobite važnosti za organizaciju, npr.:
1. usklađenost sa zakonskim i ugovornim zahtjevima 2. zahtjevi glede sigurnosti obrazovanja 3. prevencija i otkrivanje virusa i ostalog zlonamjernog software-a 4. vođenje poslovnog kontinuiteta 5. posljedice kršenja sigurnosne politike
b. definicija općih i posebnih odgovornosti glede upravljanja sigurno�ću informacija,uključujući izvje�ća o sigurnosnim incidentima; c. referentna dokumentacija koja podupire ovu politiku tj.razrađena sigurnosna politika i
procedura za specifične informacijske sustave ili sigurnosna pravila prema kojima moraju postupati korisnici.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
20
Revizija i vrednovanje �to se tiče politike, treba postojati osoba odgovorna za odr�avanje i reviziju prema definiranim revizijskim procesima. Taj proces mora osigurati reviziju kao odgovor na sve promjene koje utječu na primarnu procjenu rizika, npr. značajni sigurnosni incidenti, nove povrede ili promjene organizacijske ili tehničke infrastrukture. Također treba planirati periodičke preglede slijedećeg:
a. učinkovitost politike �to će se ogledati u broju i učinku zabilje�enih sigurnosnih incidenata;
b. tro�ak i učinak kontrole na efikasnost poslovanja; c. djelovanje promjena u tehnologiji
Sigurnosna politika
Sigurnost, privatnost i povjeljivost (tajnost)
Komercijalne, vojne i druge politike Tok donošenja sigurnosne politike
Da li je sigurnosna politika potrebna ? Radni okvir sigurnosne politike Naredbe(iskaze) politike - Formalna naredba politike poduzeća. �to poduzeće zahtjeva da
se učini a �to ne ? Naredba treba biti specifična i jasna. Svrha - Zašto je politika potrebna. Koje probleme ona rješava ? Koje su komponente
politike. Da li postoje kakve definicije u području koje ona pokriva ? Djelokrug - Koje su granice primjene politike ? Kako se daleko sigurnosna politika
prostire. Podudarnost sa politikom - Što se posebno zahtjeva da bude sukladno sa politikom ? Da
li postoji bilo koja dozvoljena devijacija od politike, te koji su to procesi koji trebaju autorizirati devijaciju ?
Penali/Posljedice - Koji su penali i/ili posljedice ne pridržavanja sigurnosne politike? Oni mogu definirati formalne sankcije i/ili posebne posljedice u slučaju kr�enja sigurnosne politike.
Načela poduzeća Poslovni kod ponašanja Sigurnosne politike Vodič
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
21
Osnovni sigurnosni elementi
Identifikacija
Autentifikacija Autorizacija
Lozinke
Informacijski integritet
Specifične politike sigurnosti Politika odnosa prema podatcima
o Klasifikacija podataka o Čuvar podataka/vlasnik podataka o Nadzornik sigurnosti podataka i IS-a (upravljanje) o Cjelovitost/integritet podataka
Politika u odnosu na osobno korištenje o Osobno korištenje o Korištenje informacijskog sustava o Privatnost
Politika upravljanja sigurno�ću sustava / Politika ISMS-a o Odgovornosti rukovodstva (Uprave) o Upravljanje zapisima o Sigurnosna administracija o Razdvajanje dužnosti o Procjena rizika o Nadzor podudarnosti sa sigurnosnom politikom (revizija sigurnosti) o Odstupanje od politike o Administracija sustava o Klasifikacija sustava o Kontinuitet poslovanja
Mrežne politike o Vanjski pristup mreži o Udaljeni pristup mreži o Privatnost komunikacija
Politike za korisnike o Briga korisnika o Korisnička odgovornost
Programske politike o Prava kopiranja o Zaštita od virusa
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
22
Ostale politike
o Razvoj aplikacija o Vanjske obrade o Fizička sigurnost o Korištenje standarda
Proces kreiranja politika Odgovornosti Priručnik o sigurnosnoj politici (Vodič) Briga o sigurnosti i izobrazba Proces implementacije sigurnosne politike
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
23
2. ANALIZA, UPRAVLJANJE I NADZOR RIZIKA Planiranje sigurnosti informacijskog sustava uvijek počinje s analizom rizika Scenario poslovnog rizika koji je vezan na snježnu oluju koja izaziva prekid eleketrične mreže Data centra koji je nužan za obavljanje poslovne funkcije : Prijetnja:
Vjerojatnost : 25% da nastupi prekid električne mre�ekao posljedica oluje Izvor prijetnje: snježna oluja Događaj prijetnje: prekid električne mre�e
Posljedice:
Očekivani gubitak prihoda kao rezultat nerada Data centra i ureda: 2.5 M$ Mjerenje veličine rizika:
Kvantitativno (numeričke veličine – novčani iznos) Kvalitatitvno (skala veličina: Low, Medium , High)
Upravljanje rizikom Donošenje odluke o :
prihvaćanju rizika smanjenje rizika prijenosu rizika
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
24
Ključna pitanja u vezi s procesom upravljanja rizikom:
1. Što se može dogoditi (događaj prijetnje) ? 2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ? 3. Kako se često ona mo�e dogoditi (frekvencija pojave prijetnje, godišnje) ? 4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?
Proces smanjenja rizika Kvantitativna procjena rizika- pojmovi i definicije Godi�nji očekivani gubitak (GOG) JOG * GUP = GOG gdje je, JOG – jednostruki godišnji gubitak uz pojavu jedne prijetnje godišnje. GUP – učestalost pojave prijetnje u toku jedne godine Uspostavlja osnova za analizu trošak/dobiti. Godi�nja učestalost pojave prijetnje (GUP) To je veličina koja daje frekvenciju pojave prijetnji koja se očekuje kroz godinu.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
25
Faktor izlaganja (kompromitacije) (FI) Ovaj faktor predstavlja mjeru veličine gubitka ili utjecaja prijetnje na vrijednost informatičkog sredstva.. Taj faktor se koristi u računaju JOG veličine. Informacijsko sredstvo Informacijsko sredstvo je dio informacijskog sustava koje organizacija mora imati kako bi obavila svoju poslovnu misiju. Kvalitativnost/Kvantitativnost Tehnike analiza rizika i procjene ne mogu se promatrati binarno, kao kvantitativne ili kvalitativne, nego prema stupnju u kojem se neki elementarni faktori kao vrijednost sredstva, faktor izlaganja (kompromitiranja sredstva) i frekvencija prijetnja mogu imati pridružene kvantitativne vrijednosti. Vjerojatnost Ovaj pojam opisuje �ansu ili mogućnost da se dogodi neki događaj, odnosno da se dogodi gubitak ako se taj događaj desi. Rizik Potencijal za pojavu štete ili gubitka, koji se najbolje izražava kao odgovor na četiri pitanja :
1. Što se može dogoditi (događaj prijetnje) ? 2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ? 3. Kako se često ona mo�e dogoditi (frekvencija pojave prijetnje, godišnje) ? 4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?
Analiza rizika Analiza treba identificirati prijetnju ranjivosti, povezujuću prijetnju sa sredstvom, identificirati potencijal i prirodu neželjenog rezultata, te identificirati i vrednovati sigurnosne mjere koje smanjuju rizik. Procjena rizika Ovaj pojam podrazumijeva pridruživanje vrijednosti informacijskom sredstvu, učestalost prijetnji kroz godinu, posljedice (tj. faktor izlaganja-FI), jednostruki godišnji gubitak i dr. Upravljanje rizikom Ovaj pojam podrazumijeva cjelokupni proces, analizu rizika i procjenu rizika, te samo upravljanje �to uključuje proces pridru�ivanja prioriteta, financiranja, implementiranja i održavanja sigurnosnih mjera.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
26
Sigurnosne mjere (zaštitni mehanizmi) Ovaj pojam podrazumijeva mjere i mehanizme koji smanjuju rizik a djeluju kroz detekciju, prevenciju ili minimizaciju gubitaka koji su povezani sa specifičnom pojavom prijetnje ili cijele kategorije prijetnji. Sigurnosne mjere se ponekad zovu i kontrole, zaštitne mjere. Učinkovitost sigurnosnih mjera (za�titnih mjera) Ovaj pojam predstavlja stupanj, izražen u postocima 0 do 100 %, prema kojem sigurnosna mjera smanjuje ranjivost. Jednostruki očekivani gubitak (JOG) ili izlaganje (kompromitiranje sredstva) JOG = VS * FI gdje je, VS - vrijednost sredstva
FI - faktor izlaganja JOG - jednostruki očekivani gubitak
Prijetnja Definira događaj (po�ar, krađu, računalni virus i dr) čija pojava ima ne�eljene rezultate. Neizvjesnost Neizvjesnost je tipično mjera inverzna u odnosu na povjerljivost, a to znači ako je povjerljivost (uvjerenje) nisko, neizvjesnost je visoka. Ranjivost Ovaj pojam podrazumijeva nepostojanje ili slabost sigurnosnih mjera koje smanjuju rizik Razlozi za provođenje analize rizika Poboljšana briga o sigurnosti.. Identificira sredstva, ranjivost i kontrolu. Poboljšana osnova za donošenje odluka. Opravdanje troškova za sigurnost.
Koraci analize rizika Identifikacija računarskih (informatičkih) sredstava. Određivanje ranjivosti. Procjena vjerojatnosti pojave i eksploatacije ranjivosti. Izračunavanje očekivanog godi�njeg gubitka. Pregled primjenjivih kontrola i njihovih cijena koštanja. Projekcija godi�njih u�teda prouzrokovanih uvođenjem kontrola.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
27
Identifikacija sredstava - Registar sredstava informacijskog sustava Sklopovi (hardware) Programi (software) Podaci Ljudi Dokumentacija Pomoćni i potro�ni materijal Identifikacija ranjivosti sredstava i prijetnji Pitanja koja treba razmatrati: Koji su učinci od nenamjernih grešaka ?. Koji su učinci tvrdoglavih zlonamjernih korisnika unutar organizacije (insiders) ? Koji su učinci vanjskih korisnika (outsiders) ? Koji su učinci prirodnih i fizičkih nepogoda ? Sredstva i sigurnosna svojstva
Sredstvo Tajnost Integritet Raspoloživost Sklopovi (HW) Preopterećenost
Uništenje Uplitanje (provala)
Greška Krađa Uništenje Neraspoloživost
Programi (SW) Krađa Kopiranje Piratstvo
Trojanski konj Modifikacije Uplitanje (provala)
Brisanje Preseljenje Korištenje isteklo
Podaci Otkrivanje Pristup izvana Izvedeni
O�tećenje - programska greška - sklopovska greška - korisnička gre�ka
Izbrisani Preseljeni Uništenje
Ljudi Otišli U mirovini Završili posao Na dopustu
Dokumentacija Izgubljena Ukradena Uništena
Pomoćna oprema i materijal
Izgubljeno Ukradeno O�tećeno
Predviđanje vjerojatnosti pojave Vjerojatnost, iz promatranja podataka opće populacije.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
28
Vjerojatnost, iz promatranih podataka za specifični sustav Procjena broja pojava u danom vremenskom intervalu. Procjena vjerojatnosti iz tabele.. Delphi pristup.
Rangiranje vjerojatnosti pojave Frekvencija Iznos Više od jednom dnevno 10 Jednom dnevno 9 Jednom u svaka tri dana 8 Jednom tjedno 7 Jednom u dva tjedna 6 Jednom mjesečno 5 Jednom svaka četiri mjeseca 4 Jednom godišnje 3 Jednom u tri godine 2 Manje od jednom u tri godine 1 Izračunavanje nepokrivenih godi�njih tro�kova (Očekivani godi�nji gubitak) Slijedeća pitanja poma�u u identifikaciji izvora dokučivosti i nedokučivosti cijene ko�tanja: Koje su zakonske obaveze da se sačuva tajnost ili integritet podataka ? Da li oslobađanje tih podataka uzrokuje �tetu osobi ili organizaciji? Da li postoji
mogućnost zakonske akcije? Da li neovla�teni pristup tim podacima mo�e ugroziti buduće poslovne mogućnosti ?
Može li dati konkurentu neku nezasluženu prednost ? Kakav bi bio gubitak u prodaji ? Koji je psiholo�ki utjecaj na nedostatak računalnog servisa ? Sramota ?, Gubitak
kredibiliteta ? Gubitak posla ? Na koliko kupaca će to imati utjecaja ? Kolika je to vrijednost ?
Kolika je vrijednost pristupa podacima ili programima ? Da li bi se ta obrada mogla odložiti ? Da li se ta obrada može izvesti negdje drugdje ? Koliko bi koštalo da imamo mogućnost obrade negdje drugdje ?
Kolika je vrijednost za pristup podacima i programima od strane nekog drugog ? Koliko je konkurent spreman platiti za taj pristup ?
Koji problemi mogu proizaći iz gubitka podataka ? Da li mogu biti nadomje�teni ? Da li se mogu rekonstruirati ? Sa koliko potrebnog rada ?
Pregled novih kontrola
kriptografske kontrole sigurnosni protokoli kontrola razvoja programa kontrola uvjeta izvođenja programa mogućnosti za�tite operacijskih sustava identifikacija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
29
autentifikacija/ovjera izgradnja i uvođenje sigurnih operacijskih sustava kontrola pristupa bazama podataka kontrola raspoloživosti baza podataka kontrola i nadzor zaključivanja o podacima u bazi višerazinske kontrole za podatke, baze podatka, mreže i operacijske sustave kontrola osobnih računala, proceduralne, fizičke, sklopovske i programske kontrola pristupa mreži kontrola cjelovitosti mreže fizičke kontrole i dr.
U�tede kroz uvođenje projekta sigurnosti (Return of Investment - ROI)
Tablica: Opravdanost nabave programa za sigurnost pristupa ___________________________________________________________________________ Stavka Iznos Rizik: otkrivanje povjerljivih podataka tvrtke, izračun na temelju krivih (izmjenjenih) podataka Cijena obnove ispravnosti podataka: 1000 000 $ (VS) 10 % vjerojatnost na godinu (1 u 10 god. - GUP = 0.1) $100 000 (GOG) Učinkovitost programa kontrole: 60 % -$60 000 (FI = 40 %) Troškovi nabve programa +$25 000 Očekivani godi�nji tro�kovi zbog gubitka i kontrole $100 000-$60 000+$25000 $65 000 Ušteda: $100 000 - $65 000 $35 000 Tablica: Analiza troškovi/dobit za nadomjestak mrežnog pristupa Stavka Iznos Rizik Novlašteni pristup podatcima na kom. liniji): $100 000 (VS) uz 2% vjerojatnosti na godinu $2 000 Neovla�teno kori�tenje rač. sredstava (aplikacije) $10 000 (VS) uz 40% vjerojatnost na godinu $4 000 Godi�nji očekivani gubitak (GOG) $6 000 Učinkovitost mre�ne kontrole: 100 % (FI = 0%) -$6 000 Troškovi kontrole Hardware ($50 000 uz 5 godišnju amortizaciju) +10 000 Programi ($20 000 uz 5 godina amortizacije) + 4 000 Podrška(ljudi) (svaku godinu) +40 000 Godišnji troškovi $54 000 Očekivani godi�nji tro�kovi: 6 000-6 000+54 000 $54 000 Ušteda: $6 000 - $54 000 (gubitak) -48 000
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
30
Kvalitativna procjena rizika Matrica vrijednosti imovine i vrijednosti prijetnji i ranjivosti:
Razina prijetnje Mala Srednja Velika Razina ranjivosti
Vrijednost imovine
M S V M S V M S V 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8 Veličina rizika izra�ena je u skali od 0 do 8, gdje je 8 veličina najvećeg rizika koji se mo�e promatrati u skali : Low (M) : 1 - 2 Midle( S): 3 - 5 High (V) : 6 - 8
100%razina sigurnosti
(nije moguća) 100%
Malo napora (velika
učinkovitost)
TROŠKOVI
RAZINA SIGURNOSTI
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
31
DOBIT OSTVARENA SIGURNOSNIM MJERAMA
Dobit postignuta sigurnosnim mjerama
Tro�kovi uvođenja sigurnosnih mjera
Cilj djelotvornog upravljanja IT rizika mora biti optimalna sigurrnost glede poslovnog upravljanja , a ne u pogledu tehničkih mogućnosti
Odnos troškova i dobiti
Ušteda zbog sigurnosnih mjera
Dobit zbog sgurnosnih mjera
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
32
Prosječni gubici zbog sigurnosnih incidenata
Tro�kovi zbog uvođenja sigurnosnih mjera
Odnos organaizacijskih i tehničkih mjera/kontrola
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
33
Argumenti protiv analize rizika
Netočnost/nepreciznost Pogre�an osjećaj preciznosti Nepromjenjivost Nema znanstvene podloge
Metode izgradnje sigurnosti informacijskog sustava Sigurnosni plan
Plan vitalnih zapisa Plan kontrole pristupa Plan akcija u slučaju opasnosti (plan upravljanja incidentima) Plan privremene obrade (plan kontinuiranog poslovanja) Program klasifikacije podataka
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
34
Fischerova metoda izgradnje sigurnosti sustava
(Model životnog ciklusa) Fischerovu metodu sačinjavaju slijedeći koraci:
Definiranje
popisa
Identifikacij
a izlaganja
sustava
Procjena
rizika
Izgradnja kontrola
Analiza učinkovitosti
troškova
Politika osiguranja sredstava – sigurnosna politika
Predloženi sigurnosni sustav
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
35
Popis i definiranje informacijkse imovine (podataka, programa,..) Identifikacija izlaganja (ranjivosti) sustava Analiza rizika Izgradnja i uspostava kontrola (sigurnosnih mjera) Analiza utroška i djelotvornosti
Postojeći modeli sigurnosti informacijskih sustava (konceptualni)
prstenasti model matrični model model životnog ciklusa. (Fischerova metoda, PDCA,..)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
36
Prijetnje i obrana prema prstenastom modelu (AFIPS)
Štrajk
Sabotaža
KOMUNIKACIJE
Uhođenje
Raspoloživost sustava Zakonski i socijalno
zahtijevano ovlaštenje
Prijevara
Krađa
Oluja Zemljotres Vatra Potop Svjetlo
Razuzdanost Štrajkovi Industrijske nesreće Gubitak opksrbe
DOBRO IZVRŠENJE OPERACIJA
BAZA
PODATAKA
PROGRAMI
KONTROLA PRISTUPA
SPREMIŠTE
INPUT/ OUTPUT
OSOBLJE I OPERACIJSKI SUSTAV
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
37
Matrični model (Parkerove sigurnosne dimenzije)
APLIKACIJE
DA
TA P
RO
CES
SIN
G A
CTI
VIT
IES
STRUČNE EXPERTIZE
FUN
KC
IJE
Sigu
rnos
ne
D
imen
zije
Plać
e
Sustavsko planiranje & Standardi
Ispravak
Oporavake
Otkrivanje
Sprečavanje
Zastrašivanje Odvraćanje
Fizi
čke
Sustavsko programiranje
Programiranje aplikacija
Operacije (obrada)
Ope
rativ
ne
Proc
edur
alne
Upr
avlja
čke
Pers
onal
ne
Tehn
ičke
Prim
ljeni
raču
ni
Upr
avlja
nje
Kon
trola
skla
dišt
a
Ope
raci
jski
Tim
e Sh
arin
g
Nad
zor
. . .
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
38
Problemi sigurnosnih modela
Ono što su:
pasivni atributi. statički modeli, kategorijski topološki. slikoviti modeli.
Ono što treba:
logički modeli, dinamičniji, fluidni aktivni; modeli koji dozvoljavaju razmatranje različitih informacijskih
sustava.
Statički modeli sigurnosti : SIGURNOST = ANALIZA RIZIKA +
SIGURNOSNA POLITIKA + DIREKTNE TEHNIČKE MJERE SIGURNOSTI + NADZOR/AUDIT Dinamički modeli sigurnosti (često se nazivaju adaptivni modeli ): SIGURNOST = ANALIZA RIZIKA + SIGURNOSNA POLITIKA + PROVEDBA + PRAĆENJE PRIJETNJI/RANJIVOSTI + ODGOVOR NA PRIJETNJE/RANJIVOST
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
39
Osnovni principi upravljanja rizikom
Ocjena rizika i određivanje potreba Uspostava točke centralnog upravljanja Implementacija odgovarajućih politika i odgovarajućih kontrola Promocija brige o sigurnosti Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola)
Nakon ocjene rizika njihovih poslovnih operacija, organizacija treba:
Uspostaviti (donijeti) sigurnosne politike i odabrati sigurnosne mjere Povećati brigu korisnika za politike i sigurnosne mjere Nadgledati učinkovitost politika i kontrola Upotrebiti dobivene rezultate kako bi se modificirale politike i kontrole koje su potrebne.
#3. Mjerenje učinkovitosti (Pregledi i nadzor)
#2. Implemetacija sigurnosnog programa i upravljanje
#4. Redefiniranje ako je potrebno
Provođenje ocjene rizika
(Planiranje)
Provođenje ocjene stanja
rizika
Implementacija i provođenje sigurnosnih mjera
Procedure Tehničke mjere
Kružni model upravljanja rizikom Plan-Do-Check-Act (PDCA) model
#1. Formiranje osnove za sigurnosni program i zahtjeve
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
40
Primjeri uspješne prakse
1. Princip: Ocjena rizika i određivanje potreba Praksa 1. Prepoznavanje informacijskih sredstava i važnijih vrijednosti organizacije
koja se mora zaštititi: Praksa 2. Razviti praktične procedure ocjene rizika koje povezuju za�titu i sigurnost
informacija sa poslovnim potrebama: na primjer: organizacija može koristiti automatizirane liste za kontrolu (check list) za ocjenu rizika.
Praksa 3. Održavanje odgovornosti za rukovoditelje programa i poslovnih funkcija: Praksa 4. Upravljanje rizicima na kontinuiranoj osnovi:
2. Princip: Uspostava točke centralnog upravljanja Praksa 5. Određivanje centralne grupe koja provodi ključne aktivnosti: Praksa 6. Organizacija treba omogućiti centralnoj grupi nezavisan pristup izvr�nim
direktorima. Praksa 7. Određivanje(uspostava) namjenskog financijskog fonda i osoblja. Praksa 8. Poboljšanje profesionalnosti i tehničkih vje�tina osoblja
3.Princip: Implementacija odgovarajućih politika i odgovarajućih kontrola Praksa 9. Povezivanje politika sa poslovnim rizicima. Praksa 10. Razlikovanje politika od vodiča. Praksa 11. Potpora politikama kroz centralnu grupu za sigurnost informacija.
4. Princip: Promocija brige o sigurnosti Praksa 12. Kontinuirana izobrazba korisnika i drugih o rizicima i njima pripadajućim
politikama. Praksa 13. Upotreba tehnika koje potiču pa�nju i koje su «user friendly».
5. Princip. Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola) Praksa 14. Nadzor faktora koji utječu na rizik i koji pokazuju učinkovitost informacijske
sigurnosti (IA). Praksa 15. Upotreba dobivenih rezultata za usmjeravanje budućih napora i odr�avanje
odgovornosti rukovoditelja. Praksa 16. Potrebno je konstanto biti u potrazi za novim alatima i tehnikama za nadzor
(monitoring). Zaključak Proces upravljanja rizikom je integralni dio svakog programa sigurnosti (IA). Potrebno je započeti sa identifikacijom postojećih prijetnji na informacijske sustave te povezati te prijetnje sa ranjivo�ću informacijskih sustava. Tada kroz proces ocjene rizika, moguće je početi razvijati isplativi sigurnosni (IA) program.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
41
3. KONTROLA PRISTUPA i TOKA - MATEMATIČKI MODELI SIGURNOSTI Kontrola pristupa Računalni sustavi upravljaju pristupom podatcima i dijeljenim resursima kao što su memorija, �tampači, diskovi i dr. Oni moraju osigurati pristup tim resursima primarno zbog očuvanja integriteta informacijske sigurnosti, a ne toliko za očuvanje njegove povjerljivosti. Subjekti i objekti
Možemo specificirati:
Što je dozvoljeno subjektu da radi, ili �to mo�emo učiniti sa pojedinim objektom.
Operacije pristupa Modovi pristupa Na osnovnoj razini subjekti mogu pregledavati ili mijenjati objekte. Prema tome definiramo dva moda pristupa:
Pregled – gleda se samo sadržaj objekta Izmjena – mijenja se sadržaj objekta.
Pristupna prava i atributi Mod/prava pristupa
Izvedi Dodaj Pročitaj Zapiši
Pregled X X Izmjena X X
Prava pristupa u Bell-LaPadula modelu
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
42
Odnosi između pristupnih prava i pristupnih atributa za Multics.
Data segmenti Segmenti direktorija Čitaj r Status r Izvedi e Status, promjeni w Čitaj, pi�i w Dodaj a Piši a Pretraži e Unix Politika pristupne kontrole je izražena kroz tri operacije :
Čitaj – čitanje datoteke Piši – pisanje u datoteku Izvedi – izvedi (program) datoteku
Ove operacije se razlikuju od BLP modela. Na primjer, operacija pisanja UNIX-a ne uključuje pristup za čitanje. Kada se primjenjuju prava pristupa na direktorij, tada ta prava imaju slijedeće značenje:
Čitaj – ispis sadržaja direktorija Piši – kreiraj ili promjeni ime datoteke u direktoriju Izvedi – pretraži direktorij
Vlasništvo Odgovornost za postavljanje te politike pristupa::
Vlasnik resursa određuje kome se dozvoljava da ima pristup. Takva se politika naziva diskreciona budući je upravljanje pristupom u nadle�nosti vlasnika.
Politika na razini sustava određuje tko ima pravo na pristup. Iz jasnih razloga takva politika se naziva obvezatna (mandatory).
Struktura kontrole pristupa
S kao skup subjekta O kao skup objekta A kao skup pristupnih operacija
Matrica kontrole pristupa M = (Mso)sS, oO i Mso podskup od A
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
43
Primjer takve matrice je dan u donjoj tablici: Subjekti/objekti Bill.doc Edit.exe Fun.com Ana izvedi Izvedi, čitaj Bojan Čitaj, pi�i Izvedi Izvedi, čitaj, pi�i Sposobnosti Svakom subjektu se pridjeljuju sposobnosti , čime se definiraju pristupna prava subjekta. Pote�koće:
Te�ko je doći do spoznaje tko ima dozvolu pristupa za dani objekt Vrlo je teško opozvati sposobnosti, budući treba odr�avati zapise (trag) o svakoj
dodjeli sposobnosti drugim subjektima (trećim stranama). Liste za kontrolu pristupa (ACL) ACL spremaju pristupna prava na objekte sa samim objektima. Pristupne liste su pogodne za operacijske sustave koji upravljaju objektima (resursima) računalnog sustava.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
44
Sustavi za kontrolu pristupa Funkcijski, oni se sastoje od dviju komponenti:
1. Skup politika i pravila pristupa: informacija smještena u sustavu, za koju postoje pravila pristupnih modova koja se moraju poštivati kad subjekti pristupaju objektima.
2. Skup kontrolnih procedura (sigurnosnih mehanizama) koji provjeravaju upit (zahtjeve za pristup) prema postavljenim pravilima ( proces validacije upita); upiti tada mogu biti odobreni, odbačeni ili modificirani, filtrirani za neovla�tene podatake.
Sigurnosne politike Osnovne politike su:
1. Politika minimalnih privilegija 2. Politika maksimalnih privilegija
U zatvorenim sustavima dozvoljavaju se samo eksplicitno ovlašteni (autorizirani) pristupi.
U otvorenim sustavima zahtjevi koji nisu eksplicitno zabranjeni su dozvoljeni.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
45
Sigurnosna politika:
Centralizirana Decentrlizirana
Moguće su i među politike:
Hierarhijski decentralizirana autorizacija, Vlasništvo. Kooperativna autorizacija.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
46
Politike kontrole pristupa Mandatna (MAC) Diskreciona (DAC)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
47
Mandatna politika
. Klasifikacijske razine su napr.: 0 = Neklasificirano 1 = Povjerljivo 2 = Tajno 3 =Vrlo tajno Kategorije : Nuclear – Nato – Inteliligence Production – Personnel – Engineering _ Administration SC = (A,C) A je klasifikacijska razina, a C je kategorija. SC = (A,C) i SC’ = (A’, C’) : SC SC’ onda i samo kao su ispunjeni slijedeći uvjeti: A A’ i C’ C Tako je realcija:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
48
(2, Nuclear) (3, (Nuclear, nato) ispravana, verificirana, dok (2, (Nuclear, nato)) (3, Nato) nije . Diskrecione politike
Opoziv propagiranih prava Mandatne i diskrecione politike nisu međusobno isključive.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
49
Autorizacijska pravila (pravila ovlaštenja)
Matrica autorizacije. Ulaz u matrici A[i,j] Primjer matrice autorizacijedan je u tablici 1.1. Kontrole pristupa:
pristup ovisan o imenu (tablica 1.1) kontrole koja zavisi od sadržaja. Sigurnosno pravilo :
(s, o, t, p)
kontrola na bazi ovisnosti konteksta
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
50
Dodjela ili opoziv pristupnih prva zahtjevan od nekoliko opunomoćenika , sigurnosna pravila mogu biti šestorke :
(a,s,o, t,, p, f)
gdje je a opunomoćenik (subjekt) koji dodjeljuje s prava (o,t,p), dok je f zastavica kopiranja koja opisuje mogućnost da s dalje prenosi prava (o,t,p) na druge subjekte.
Pridru�enje pomoćnih procedura (AP) sigurnosnim pravilima, Potpuniji oblik autorizacijskih pravila je :
(a,s,t,o,p,f,{Ci,APi})
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
51
Kontrola pristupa temeljena na ulogama (RBAC-Role Based Access Control) Matrica pristupa direktno radi sa pristupnim pravima i dodjelom ili opozivom pristupa resursima (objektima IS-a) prema pojedinačnim dozvolama za subjekte:
Fino podešavanje Veliki trošak upravljanja i administriranja za velik broj korisnika i resursa Djelomično rje�enje - korisničke grupe
RBAC - Koncept grupiranja korisnika ,gdje korisnici dijele slične pristupne sposobnosti :
Lakše administriranje Reprezentacija upravljanja pristupom u stvarnom svijetu. Generalizirani oblik modela za kontrolu pristupa (simulacije DAC i MAC politika).
Osnove RBAC-a su:
Dozvole (prava) su pridružene ulogama, Korisnicima se pridružuju uloge i Odluka o pristupu se donosi na temelju članstva korisnika u primjenjivoj ulozi.
Slika: Osnovni odnosi između uloga, korisnika, dozvola i operacija. RBAC kao općeniti model kontrole pristupa podr�ava dva dobro poznata sigurnosna principa:
Razdvajanje dužnosti (separation of duty) Najmanjih prava (least privilege).
Veze korisnika, uloga i dozvola Konceptualno, ova pridruženja mogu se sjediniti sa dvije Bool-ove matrice - UR {korisnici, uloge} i PR {dozvole, uloge} definirane kao :
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
52
Gdje simbolizira operator pridruživanja njegove lijeve strane na desni operand, a u, r i p su skupovi korisnika, uloga i dozvola kojima upravljamo.
Slika 8.2 Pridruženje korisnik-uloga i dozvola-uloga kroz matrični prikaz Pregled odnosa u RBAC modelu Formalno, pregledi korisnik-uloga mogu se prikazati preslikavanjem ur i njegog inverza ur-1 što je definirano kao
ur:USERS →2ROLES
ur−1:ROLES →2USERS Skup uloga koje su pridružene danom korisniku definiran je kao
user_assigned_roles{u) = {r∊ROLES | UR[u, r] = true}. Pregledi dozvole-uloge mogu se prikazati preslikavanje pr i njegove inverzije pr-1 što je definirano kao
pr−1: PERMISSIONS → 2, ROLES
pr−1: ROLES → 2.{PERMISSION} Skup uloga kojima je pridijeljena pojedina dozvola dan je permission_assigned_roles(p) = {r ∊ ROLES | PR[p, r] = true}. Skup dozvola pridruženih pojedinoj ulozi dan je sa
role_assigned_permissions(r) = {p ∊ PERMISSIONS | PR[p, r] = true}.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
53
Hijerarhijski RBAC Matematički gledano hijerarhija uloga predstavlja parcijalno uređen odnos između uloga (ROLES x ROLES) �to se označava simbolom ≥. Svaki par vezanih uloga (tj. r1, r2 ∊ ROLES) takav da je r1 ≥ r2 opisan slijedećim svojstvima:
r1 je pridružena seniorska ulogu u odnosu na r2 r2 je pridružena juniorska uloga u odnosu na r1 r1 usvaja dozvole od r2 pored svojih vlastitih dozvola. To uključuje da su korisnici sa
seniorskom ulogom r1 automatski podskup korisnika sa juniorskom ulogom r2 .
Odnosi korisnika i njihovih dozvola u seniorskim i juniorskim ulogama Relacija parcijalnog uređenja ≥ definirana na skupu hijerarhijskih uloga također je opisana realcijom naslijeđivanja.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
54
SIGURNOSNI MEHANIZMI Odvajanje politike od mehanizama:
Diskusija o pravilima pristupa neovisno od mehanizama implementacije. Uspoređivanje različitih politika kontrole pristupa ili različitih mehanizama
implementacije iste politike. Izgradanja mehanizama sa mogućno�ću implementacije različitih politika.
Neispravne implementacije :
1. Odbacivanje dozvoljenih pristupa. 2. Dodjela zabranjenih pristupa.
Vanjski mehanizmi Cilj :
Minimizirati moguće prekr�aje; Minimizirati moguće naknadne �tete; Osigurati procedure oporavka.
Interni mehanizmi
1. Autentifikacija. Nešto što korisnikzna (lozinke, kod ) Nešto što je vlasništvo korisnika (mad. kartice, bađ, i dr) Fizičke karakteristike korisnika (otisci , potpis, glas, i dr.)
2. Kontrole pristupa . 3. Mehanizmi nadzora.:
Faza zapisivanja, gdje su zapisani svi upiti o pristupu i njihovi odgovori (kako ovla�teni tako i odbačeni);
Faza izvje�ćivanja, gdje se provjeravaju izvje�ća iz predhoden faze kako bi se detektirali mogući prekr�aji ili napadi.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
55
MATEMATIČKI MODELI SIGURNOSTI Zadaća modeliranja sigurnosti je proizvesti visoku razinu, programski neovisnog konceptualnog modela počevši od specifikacija zahtjeva koji opisuju potrebnu zaštitu informacijskog sustava.
Sigurnosni modeli zasnovani na teoriji konačnih automata Ukoliko �elimo govoriti o specifičnom svojstvu sustava, kao �to je sigurnost, koristeći model konačnog automata, moramo:
Identificirati sva stanja koja zadovoljavaju to svojstvo (sigurnost računalnog sustava) Provjeriti da li sva stanja tranzicije zadržavaju i dalje to svojstvo. Ako su ispunjene gore navedene stavke, i ako je sustav počeo iz inicijalnog stanja koje
je bilo sigurno, tada možemo indukcijom dokazati da se svojstvo sigurnosti sustava zadržava zauvijek.
Matematički modeli Podjela:
diskrecioni nediskrecioni (mandatni) modeli.
Diskrecioni modeli upravljaju pristupom korisnika informacijama na osnovi korisničkog identiteta i specificiranih pravila, za svakog korisnika i svaki objekt, te dozvoljenog načina pristupa korisnika objektu. Nediskrecioni (mandatni) sigurnosni modeli upravljaju pristupom pojedinaca informacijama na osnovu klasifikacija subjekata i objekata u informacijskom sustavu. Modeli
OS sigurnost
DB sigurnost
Diskreciona politika
Mandatna politika (tajnost)
Mandatna politika
(cjelovitost)
Kontrola toka
informacija
Kontrola pristupa
Matrica pristupa
* * * * Take- Grant
* * * * Aktivnost- Entitet
* * * * Wood i dr.
* * * Bell- LaPadula
* * * * * Biba
* * * * * Dion
* * * * * Sea View
* * * * * * Jajodia- Sandhu
* * * *
Smith- Winslett
* * * *
Rešetka (Denning)
* *
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
56
Ostale podjele: Ciljani sustav: na primjer, modeli za zaštitu OS-a, modeli za zaštitu baza podataka ili
oboje Vrsta politike: mandatna ili diskreciona. Adresirani pogledi na sigurnost: tajnost ili cjelovitost Vrste kontrola: neki modeli su orijentirani na kontrolu direktnog pristupa, indirektnog
pristupa ili kontrolu toka informacija. U opisu modela sigurnosti bit će razmatrani slijedeći aspekti: Subjekti. Objekti. Načini pristupa. Politike. Autorizacije/ovlaštenja. Administrativn prava. Axiomi.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
57
Elementi modela sigurnosti u sigurnosnom sustavu
Procesi Kontrola operacija administriranja
Zahtjevi za operacijama admin.
Kontrola pristupa
Zahtjevi za pristupom
Zahtjev odbačen
Autorizacija
Aksiomi i politike
Zahtjev odbačen
Objekti
Administrativna prava
Zahtjev autoriziran
Načini pristupa
Zahtjev autoriziran
Subjekti
Korisnici Administratori sigurnosti
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
58
Harrison-Ruzzo-Ullman (HRU) model matrice pristupa
. Stanje autorizacije/ovlaštenja
Q = (S,O,A), gje je: S je skup subjekata, koji predstavljaju aktivne entitete koji koriste sredstva sustava, te od
kojih se sustav mora zaštititi. O je skup objekata, koji predstavljaju entitete koji se moraju zaštititi. Takav skup se
sastoji i od pasivnih entiteta(sredstva sustava) i od aktivnih entiteta (subjekata). A je matrica pristupa. Redovi matrice odgovaraju subjektima, a stupci objektima. Element
matrice A[s,o] sadr�i podatke o načinu pristupa za koje je ovla�ten subjekt s kad pristupa objeku o.
Subjekti/Objekti
O1 ... Oj ... Om
S1 A[s1,o1] A[s1,oj] A[s1,om] . .
Si A[si,o1] A[si,oj] A[si,om] . .
Sn A[sn,o1] A[sn,oj] A[sn,om]
Matrica pristupa Načini/modovi pristupa
čitaj, piši, dodaj, izvedi, “vlastitost” privilegija (pokazuje na vlasništvo).
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
59
Operacije
Operacije Uvjeti
Rezultirajuće stanje Q�=(S�,O�,A�)
Unesi r u A[si,oj] si S oj
S ‘ = S O’ = O A’[si,oj] = A[si,,oj] U {r} A’[sm,ok] = A[sm,,ok] k j, m i,
Izbriši r iz A[si,oj] si S oj
S ‘ = S O’ = O A’[si,oj] = A[si,,oj] - {r} A’[sm,ok] = A[sm,,ok] k j, m i,
Kreiraj subjekt si si S S' =S { si} O' = O { si} A'[s,o] = A[s,o] s S, o A’[si,o] = o ' A’[s,oj] = s S'
Kreiraj objekt oj oj O S ‘ = S O' = O {oj} A'[s,o] = A[s,o] s S, o A’[si,oj] = s S'
Uništi subjekt si si S S' = S - { si}
O' = O - { si} A'[s,o] = A[s,o] s S', o '
Uništi objekt oj oj oj S
S ‘ = S O' = O - {oj} A'[s,o] = A[s,o] s S', o '
Primitivne operacije nad matricom pristupa
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
60
Naredbe Command c(x1, ... , xk) if r1 u A[xs1, xo1] and r2 u A[xs2, xo2] and . . rm u A[xsm, xom] and then op1
op2
.
.pn end
Q = Q0 op1
* Q1 op2* … opn
* Qn = Q' command CREATE(process, file) create object file enter O into A(process, file) end. command CONFERread(owner,friend,file) if O in A[owner,file] then enter R into A[friend, file]
end. command REVOKEread (owner, friend, file) if O in A[owner,file] then delete R from A[exfriend, file] end. command NEWCREATE(process,file) create object file enter O into A[process, file] enter R into A[process,file] enter W into A[process, file] end. Administriranje ovlaštenja/autorizacije Neka m bude generički mod pristupa:
Ovlaštenje m* u A[s,o] matrice pokazuje da je s ovlašten za dodjelu privilegije m na objekt o drugim subjektima.
comand TRANSFERread (subjekt1, subjekt2, file) if R* in A[subjekt1,file]
then enter R into A[subjekt2, file] end.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
61
Ovlaštenje m+ u A[s,o] matrice pristupa ukazuje da s može prenijeti drugim subjektima privilegije na objektu o, ali time gubi privilegiju i mogućnost za daljnju dodjelu.:
Command TRANSFER-ONLYread(subjekt1, subjekt2, file) if R+ in A[subjekt1,file] then delete R+ from A[subjekt1,file] enter R+ into A[subjekt2 ,file] end.
Primjena modela
S O A[s,o]
P1 F1 Own, R, W P1 F2 E, R+
P1 M1 R, W, E P1 P2 Ctrl P2 F1 R, W P2 M1 W P3 F1 R, W, E+
P3 F2 Own, E P3 M2 W, E a)
P1
P2
P3
F1 Own,R,W F2 E, R+
M1 R,W,E P2 Ctrl
F1 R,W M1 W
F1 R,W,E+
F2 Own, E M2 W, E M1 W
b)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
62
F1
F2
M1
P1 Own,R,W
P2 E, R+
P3 R,W,E
P4 Ctrl
P1 R,W
P2 W
P1 R,W,E+
P2 Own, E
P3 W, E
P4 W
c)
Alternativne metode spremanja matrice pristupa a) tablica s poljima (S,O,A), b) lista sposobnosti, c) ACL lista
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
63
Problemi s diskrecionim modelima
Program P
.........
......... read f1 write f2
A B C D
Datoteka f1 Datoteka f2
vlasnik x vlasnik y (x, write, f2)
(a)
Program P
.....
..... read f1 w rite f2
A B C D
A B C D
vlasnik x vlasnik y (x, w rite, f2)
datoteka f1 datoteka f2
(b)
Primjer Trojanskog konja: (a) program P sadrži skriveni kod za pristup datoteci f1 i f2; y može dodjeliti pravo pisanja na f2; (b) nakon �to korisnik x započne program, korisnik y ima pristup informaciji koja je prenesena iz datoteke f1(na koju korisnik y nema pravo čitanja) u f2 (koju on mo�e čitati). .
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
64
Nediskrecioni (mandatni) modeli sigurnosti Bell-LaPadula model (BLP) . Sigurnosna razina :
klasifikacija skup kategorija.
Klasifikacija je element skupa koji se sastoji od četiri elementa: Vrlo tajno(TS); Tajno(S); Povjerljivo(C); Neklasificirano(U). To je potpuno uređen skup za koji vrijedi: TS > S > C > U. Skup kategorija je podskup nehierarhijskog skupa elemenata ( područja primjene informacija ili područja pripadnosti podataka). Primjeri kategorija mogu biti Nato, Nuklearni odjel, Kripto zavod i dr. Skup sigurnosnih razina formira rešetku , koja je parcijalno uređena prema relaciji dominacije (). Sigurnosna razina L1=(C1,S1) je viša ili jednaka (dominira) nad sigurnosnom razinom L2=(C2,S2) onda i samo ako vrijede slijedeće relacije:
C1C2 i S1S2, gdje C odgovara klasifikaciji, S skupu kategorija. Za dvije sigurnosne razine L1 i L2 za koje ne vrijedi da je L1L2 niti L2L1 kažemo da nisu usporedive. Sigurnosna razina korisnika(subjekta) koja se naziva čistoća(clearance) korisnika. Sigurnosna razina objekta odražava osjetljivost informacija koju on sadrži.
Modovi pristupa:
Samo za čitanje Dodavanje Izvođenje: izvedi objekt (program) Čitaj-piši : piši u objekt.
Stanje sustava
Stanje sustava je opisano četvorkom (b,M,f,H) gdje su : b je trenutni skup prava. M je matrica pristupa koja opisuje prava subjekta na svakom objektu. f je funkcija razine koja svakom subjektu i objektu pridružuje njegovu razinu
sigurnosti. H je hijerarhija trenutnih objekata.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
65
Operacije
dobiti pravo : mijenja se b – dodjeljuje se odgovarajuća trojka u b oduzeti pravo: mijenja se b - ukida se odgovarajuća trojka u b dati pravo: prijenos prava sa jednog objekta na drugi povući pravo: oduzeti dana prava kreirati objekt: aktiviranje neaktivnog objekta i uključivanje u hijerarhiju H kao
čvora brisanje objekta: brisanje čvora iz H, a to povlači i brisanje svih prava po objektu mijenjanje nivoa sigurnosti subjekta mijenjanje nivoa sigurnosti objekt
Aksiomi
Svojstvo jednostavne sigurnosti ili svojstvo “ne-čitaj-od-gore” o (ss property– simple security)
Svojstvo zvijezde (*-property) ili svojstvo “ne-piši-na-dolje” Princip neuznemiravanja Svojstvo diskrecijske sigurnosti (ds-property )
Proširena verzija Bell-LaPadula modela:
nedostupnost neaktivnih objekata prepisivanje neaktivnih objekata
.
Ova svojstva (pravila) mogu se prikazati slikovito prema sigurnosnom dijagramu toka koji je
dan na slici 12.1.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
66
Biba model Razina cjelovitosti:
klasifikacija skup kategorija.
Klasifikacija je element uređenog tročlanog skupa : krucijalno (C), vrlo važno (VI) i važno (I) uz C>VI>I. Skup kategorija odgovara skupu kategorija u Bell-LaPadula modelu. Dion model U ovom se modelu kombinira kontrola tajnosti iz Bell-LaPadula modela i principi striktnih prava integriteta iz Biba modela podataka. Razine sigurnosti i razine integriteta se koriste kako su definirani u modelu Bell-LaPadula i Biba modelu
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
67
Clark-Wilson model Clark-Wilson model koristi se kod sigurnosnih zahtjeva komercijalnih aplikacija koji se uglavnom odnose na integritet podataka, a to znači sprečavanje neovlaštene izmjene podataka, prijevare i greške. Zahtjevi na integritet dijele se na dva dijela:
Internu konzistentnost: koja se odnosi na interno stanje sustava koje se održava samim računalnim sustavom
Eksternu konzistentnost: koja je usmjerena na odnos internog stanja sustava prema stvarnom svijetu te koja se treba provoditi izvan računalnog sustava na primjer preko nadzora (auditing).
Opći mehanizmi za provođenje i očuvanje integriteta su:
Dobro formirane transakcije : podatcima se mo�e manipulirati od strane specifičnog skupa programa, korisnika koji imaju pristup programima radije nego samim podatcima
Razdvajanje dužnosti : korisnici trebaju surađivati kako bi manipulirali s podatcima, te se moraju tajno dogovarati kako bi penetrirali u sustav.
Kod primjene Clark-Wilson modela integritet znači:
Biti ovlašten koristiti program za pristup podatcima kojima se može pristupiti samo preko tog programa.
U Clark-Wilson-ovom modelu gleda se na slijedeće korake:
1. Subjekti se moraju identificirati i autentificirati. 2. Na objektima mo�e raditi samo ograničeni skup programa. 3. Subjekti mogu izvoditi samo ograničeni skup programa. 4. Potrebno je održavati adekvatan zapis (log) o aktivnostima. 5. Sustav treba certificirati kako bi bili sigurni da dobro radi.
U formalizaciji ovog modela, podatci kojima se upravlja kroz sigurnosnu politiku nazivaju se ograničeni podatci (CDI-constrained data items). Ulazni podatci u sustav uključeni su kao neograničeni podatci (UDI - unconstrained data items) . Sa CDI podatcima mogu raditi samo transformacijske procedure (TP). Integritet stanja tih podataka se kontrolira kroz verifikacijske procedure za integritet (IVP). Sigurnosna svojstva su definirana kroz pet certifikacijskih pravila:
1. IVP provjerava da li su svi CDI podatci u ispravnom stanju po svakom izvođenju TP-a.
2. TP-ovi moraju biti certificirani da su ispravni, tj. valjani CDI mora biti transformiran opet u valjani CDI podatak. Svaki TP je certificiran za pristup posebnom skupu CDI podataka.
3. Pravila pristupa moraju zadovoljiti svaki zahtjev za razdvajanjem dužnosti.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
68
4. Sve TP procedure moraju zapisivati svoje aktivnosti u dnevnik (log) na principu dodavanja zapisa (append).
5. Svaki TP koji prihvati (uzima) UDI kao ulaz mora ga konvertirati u CDI ili ga mora odbaciti te uopće ne provodi transformaciju.
Četiri pravila za provođenje opisuju sigurnosne mehanizme unutar računalnog sustava koji provode sigurnosnu politiku. Ova pravila ukazuju na sličnost sa kontrolom pristupa u BLP modelu.
1. Sustav mora održavati i zaštiti listu ulaza (TPi:CDIa, CDIb, …) koja daje popis CDI-a za koje je TP certificiran za pristup.
2. Sustav mora održavati i zaštiti listu ulaza (UserID, TPi:CDIa, CDIb, …) koja daje specifikaciju TP procedura koje mogu izvoditi korisnici.
3. Sustav mora autentificirati svakog korisnika koji zahtjeva izvođenje TP procedure. 4. Samo subjekt koji je certificiran za izmjenu pristupnih pravila TP-a može mijenjati
odgovarajuće ulaze u listi. Taj subjekt nema prava za izvođenje te TP procedure. Zaključno mo�emo reći da je Clark-Wilson model prije svega okosnica i smjernica za formalizaciju sigurnosne politike, a ne model određene sigurnosne politike.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
69
Sea View Model (SEcure dAta VIEW model) Matematička struktura re�etke sigurnosnih razina
�elimo imati jednoznačni odgovor na slijedeća dva pitanja:
Za dva dana objekta na različitim sigurnosnim razinama koja je minimalna razina sigurnosti koju mora imati subjekt kako bi mu bilo dozvoljeno da čita oba objekta ?
Za dva dana subjekta na različitim sigurnosnim razinama koja je maksimalna sigurnosna razina objekta da bi se taj objekt mogao čitati od oba subjekta ?
Definicija: Rešetka (L, ≤) se sastoji od skupa L sigurnosnih razina i parcijalnog uređenja ≤, tako da za svaka dva elementa a,b є L postoji najmanja gornja granica u є L i najveća donja granica l є L, tj.
a ≤ u, b ≤ u i za svaki v є L : (a ≤ v ۸ b ≤ v ) → (v ≤ u) l ≤ a, l ≤ b i za svaki k є L : (k ≤ a ۸ k ≤ b ) → (l ≤ k)
U sigurnosti mi ka�emo ˝a je podređeno b˝ ili ˝b je nadređeno a˝ ako je a ≤ b. Tipičan primjer:
L je P ({a, b, c}), skup svih podskupova (power set) od {a, b, c}. Parcijalno uređenje je relacija između podskupova, a to je relacija podskupa .
A, B є P ({a, b, c}) postavljamo strelicu od A prema B ako i samo ako je A podskup od B i ako je A ≠ B i ako ne postoji C є P ({a, b, c}) takav da je A < C < B i da je A ≠ C i B ≠ C.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
70
Rešetka (P({a,b,c}), )
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
71
Više razinske baze podataka (MLS DB) Ukoliko želimo sakriti postojanje podataka veće osjetljivosti i da spriječimo aktiviranje tajnih kanala pribjegavamo pojmu višepojavnosti podataka u bazi kako bi:
sačuvali jedno od najva�nijih svojstava baze a to je njen integritet, spriječili otkrivanje povjerljivih podataka putem tajnih kanala.
Za realizaciju tih kontrola pristupa koriste se mandatne politike (MAC) prema principima BLP i Biba modela (Sea View model). Označavanje objekata Oznake su:
Oznaka baze podataka: za odluku da li korisnik može pristupiti relacijama unutar baze
Oznaka relacije: za odluku da li je korisniku dozvoljeno da pristupa n-torkama unutar relacije (tablice)
Oznaka n-torke: za odlučivanje da li je korisniku dozvoljeno da pristupi svim elementima unutar n-torke
Oznaka elementa: za odlučivanje da li je korisniku dozvoljeno da pristupi elementu. Sigurnosna politika treba biti:
Potpuna: sva polja u bazi podataka su za�tićena, i Konzistentna: da ne postoje konfliktna pravila koja upravljaju pristupom podacima.
Konzistentno adresiranje
Bazu podataka D; Relaciju R unutar baze podataka D; Primarni ključ za n-torku r unutar relacije R Atribut i , koji identificira element ri unutar n-torke r.
Kako bi došli do elementa ri moramo zadovoljiti slijedeći odnos pristupnih klasa: fo(D) ≤ fo(R) ≤ fo(r). fo(ri) ≤ fo(r) Višepojavnost (polyinstantiation) U MLS DB modelu (˝low˝ korisnik), korisnik niske razine povjerenja ne zna za postojanje podataka visoke razine. Imamo tri opcije:
Odbiti provođenje ažuriranja: no na taj način otkrivamo informaciju da postoji podatak više osjetljivosti,
Prepišemo staru vrijednost: time ne otkrivamo postojanje informacije više osjetljivosti, ali je uništavamo,
Izvodimo ažuriranje ali zadržavamo staru vrijednost: to se zove višepojavnost.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
72
Višerazinske tablice mogu razmatrati kao trodimenzionalna struktura sa slijedećim koordinatama:
Originalni primarni ključ Atribut Pristupna klasa
Sada možemo definirati integritet višepojavnosti za MLS DB : Ako dvije n-torke u relaciji imaju isti primarni ključ i odgovarajući ulazi za neke atribute imaju istu pristupnu klasu tada su i vrijednosti podataka tih atributa iste. Ako dvije n-torke relacije u bazi imaju isti primarni ključ i ako postoje neki atributi koji imaju različite pristupne klase tada i vrijednosti podataka tih atributa moraju biti različite Drugi dio pravila osigurava da trebamo samo jednu elementarnu operaciju kako bi došli do podatka iz višepojavne relacije.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
73
SEcure dAta VIEW model je model sigurnosti zaštite relacijskih baza. Kontrola pristupa:
diskrecijske i mandatne smjernice
Razine modela: Model kontrole mandatnog (obvezatnog) pristupa ( MAC – model, Mandatory
Access Control ) -Referentni monitor. Model povjerljive baze ( TCB – model, Trusted Computing Base )-diskrecijska
kontrola za višerazinske relacije.
TCB Model
MAC Model
ObjektiVišerazinska baza
(MLS DB)
Referentni monitorBLP + Biba model
Diskreciona politika
Obvezatna politika
(mandatna)
MAC objektiJednorazinska baza
(SL DB)
Subjekti
Pristup subjekta odbačen ili odobren
SEcure dAta VIEW Model(Sea View model)
MAC model Obavezne smjernice kojima se sumiraju aksiomi Bell-LaPadula i Biba modela su formalizirane preko subjekata, objekata i klasa pristupa.
Klase pristupa klasa tajnosti klasa integriteta. Pristupne klase Sea View modela formiraju rešetku prema parcijalno uređenoj relaciji dominacije ().
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
74
Za dvije klase C1 =(X1,Y1) i C2=(X2,Y2) vrijedi da je: C1 C2
onda i samo ako je X1 X2 i Y1 Y2, gdje su X1,X2 klase tajnosti, a Y1,Y2 su klase integriteta.
Na primjer: Pristupna klasa {(TS,Nato), (I,Nato)} dominira nad klasom {(S,Nato), (VI,Nato)}; dok su klase {(TS,Nato), (VI,Nato)} i {(S,Nato), (I,Nato)} neusporedive.
Objekti Objekti u MAC modelu su kontejneri koji sadrže informacije, a pristup kojima se mora kontrolirati.
Subjekti Subjekti u MAC modelu su procesi pokrenuti na zahtjev korisnika. (mintajnost, maxintegritet) naziva se klasa pisanja subjekta. (maxtajnost, minintegritet) naziva se klasa čitanja subjekta.
Modovi pristupa čitanje pisanje izvođenje
Aksiomi Izvođenje pristupnih modova nad objektima MAC modela provodi se kori�tenjem skupa aksioma. Ti aksiomi sumiraju principe Bell-LaPadula i Biba modela. (1) Svojstvo čitanja
readclass(s) access class(o). (2) Svojstvo pisanja writeclass(s) accessclass(o)
(3) Svojstvo izvođenja Subjekt može izvesti neki objekt samo ako je njegov maxintegritet manji ili
jednak od klase integriteta objekta, ta ako je njegova maxtajnost veća ili jednaka od klase tajnosti objekta koji se izvodi.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
75
Kombinirana svojstva za povjerljive subjekte TCB model
Ovaj model definira višerazinske relacije i formalizira pravila diskrecijske sigurnosti.
Višerazinske relacije
R(A1,C1, ... , An,Cn,Tc)
A1 C1 A2 C2 A3 C3 Ime CA1 Odjel CA2 zarada CA3 TC
Branimir U Odjel A U 10000 U TS Ana TS Odjel A TS 10000 TS TS Ana U Odjel B U 20000 U C
Stjepan S Odjel B S 20000 S S
Primjer relacije sa klasifikacijskom oznakom svakog atributa
Klasifikacija objekata u ovom modelu mora zadovoljiti slijedeća svojstva: (1) integritet klase baze Klasa pristupa relacijske sheme mora biti nadređena nazivnoj klasi baze kojoj pripada (2) Svojstvo vidljivosti podataka
Klasa pristupa relacijske sheme mora biti podređena najnižoj klasi pristupa podataka koji se može pohraniti u neku relaciju. Najviša donja granica raspona klasa pristupa danih za neki atribut mora biti nadređena klasi pristupa relacijske sheme.
(3) Klasa integriteta za poglede
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
76
Klasa pristupa pogledu (view-u) mora biti nadređena klasi pristupa bilo koje relacije ili pogleda imenovanog u definiciji pogleda.
Svojstva koja moraju biti zadovoljena u klasifikaciji višerazinskih relacija su:
(1) višerazinski integritet entiteta (2) višerazinski referencijalni integritet
Ime CA1 Odjel CA2 zarada CA3 TC Branimir U Odjel A U 10000 U TS Ana TS Odjel A TS 10000 TS TS Ana U Odjel A U 20000 U S Stjepan S Odjel B S 20000 S S
Višepojavna n-torka uz PK=(Ime,Odjel)) Subjekt klasifikacije S će od gornje vi�erazinske relacije vidjeti slijedeće:
Ime CA1 Odjel CA2 zarada CA3 TC Ana U Odjel A U 20000 U S Stjepan S Odjel B S 20000 S S
.
Pristup višerazinskim relacijama
(1) čistoća subjekta je podređena klasi pristupa podacima (ili je neusporediva)
Višepojavna n-torka se pojavljuje kada subjekt umeće n-torku koja ima iste
vrijednosti za primarni ključ kao postojeća ali je za taj subjekt nevidljiva. Višepojavni element se pojavljuje uvijek kada subjekt ažurira ono što se
pojavljuje kao nul element u n-torki, što zapravo skriva podatak sa više (ili neusporedive) pristupne klase.
Primjer: Razmotrimo li vi�erazinsku relaciju sa slijedeće slike :
te pretpostavimo da S-subjekt zahtjeva slijedeću operaciju:
A1 C1 A2 C2 A3 C3 Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS
Stjepan TS Odjel B TS 30000 TS TS
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
77
INSERT INTO Djelatnik VALUES Stjepan, Odjel A, 10000 rezultirajuća relacija koja sadr�i vi�erazinske n-torke izgleda:
Kao drugi primjer upotrebimo istu relaciju nad kojom S-subjekt izvodi slijedeću operaciju: UPDATE Djelatnik SET zarada = “20000” WHERE Ime = “Ana” Rezultirajuća vi�erazinska relacija sadrži višepojavni element kako je prikazano :
(2) čistoća subjekta je nadređena klasi pristupa podacima Višepojavnost n-torke pojavljuje se uvijek kada subjekt umeće n-torku koja
ima iste vrijednosti za primarni ključ kao već postojeća n-torka na nižoj razini. Vi�epojavnost elementa događa se uvijek kada subjekt a�urira atribut koji ima
vrijednost klasificiranu na nižoj razini.
Za primjer razmotrimo gornju relaciju nad kojom TS-subjekt zahtjeva slijedeću operaciju: UPDATE Djelatnik SET Odjel = “Odjel A” WHERE Ime = “Ana” Rezultirajuća relacija, gdje su dodane dvije n-torke, dana je na slijedećoj slici:
A1 C1 A2 C2 A3 C3 Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS
Stjepan TS Odjel B TS 30000 TS TS Stjepan S Odjel A S 10000 S S
A1 C1 A2 C2 A3 C3 Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS Ana S Odjel B S 20000 S S
Stjepan TS Odjel B TS 30000 TS TS
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
78
Kao drugi primjer, koristeći za ulaz istu relaciju kao u prethodnom primjeru, te pretpostavimo da TS-subjekt zahtjeva slijedeću operaciju: UPDATE Djelatnik SET Odjel = “Odjel B”, zarada = “20000” WHERE Ime = “Branimir” Rezultirajuća relacija, sa tri dodane n-torke izgleda kao na slijedećoj slici:
Smjernice diskrecijske sigurnosti (1) Modovi pristupa bazi:
null, list, create-mrelation, delete db, grant ,give grant (2) Modovi diskrecijskog pristupa relaciji
null, select , insert , update(i) , delete-tuple, create-view, delete-mrelation, reference, grant, give-grant
(3) Modovi pristupa MAC objektima read, write, null, grant, give-grant
Kontrola pristupa - Ako korisnik ima eksplicitnu zabranu pristupa objektu, ta zabrana
ima prednost pred pravima koja korisnik ima preko grupe ili osobno
- Ako korisnik nema osobnu zabranu, a ima osobno pravo na neki mod pristupa, tada ima samo to pravo pristupa i ne uzima se u obzir pravo definirano na nivou grupe
- Ako na nivou korisnika nisu specificirana prava na objekt i ako je korisnik član grupe kojoj pristup nije zabranjen, tada će korisnik imati prava pristupa jednaka pravima grupe.
A1 C1 A2 C2 A3 C3 Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S Ana S Odjel B S 30000 TS TS Ana S Odjel B S 20000 S S Ana S Odjel A TS 30000 TS TS Ana S Odjel A TS 20000 S S
Stjepan TS Odjel B TS 30000 TS TS
A1 C1 A2 C2 A3 C3 Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S Branimir S Odjel B TS 10000 S TS Branimir S Odjel A S 20000 TS TS Branimir S Odjel B TS 20000 Ts TS
Ana S Odjel B S 30000 TS TS Ana S Odjel B S 20000 S S
Stjepan TS Odjel B TS 30000 TS TS
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
79
Predstavljanje višerazinskih relacija Sea View politika zahtjeva da sigurnosni mehanizmi sustava koji provodi
diskrecionu sigurnost i sve ostale politike budu podvrgnuti sigurnosnoj jezgri koja provodi mandatnu (obvezatnu) sigurnost.
Sve informacije koje se koriste od TCB moraju se smjestiti u objekte MAC modela, a pristup njima se nadzire prema mandatnoj politici.To znači da svaka višerazinska relacija mora biti pohranjena u objektu MAC modela.
Kako su objekti u MAC modelu jednorazinski, svaka višerazinska relacija se rastavlja, a podaci se pohranjuju u različite objekte, ovisno o klasi pristupa.
Ovaj model pruža i način dekompozicije vi�erazinske relacije na standardne jednorazinske osnovne relacije relacijskog modela. Pri dekompoziciji se svi jednovrsno klasificirani atributi promatraju kao cjelina.
Svaka višerazinska relacija se tada pridružuje na jedan ili više jednorazinskih objekata (file ili particiju ) �tićenih referentnim monitorom koji provodi mandatnu politiku (MAC).
Subjekt neće moći pristupiti bilo kom podatku u temeljnoj relaciji ( kako bi pristupio vi�erazinskoj relaciji) ako klasa čitanja subjekta ne dominira klasi objekta koji sadrži spremljene podatke.
Smith i Winslett model (Model uvjerenja subjekta) Vi�erazinske baze izgledaju kao niz klasičnih relacijskih baza, po jedna baza za svaku razinu sigurnosne rešetke. Sve baze dijele istu strukturu, a svakoj bazi je pridružena klasa ili nivo sigurnosti. Baza na nekom nivou sadrži uvjerenje korisnika tog nivoa o stanju kakvo se odražava u
toj relacijskoj shemi. Subjekt vjeruje stanju baze na tom nivou. Subjekt i svi subjekti nižeg nivoa vide ono što
vjeruju da vide.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
80
MODELI ZA KONTROLU TOKA INFORMACIJA U BLP modelu informacija mo�e teći s visoke razine osjetljivosti prema niskoj kroz tajne kanale. Modeli informacijske sigurnosti razmatraju sve vrste toka informacija, ne samo direktni tok informacija koji je kontroliran kroz operacije pristupa kao što je to modelirano u BLP modelu. Neformalno, promjene stanja prouzrokuju tok informacija od objekta x na objekt y, ako mo�emo doznati o x kroz promatranje objekta y. Ako već znamo x, nema toka informacije iz x. Mi bi trebali razlikovati:
Eksplicitni tok informacija : pregledavamo y nakon pridruženja y := x; što nam daje vrijednost od x.
Implicitni tok informacija: pregledavamo y nakon uvjetne naredbe If x=0 then y:=1; što nam može pokazati ne�to o x čak i ako se pridru�enje y := 1 nije izvelo. Na primjer, ako je y = 2 mi znamo da je x ≠ 0.
Komponente modela toka informacija su:
Rešetka (L, ≤) sigurnosnih oznaka Skup označenih objekta Sigurnosna politika: tok informacija od jednog objekta sa sigurnosnom oznakom c1 na
objekt sa sigurnosnom oznakom c2 je dozvoljen samo ako je c1 ≤ c2 ; svaki tok informacija koji krši ovo pravilo je ilegalan.
Sustav se naziva sigurnim ako ne postoji ilegalnih tokova informacija. Prednost je ovih modela što pokrivaju sve vrste tokova informacija. Nedostatak je što postaje sve teže dizajnirati sigurnosni sustav. Ne-interferentni modeli su alternativa modelima za siguran tok informacija. Oni koriste različite formalizme kako bi opisali �to subjekt zna o stanju sustava. Subjekt s1 ne interferira (utječe) na subjekt s2 ako aktivnost od s1 ne utječe na pogled od s2 na sustav. To je kao i modeli toka informacija područje jakog istra�ivanja, jo� daleko od �irokih praktičnih rje�enja. Rešetkasti model za kontrolu toka informacije
Dosad razmatrani modeli bili su orijentirani na onemogućavanje direktnog pristupa podacima i očuvanje integriteta pri direktnom pristupu. Pri tome se nije uzeo u obzir protok podataka koji se dešava u objektno orijentiranim sustavima u kojima objekti međusobno komuniciraju porukama .
Formalna definicija
Model protoka informacija FM je definiran 5-orkom
FM=( N , P , SC , , )
gdje je :
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
81
N= { a, b, …. } skup objekata koji sadrže informacije. P={p, q, …. } je skup procesa koji izazivaju tok podataka. SC = { A, B ,…. } je skup sigurnosnih klasa pridruženih odvojenim klasama
informacija je binarni operator za kombinacije klasa koji zadovoljava svojstva asocijacije i
komutacije je relacija toka kojom se definira tok informacija iz jedne u drugu klasu
Definicija sigurnog modela Model protoka FM je siguran ako i samo ako ne postoji niz operacija koje bi izazvale tok koji narušava pravilo relacije “” .
Izvođenje re�etkastog modela (rad modela)
Trojka (SC , , ) formira univerzalnu ograničenu re�etku (UOR). (SC , ) je re�etka jer zadovoljava slijedeća svojstva: (1) (SC , ) je parcijalno uređen skup jer relacije na SC zadovoljavaju slijedeće:
refleksivnost: a SC vrijedi a a . tranzitivnost: a , b ,c SC: a b b c a c . antisimetričnost: a , b SC : a b b a a = b (2) SC je konačan. (3) SC ima donju granicu L:LA A SC.
(4) je operator najniže gornje granice na SC.
Klasifikacije vi�erazinskih modela mogu se također predstaviti pomoću re�etke. Na primjer , za dani skup nivoa sigurnosti, definiranih na skupu klasa sigurnosti C Bell-LaPadula modela, te na skupu kategorija S, rešetka je opisana kao: L1 = (C1,S1) , L2 = (C2,S2)
L1 <= L2 (C1, S1) <= (C2, S2) C1 <= C2, S1 S2 (C1, S1) (C2, S2) = (max (C1, C2), S1 S2 ) (C1, S1) (C2, S2) = (min (C1, C2), S1 S2 ) L = ( Neklasificirano, {} ) H = ( Vrlo tajno, S )
Na donjim slikama su prikazana dva primjera rešetke u smislu opisa i predstavljanja, te rešetka BLP modela.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
82
OPIS: PRIKAZ: SC = { a1, … ,an }
An
Ai Aj ako je i<=j
An-1
Ai Aj = amax(i,j)
…..
Ai Aj = amin(i,j)
L=A1
A2
H=An
A1
Uređena linearna re�etka OPIS: PRIKAZ: {x, y, z} {y,z} SC = Powerset(S) AB iff AB {x, y} {y} A B = A B A B = A B L=, H=S {x, z} {z}
{x}
Rešetka podskupova od S={ x, y, z, }
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
83
Rešetka za Bell-LaPadula model, za klasifikaciju(S>C>U)
i skup kategorija ((H = LUB, L = GLB)
Rešetka BLP modela
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
84
Implicitni i eksplicitni tok Primjenom modela rešetke na kontrolu toka, analiza svih tokova u programu postaje vrlo slo�ena, jer svi mogući tokovi nisu eksplicitno navedeni. Zbog toga se uvodi pojam eksplicitnog i implicitnog toka. Tok u objekt b je eksplicitan kada je to rezultat bilo koje operacije koja direktno iz
operanada prenosi informaciju u b. Tok u objekt b je implicitan ako se dešava izvršavanjem (ili neizvršavanjem) uvjetne
instrukcije koja izaziva eksplicitni tok u b. Sa ciljem specificiranja sigurnosnih zahtjeva na programe koji izazivaju implicitni tok, mora se razmotriti apstraktno predstavljanje programa u kojem je sačuvan tok (ne nu�no i originalna struktura). Diskusija o mandatnim modelima
Modeli obvezne kontrole i modeli kontrole toka omogućuju praćenje toka informacija referentnim monitorom koji će osigurati pridr�avanje obveznih pravila.
Nedostatak primjene matematičkog modela obaveznih smjernica je strogost koja se u određenim okolinama ne mo�e primijeniti.
Korisnicima komercijalnih sustava nije uvijek moguće pridijeliti nivo razgraničenja ili nivo osjetljivosti podataka. Sadašnji sustavi sigurnosti se baziraju na kombinaciji uvjetnih i diskrecijskih kontrolnih pravila – npr. SEA View model.
Proširenjem modela diskrecijske kontrole u cilju kontrole toka informacija: o Obavezno poznavanje pravila za ograničenje toka informacija tijekom izvr�enja
procesa u operacijskom sustavu. o Drugim pristupom problemu pokušalo se osigurati pristup datotekama na bazi
nekih spoznaja o samoj datoteci. o Bertino (1993) za prevladavanje osjetljivosti diskrecijskih kontrolnih prava
objektno orijentiranih sustava predlaže uporabu striktnih “treba-znati” prava. o Pristup se sastoji u pridruživanju liste s pravima pristupa svakom objektu s
podacima . Pridružuju dvije liste zaštite – trenutni pristup i potencijalni pristup.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
85
MODEL KINESKOG ZIDA (Chinese Wall Model) Pravilo: Ne smije postojati tok informacija koji mo�e prouzročiti konflikt interesa. Ta politika kreće od tri razine apstrakcije:
Objekti. Na najnižoj razini su elementarni objekti, kao što su datoteke. Svaka datoteka sadrži informacije koje se odnose samo na jednu tvrtku.
Grupe tvrtki. Na slijedećoj razini, svi objekti koji se odnose na jednu tvrtku se grupiraju zajedno.
Konfliktne klase. Na najvišoj razini, sve grupe objekata za konkurentske tvrtke su grupirane .
Stanje sustava kako je definirano BLP modelom mora se malo adaptirati kako bi zadovoljilo ovoj sigurnosnoj politici:
Skup kompanija se označava s C. Skup objekta O su stavke informacija koje se odnose na pojedinu kompaniju.
Razumljivo je da su analitičari subjekti i da je S skup subjekta. Svi objekti koji se odnose na jednu kompaniju su skupljeni u grupi podataka za tu
tvrtku. Funkcija y : O → C daje grupu tvrtke za svaki objekt. Klase konfliktnih interesa pokazuju koje su kompanije međusobni konkurenti.
Funkcija x : O → P(C) daje klasu konflikta za svaki objekt, tj. daje skup kompanija koje ne bi trebale znati o sadržaju tog objekta. ( P (C) je skup od svih podskupova (power set) od svih kompanija C1, .. Cn).
Oči�ćena informacija je informacija oslobođena osjetljivih detalja i nije predmet ograničenja pristupa. Za oči�ćeni objekt o vrijedi x(o) = Ø (nul skup).
Zbog potrebe indirektne kontrole toka informacija uvodimo Bool-ovu matricu N = S x O sa vrijednostima:
Ns,o = 1, ako je subjekt s imao pristup objektu o. Ns,o = 0, ako subjekt s nije nikad imao pristup objektu o.
Ako je Ns,o = 0 za svaki s є S i za svaki o є O tada imamo sigurno početno stanje. Formalno možemo izraziti ss-svojstvo Bell-LaPadula modela kao:
Subjektu s se dozvoljava pristup objektu o samo ako za sve objekte o' sa Ns,o = 1 vrijedi da je y(o) x(o') ili y(o) = y(o').
Zbog kontrole indirektnog toka informacija uvodimo * svojstvo BLP modela kako bi kontrolirali pristup za pisanje.
Subjektu s se dozvoljava pristup pisanja u objekt o samo ako s nema pravo čitanja objekta o' za koji vrijedi y(o) ≠ y(o') i x(o') ≠ Ø .
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
86
Primjer sigurnosne politike za šest kompanija i tri konfliktne klase.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
87
4. OSNOVE KRIPTOGRAFIJE, PROTOKOLI, TEHNIKE I ALGORITMI Osnove kriptografije
Kriptografija grčkog je porijekla i sastoji se od dvije riječi :
KRIPTOS tajan, skriven GRAFIEN pisati
Kriptoanaliza Kriptologija
Pojmovi i terminologija
Prijenosni medij Izvorni tekst (plaintext) Kriptirani tekst (ciphertext) Enkripcija (E) Dekripcija(D) Ključ �ifriranja (K, KE ) Ključ de�ifriranja (K, KD )
C = E(P) i P = D(C) Sustavi za enkripciju i dekripciju nazivaju se kriptosustavi.
Algoritmi enkripcije
simetrična enkripcija C = E(K,P). P = D(K,E(K,P)).
asimetrična enkripcija
P = D(KD, E(KE,P))
Enkripcija
Enkripcija Dekripcija
Izvorni tekst
Šifrirani tekst
Izvorni tekst
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
88
Kriptografski ključevi Moderna kriptografija se ne oslanja na tajnost algoritma enkripcije. Ključ koji se koristi u kriptografskoj transformaciji treba biti jedina stavka koja treba zaštitu. Taj princip je postuliran od Kerckhoffs-a u pro�lom stoljeću. Upravljanje ključevima (key management) ima najveće značenje u enkripciji. Stoga je potrebno postaviti slijedeće pitanja:
Gdje se ključevi generiraju ? Kako se ključevi generiraju ? Gdje su ključevi uskladi�teni ? Kako su oni dospjeli tamo ? Gdje se ključevi stvarno koriste ? Kako se ključevi opozivaju i zamjenjuju ?
Kriptografija je vrlo rijetko potpuno rješenje za sigurnosni problem IS-a. Kriptografija je translacioni mehanizam, koja obično pretvara sigurnosni problem u komunikaciji u problem upravljanja ključevima, a samim time u problem računarske sigurnosti.
Enkripcija Dekripcija
Ključ
Izvorni tekst
Šifrirani tekst
Izvorni tekst
(a) Simetrični kripto sustav
Enkripcija Dekripcija
Ključ enkripcije KE Ključ dekripcije
KD
Izvorni tekst Šifrirani tekst Izvorni tekst
(b) Asimetrični kripto sustav
Enkripcija sa ključevima
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
89
Prvi poznati sustavi kriptiranja:
SKITALE kojeg su koristili Grci u 9. stoljeću p.n.e. Ceasar-ova šifra koja se bazira na translaciji slova abecede. "Vigner-ova šifra".
Osnovni pojmovi i primjene:
Privatnost Autentifikacija Identifikacija Razmjena ključeva Digitalni potpisi
Kriptoanaliza
pokušaj razbijanja jedne poruke pokušaj prepoznavanja uzorka u �ifriranoj poruci, kako bi mogao razbiti slijedeće
poruke primjenjujući prethodno pronađeni algoritam dekripcije pokušaj da se pronađe opća slabost enkripcijskog algoritma, bez potrebe dohvata bilo
koje poruke Probijena enkripcija Enkripcijski algoritam može biti probijen, �to znači da uz dosta vremena i podataka analitičar može odrediti algoritam.
Predstavljanje znakova poruke izvornog teksta SLOVO: A B C D E F G H I J K L M KOD: 0 1 2 3 4 5 6 7 8 9 10 11 12 SLOVO: N O P Q R S T U V W X Y Z KOD: 13 14 15 16 17 18 19 20 21 22 23 24 25 Vrste enkripcija:
supstitucija, transpozicija.
Jednoabecedne šifre (Supstitucija)
Caesar-ova šifra ci = E(pi) = pi + 3
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
90
Puna transalcija Caesar-ove šifre je: Izvorni tekst: A B C D E F G H I J K L M N O P R S T U V W X Y Z Šifrirani tekst: d e f g h i j k l m n o p r s t u v w x y z a b c Upotrebom ove enkripcije poruka TREATY IMPOSSIBLE postaje wuhdwb lpsrvvleoh
Ostale jednoabecedne substitucije ABCDEFGHIJKLMNOPQRSTUVWXYZ key Na primjer: ABCDEFGHIJKLMNOPQRSTUVWXYZ k e y a b cd f ghi j l mn op q r s t u v w xz key = spectacular. ABCDEFGHIJKLMNOPQRSTUVWXYZ s p e c t a u l rbd f g h i j kn moq v w x yz key = adgj ABCDEFGHIJKLMNOPQRSTUVWXYZ a d g j mod 26
ABCDEFGHIJKLMNOPQRSTUVWXYZ a d g j mp s vybe h k n q twz c f i l o r ux Šifre višeabecedne supstitucije E1(T) = a i E2(T) = b dok E1(X) = b i E2(X) = a. dakle, E3 je prikazan kao prosjek od E1 i E2.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
91
Pretpostavimo dva enkripcijska algoritma kako je dole pokazano. Tablica za neparne pozicije (mod 26) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z a d g j n o s v y b e h k n q t w z c f i l o r u x Tablica za parne pozicije (mod 26) A B C D E F G H I J K L M N O P Q R S T U V W X Y Z n s x c h m r w bg l q v a f k p u z e j o t y d i TREAT YIMPO SSIBL E fumnf dyvtv czysh h
Vigenere tablica Želimo šifrirati poruku “but soft, what light through yonder window break� koristeći ključ juliet. j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK Vinegere tabela je skup od 26 permutacija.
Višeabecedna substitucija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
92
j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i e t j u l i
BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK k o ea s y c q s i ...
Perfektna šifra supstitucije
One-Time Pad Dugi nizovi (slijedovi) slučajnih brojeva Vernam-ova šifra
Poruka: VERNAM CIPHER Numerički ekvivalenti: V E R N A M C I P H E R 21 4 17 13 0 12 2 8 15 7 4 17 Sekvenca dvoznamenkastih slučajnih brojeva: 76 48 16 82 44 03 58 11 60 05 48 88
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
93
Rezultat: 19 0 7 17 18 15 8 19 23 12 0 1 t a h r s p i t x m a b
Binarna Vernam-ova šifra
Na primjer, binarni broj: 101101100101011100101101011100101
Slučajnim binarni niz: 101111011110110101100100100110001
Kriptirani tekst: 000010111011101001001001111010100
Generatori slučajnih brojeva
Linerni kongruencijski generator slučajnog broja ri+1 = (a * ri + b) mod n
Duge sekvence iz knjiga
XOR ili druga kombinirajuća funkcija
Kombinirajuća funkcija
Ista serija brojeva
Duga, neponavljajuća
serija brojeva
Izvorni tekst kriptirani tekst Izvorni tekst
...134549273
Vernam-ova šifra
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
94
Korištenje dvostruke poruke Kriptoanalitički alati:
distribucija frekvencija indeksi koincidencije razmatranje visoko vjerojatnih pojava slova i riječi analiza ponovljivih uzoraka upornost, organizacija, genijalnost i sreća.
Transpozicije (permutacije)
Stupčaste transpozicije c1 c2 c3 c4 c5 c6 c7 c8 c9 c10 c11 c12 c13 .......
Rezultirajući �ifarski tekst se dobije prolazom po stupcima
c1 c2 c3 c4 c5 c6 c7 c8 c9 c10 c11 c12 c13 ....... Dužina ove poruke je multipl od pet, tako da svi stupci izlaze jednake dužine. Ako poruka nije multiple od du�ine redova, zadnji stupci bitće kraći. Slabo učestalo slovo X se koristi da se ispune kratki stupci.
Složenost enkripcije/dekripcije Grupe dva, tri slova i ostali uzorci (digram, trigram..) Digrami Trigrami _______ _______ EN ENT RE ION ER AND NT ING TH IVE ON TIO IN FOR TF OUR AN THI
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
95
OR ONE ___________________________
Algoritam dvostruke transpozicije
Rezultat prvi transpozicije: tssoh oaniw haaso lrsto (i(m(g(h(w (u(t(p(i(r s)e)e)o)a) m)r)o)o)k) istwc nasns
Rezultat druge transpozicije: t n o (m (i m)t s s i l (g (r r) w x s w r (h s) o) c x o h s (w e) o) n x h a t (u e) k) a x o a o (t o) i s x a s (i (p a) s n x Šifriranje niza i bloka znakova (Stream & Block ciphers)
Šifriranje niza znakova (Stream cipher) Prednosti enkripcije niza su:
(+) Brzina transformacije (+) Niska propagacija greške.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
96
Nedostatci šifriranja niza su:
(-) Niska difuzija. (-) Sumnjičavost na zloćudna umetanja i izmjene
Šifriranje bloka znakova (Block cipher)
Y
ISSOPMI
Izvorni tekst
wdhuw
Šifrirani tekst
Šifriranje niza
Ključ (Opcionalno)
IH
Ključ (Opcionalno)
XN OI TP DF ES FG HJ KL
Izvorni tekst
po
Šifrirani tekst
ba cd fg hj fr
Šifriranje bloka
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
97
Prednosti:
(+) Difuzija. (+) Imunost na umetanja..
Nedostatci:
(-) Sporost enkripcije. (-) Propagacija greške.
Svojstva dobrog šifriranja
Shanon-ova svojstva
1. Iznos(veličina) potrebne tajnosti treba odrediti iznos odgovarajućeg rada za enkripciju i dekripciju.
2. Skup ključeva i algoritam enkripcije ne smije biti složen (kompliciran). 3. Implementacija procesa mora biti što jednostavnija. 4. Greška u šifriranju ne smije propagirati i prouzročiti uni�tenje daljnje informacije,
poruke. 5. Veličina �ifriranog teksta ne smije biti veća od teksta izvorne poruke.
Konfuzija i difuzija
Sa čime i kako rade kriptoanalitčari ?
Samo šifrirani tekst Potpuni ili djelomični izvorni tekst Šifrirani tekst bilo kojeg izvornog teksta Algoritam i šifrirani tekst
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
98
SIGURNI ENKRIPCIJSKI SUSTAVI
Brute force attack Princip najmanjeg posla Teški problemi: Složenost
o NP-complete problemi, o Galois-ova polja o Faktorizacija velikih brojeva
Modularna aritmetika Neka je m cijeli broj (integer). U nastavku ćemo m zvati modulom. Tada možemo definirati relaciju ekvivalencije ≡ na skupu cijelih brojeva : a ≡ b mod m ako i samo ako je a – b = λ * m za neki cijeli broj λ. Ka�emo da je ˝a je ekvivalentno b po modulu m ˝. Mo�emo provjeriti da je ≡ zaista relacija ekvivalencije koja dijeli skup cijelih brojeva u m ekvivalentnih klasa: (a)m = {b | a ≡ b mod m } , 0 ≤ a < m. Mnogo je bli�e označiti klasu ekvivalencije sa a mod m i mi ćemo koristiti tu konvenciju. Moguće je lako verificirati slijedeća korisna svojstva modularne aritmetike: (a mod m) + (b mod m) ≡ (a + b) mod m. (a mod b) * (b mod m) ≡ (a*b) mod m. a mod n ≡ b a ≡ b mod n (simetričnost) Također, za svaki a ≠ 0 mod p, p je prosti broj, postoji cijeli broj a-1 tako da je a* a-1 ≡ 1 mod p.
Definicija : Neka je p prosti broj i neka je a cijeli broj. Mulitlipakativni red od a po modulu p je najmanji cijeli broj n tako da vrijedi an ≡ 1 mod p. Fermat Little teorem : Za svaki a ≠ 0 mod p, p je prosti broj vrijedi ap-1 ≡ 1 mod p.
Sigurnost ovih algoritama se često odnosi na te�koću u rje�avanju slijedećih problema iz teorije brojeva:
Problem diskretnih logaritama (DLP-Discrete logarithm problem) : za dani modul p, p je prosti broj, na bazi a i vrijednosti y = ax mod p treba pronaći diskretni logaritam x od y.
Problem n-tog korijena : Za dane cijele brojeve m, n i a, pronađi cijeli broj b tako da je a = bn mod m. Rješenje za b je n-ti korijen od a po modulu m.
Faktorizacije : Za dani cijeli broj n pronađi njegove proste faktore.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
99
Sustavi za enkripciju upotrebom javnih ključeva
1976 Diffie i Hellman predložili su novu vrstu enkripcijskih sustava.
Motivacija Konvencionalni sustavi: n * (n-1)/2 ključeva. Svojstva sustava
Dva ključa: javni ključ i privatni ključ P = D(kPRIV, E(kPUB, P)). P = D(kPUB, E(kPRIV, P)). Rivest-Shamir-Adelman (RSA) enkripcija Uvod u RSA algoritam
Dva ključa, d i e se koriste za dekripciju i enkripciju. Izvorni tekst P se kriptira kao
Pe mod n.
E D
F A
B C
Novi ključevi koje treba dodati
Kreiranje novih privatnih kanala
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
100
Ključ za dekripciju je odabran tako da je
(Pe)d mod n = P. Detaljni opis enkripcijskog algoritma C = Pe mod n. P = Cd mod n.
Enkripcija i dekripcija su međusobno inverzne i komutativne. P = Cd mod n = (Pe)d mod n = (Pd)e mod n Izbor ključeva
Matematička osnova RSA algoritma Euler-ova funkcija (n) je broj pozitivnih cijelih brojeva manji od n, a koji su relativno prim brojevi (relativno prosti) u odnosu na n. Ako p prim broj, tada je (p) = (p-1) Dalje, ako je n = p* q, gdju su p i q oboje prosti brojevi, (n) = (p) * (q) = (p-1) * (q-1) Fermat i Little su pokazali: ap-1 mod p = 1 ap-1 = 1 mod p , gdje su a i p relativno prosti brojevi i a < p. Euler i Fermat su dokazali da je za svaki integer x ako su n i x relativno prosti. Pretpostavimo, da kriptiramo izvornu poruku P sa RSA, Tako da je E(P) = Pe. Tada moramo biti sigurni da mo`e vratiti poruku. Vrijednost e je odabrana tako da mo`emo odabrati njen inverz d. Budu}i su e i d inverzi mod n), ili
1)-(q * 1)-(p mod 1 d * e
xn) 1 mod n
e * d 1 mod (n)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
101
e * d = k * (n) + 1 (*) za neki cijeli broj k. To je pretpostavka koju dokazujemo. Zbog Euler/Fermat rezultata, te budući je (p-1) faktor od (n) Množenjem sa P daje Pk*n)+1 P mod p Isti argument vrijedi i za q, tako da je Pk*n)+1 P mod q Kombinirajući ta dva rezultata sa (*) daje (Pe)d = Pe*d = Pk*(n)+1 = P mod p = P mod q tako da je uz n = p*q (Pe)d = P mod n P = (Pe)d mod n (zbog simetričnosti mod. aritmetike) te da su e i d inverzne operacije, što i dokaz gore navedene pretpostavke. Primjer Neka su p = 11 i q = 13, n = p * q = 143 , a (n) = (p-1) * (q-1) = 10 * 12 = 120. e = 11. (relativno prost u odnossu na (p-1) * (q-1)). Inverz od 11 mod 120 je također 11 budući je 11*11 = 121 = 1 mod 120. e = d = 11 Poruka P = 7 se kriptira kako slijedi:
Pp-1 1 mod p
Pk*n)+1 P mod p Pk*n) 1 mod p
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
102
711 mod 143 = 106 E(7) = 106. To je točno jer vrijedi: D(106) = 10611 mod 143 = 7. El Gamal i Algoritam digitalnih potpisa Algoritam p – prost broj a,x – cijeli brojevi ( a < p i x<p) x – privatni ključ y - javni ključ
y = ax mod p. k – slučajni cijeli bro (0<k<p-1 ) r = ak mod p s = k-1 (m-xr) mod (p-1) gdje je k –1 multiplikativni inverz od k mod (p-1), tako da je k * k-1 = 1 mod (p-1)
Potpis poruke su r i s. Algoritam digitalnog potpisa (DSA)
2511 < p < 2512 (tako da je p grubo 170 decimalnih zanamenaka dug). 2159 < q < 2160. Algoritam eksplicitno koristi H(m) hash vrijednost poruke m. Izračunavaju r i s po mod q.
Hash algoritmi
Hash algoritam je kontrola koja �titi podatke od različitih izmjena Hash funkcija proizvodi reducirani oblik tijela podataka. Sažetak (digest) ili kontrolna vrijednost.
Opis hash algoritama
Kriptografska hash funkcija koristi kriptografsku funkciju kao dio hash funkcije.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
103
Sigurni hash algoritam(SHA)
ulazne podatke dužine koja je manja od 264 bitova reducira na 160 bitova(digest). W(0), W(1),.. W(15), su 32 bitne riječi (512 bitova) Svaki blok je ekspandiran od 16 riječi na 80 riječi sa
W(t) := W(t-3) W(t-8) W(t-14) W(t-16) , za t := 16 do 79
Inicijalizacija : H0 := 67452301, H1 := EFCDAB89, H2 := 98BADCFE, H3 := 10325476 i H4 := C3D2E1F0 (izraženo heksadecimalno).
Zadnji blok od 16 riječi, 160 bitni digest je pet riječi H0 H1 H2 H3 H4.
Sigurni sustavi kori�tenjem tajnog ključa (simetrični sustavi) Simetrični sustavi imaju nekoliko pote�koća: Kod svih kripto sustava sa ključevima, ako je ključ otkriven (ukraden, pogođen, kupljen
ili na drugi način kompromitiran) napadač mo�e neposredno dekriptirati informaciju koja im je dostupna.
Distribucija ključeva postaje problem. Broj ključeva se povećava sa kvadratom korisnika koji izmjenjuju tajnu informaciju. Simetrični sustavi, opisani kao konvencionalni, prije pojave javnog ključa, su relativno
slabi, ranjivi na različite kriptoanalitičke napade.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
104
Data Encryption Standard (DES) Pregled DES algoritma
Koristi supstitucije i permutacije (transpozicije) (repetitivno kroz 16 ciklusa). Izvorni tekst se kriptira kao blok od 64 bita. Ključ je dug 64 bita, stvarni ključ 56-bitova. Algoritam proizlazi iz dva koncepta Shanon-ove teorije tajnosti informacije
(konfuzije i difuzije), Dvije različite �ifre primjenjuju se alternativno (Shanon –ova produkt šifra)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
105
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
106
Detalji enkripcijskog algoritma
Ulaz u DES po blokovima 64 bita Inicijalna permutacija bloka Ključ se reducira od 64 na 56 (bez paritetnih bitova:8,16, ..64) Započinje ciklus (16 puta) Blok od 64 bita u dvije polovice (lijevu i desnu) Polovice se proširuju na 48 bitova (proširene permutacije) 56 bitni ključ se reducira na 48 bitova (permutirani izbori) Ključ se pomiče lijevo i permutira Ključ se kombinira sa desnom, pa sa lijevom polovicom Nova desna polovica, stara desna postaje nova lijeva. 16-ti ciklus , konačna permutacija, inverzija inicijalne permutacije (rezultat enkripcije)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
107
RIJNDAEL KRIPTOGRAFSKI ALGORITAM (AES) Simetrična blok enkripcija
Opis algoritma Pseudo kod
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
108
Substitucija nad ulaznim podacima (8-bitnim) – SubBytes() Svojstva
Nelinerana transformacija A - inverzibilna (reci su linearno nezavisni u GF(28) (Galoise polje -konačno polje -
256 elemenata) b` = A b-1 + c gdje je b = 8-bitni element konačnog polja GF(28) b = b7x7 + b6x6 + b5x5 + b4x4 + b3x3 + b2x2 + b1x + b0 b0 … b7 { 0,1} b-1 = multiplikativni inverz u GF(28) bb-1 = 1 mod f(x) f(x) = nereducibilni polinom f(x) = x8 + x4 + x3 + x + 1
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
109
Substitucijska tablica za 128 bitni blok (8-bitna)
Pomicanje redova – ShiftRows() Veličina bloka u bitovima
C0 C1 C2 C3
128 0 1 2 3 192 0 1 2 3 256 0 1 3 4
C0,.., C3 je broj pomaka u baytovima.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
110
Mješanje stupaca - MixColumns()
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
111
Dodavanje dijela pro�irenog ključa – AddRoundKey ()
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
112
Pro�irenje ključa Pseudo kod za pro�irenje ključa (izmjena)
Gdje je : w[i] = novi ključ w[i] = k[i] temp k[i] = stari klljuč, iz prethodne iteracije (runde) SubWord - operacijaje substitucije ista kao kod kriptiranja. RotWord – rotira sadržaj 32 bitnog registra za 8 bitova Rcon () – polje koje sadrži konstante W() – vrijednost novog ključa Dekriptiranje bloka Korištenje inverznih transformacija:
InvShiftRows InvSubBytes InvMixColumns
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
113
Zaključak:
Vrlo jednostavan za izvedbu kako u HW tako i SW Sna�an simetrični blok algoritam Baza algoritma su najjednostavnije matematičke operacije (zbrajanje i mno�enje u
konačnim GF poljima) Visok stupanj difuzije i konfuzije (substitucija, miješanje stupaca i redaka matrice
podataka – bloka) Miješanje nad 8-bitnim elementima, a ne nad bitovima kao kod DES-a
Uloga Rijndel internih funkcija:
SubBytes ima zadatak postizanja enkripcije uz primjenu nelinearne substitucije.. ShiftRows i MixColumns moraju izvršiti miješanje bajtova na različita mjesta
izvornog teksta (Shanon). AddRoundkey osigurava neophodnu tajnu, slučajnost distribucije poruke.
Brza i sigurna implementacija
U SubBytes, izračunavanje b-1 mo�e se djelotvorno učiniti upotrebom tablice pretraživanja, mala tablica od 256 parova baytova može se proizvesti jednom i koristiti zauvijek (može se čvrsto ugraditi u HW ili SW).
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
114
Budući su matrica A i vektor c konstantni , tablica pretraživanja može provesti cijelu transformaciju ( tablica od 256 ulaza).
U MixColumns, mno�enje između elemenata fiksne matrice i stupčastog vektora
mo�e se također realizirati upotrebom metode tablice pretra�ivanja.veličine od 2*256 = 512 ulaza.
Pozitivni utjecaj AES-a na primijenjenu kriptografiju
Višestruka enkripcija, kao što je triple-DES postaje nepotrebna sa pojavom AES-a .
Široka upotreba AES-a dovodi do pojave novih hash funkcija zadovoljavajuće sigurnosne jakosti.
AES kao i DES do sada, doprinosi punom razvoju kriptoanalize.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
115
Prikaz Rijndeal algoritma
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
116
Zalo�ni ključ i Clipper kriptiranje Clipper program (MOSAIC) Nazivi: Clipper, Capstone, Skipjack, MOSAIC, Tessera, Fortezza, i Escrowed Encryption Standard (EES). Koncept: zalo�ni ključ Tehnički aspekti
Koristi 32 ciklusa (DES 16) Ključ k 80 bitni (DES 56) Prijenos uključuje polje zakonske agencije (LEAF) Kriptiranje poruke M
D(E(M,k),k) = M
Agencijsko polje sadrži
E((E(k,u)&n&a), f)
Enkripcija Dekripcija
Ključ Izvorni tekst
Izvorni tekst Šifrirani tekst
(a) Konvencionalna enkripcija
Enkripcija Dekripcija
Ključ Izvorni tekst
Izvorni tekst Šifrirani tekst
Založna agencija
Dekripcija Ključ
Založna enkripcija
(b) Založna enkripcija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
117
gdje je: n – 30 bitni broj koji identificira jednu enkripcijsku jedinicu
u – 80 bitni enkripcijski ključ za n-tu jedinicu f - 80 bitni enkripcijski ključ za cijelu familiju Clipper chipova k – 80 bitni ključ za enkripciju poruke M a - autentifikator založne agencije Zakonski ovla�teno tijelo će na temelju svojih prava:
1. Prisluškivati komunikaciju. 2. Odrediti da enkripcija koristi Clipper. 3. Dekriptirati E((E(k,u)&n), f) kako bi dobili n. 4. Isporučiti n i kopiju naredbe suda svakoj od agencija. 5. Zaprimiti natrag obje polovice ključa u. 6. Koristiti u za dekripciju E(k,u) kako bi se dobio k, ključ sjednice s kojom je
ova komunikacija (poruka) kriptirana. 7. Dekriptirati komunikaciju (poruku) upotrebom ključa k.
k
M
Početak sa porukom M
k n A
Formiranje LEAF iz ID jedinice (n)
M n,A
u
k f Kriptirano pod:
Prijenosna polja Clipper poruke
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
118
Snaga kriptografskih algoritama Mjerenje jakosti kriptografskih algoritama je neka vrsta umjetnosti, koja katkada počiva na čvrstim matematičkim osnovama, a drugi puta le�i na intuiciji i iskustvu. Kriptografski algoritmi mogu biti:
Empirijski sigurni Sigurni uz dokaz Bezuvjetno sigurni
Algoritam je empirijski siguran kao je on održiv (nije probijen) u nekom vremenu testiranja. Dokazano sigurni algoritmi mogu ponuditi ono �to daje računarska sigurnost, tj dokazanu sigurnost. Dokazana sigurnost je izražena unutar okvira složene teorije. Neki algoritam je siguran ukoliko je proboj algoritma barem toliko težak kao rješavanje drugog problema za koji se zna da je težak. Bezuvjetno sigurni algoritmi ne mogu biti probijeni od strane napadača čak i uz primjenu neograničenih računarskih resursa. Šifarski tekst je zapravo rezultat od XOR bit operacije između niza bitova čistog teksta i niza bitova ključa. Primatelj provodi XOR nad šifarskim tekstom bit po bit uz isti niz bitova ključa, kako bi dobio izvorni tekst (Vernamov-a šifra).
Šifarski tekst Ključ = Izvorni tekst Ključ Ključ = Izvorni tekst Pažnja ! Šifarski tekst 1 Šifarski tekst 2 = Izvorni tekst 1 Ključ Izvorni tekst 2 Ključ = Izvorni tekst 1 Izvorni tekst 2 Osmi�ljanje dva preklapajuća izvorna tekst i nije te�ki kriptoanalitički problem.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
119
UPOTREBA KRIPTIRANJA KROZ PROTOKOLE
Definicija protokola Protokol je uređena sekvenca koraka koju provode dvije ili vi�e strana kao bi izveli određenu zadaću. Dobar protokol ima slijedeća svojstva:
Unaprijed je postavljen. Protokol je potpuno dizajniran prije njegove upotrebe. Međusobno prihvaćen. Sve strane u protokolu su usvojile njegove korake, kako su
dani. Nedvosmislenost. Niti jedna strana ne može krivo provoditi korak jer ga nije
razumjela. Potpunost. Za sve situacije predviđene su aktivnosti koje treba provesti.
Protokoli za distribuciju (uspostavu) ključeva
Protokoli za uzajamno dogovoreni ključ: ključevi koji su uspostavljeni bez pomoći treće strane.
Protokoli za transport ključeva: ključevi koji su generirani i distribuirani od treće strane.
Kada oblikujemo protokol za razmjenu ključeva moramo dakle odgovoriti na dva pitanja:
Koja će strana stradati ako se uspostavi slabi ključ ? Koja strana mo�e kontrolirati izbor ključa ?
Diffie-Hellman protokol Neka je p veliki i adekvatno izabran prosti broj i neka je g element od skupa cijelih prostih brojeva po modulu p. Ta dva cijela broja ne trebaju biti tajni. Protokol između Alice i Boba je slijedeći:
1. Alice izabire slučajni broj a i šalje Bobu ya
ya = ga (ya = ga mod n)
2. Bob izabire slučajni broj b i šalje Alice yb
yb = gb (yb = gb mod n) 3. Alice izračunava K
K = yb
a = gba
4. Bob izračunava K´
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
120
K´ = ya
b = gab K i K´ su jednaki (gab = gba) i predstavljaju dijeljeni tajni ključ. Ostaje jo� jedan problem. Niti jedna strana nezna sa kime dijeli tajni ključ. Ovdje su Sa i Sb potpisni klučevi od Alice i Bob , sSa i sSb označavaju generirane potpise pod tim ključevima. Koraci u tom protokolu su: 1. A→ B ga 2. B → A gb, eK(sSb(gb,ga)) 3. A →B eK(sSa(ga,gb)) Uspostava simetričnih klučeva
Izmjena simetričkih ključeva bez servera
Izmjena simetričnih ključeva upotrebom servera
Needham-Schroeder protokol
Distribucijski centar
Pavao Rina
(1)Daj mi ključ za komunikaciju sa Rinom
(2) Ovdje je ključ za tebe i kopija za Rinu
(3) Rina distribucijski centar mi je dao ovaj ključ za našu privatnu komunikaciju
Distribucija ključa kroz distribucijski centar (Needham-Schroeder Protokol)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
121
Gore navedena komunikacija je opisana slijedećim porukama: (1) - (P,R,Ip) (2) - E(Ip,R,KPR, E(KPR,P),KR)),KP) (3) - E((KPR,P), KR) KR i KP su ključevi komunikacije sa distribucijskim centrom te ga na početku posjeduju korisnici P i R. Gdje je: n - slučajni broj S - simetrični algoritam enkripcije
P A V A O
R I N A
(1) ER(DP(K))
Pavao �alje novi ključ, osigurana tajnost i autentičnost
(2) S(n,K)
Rina �alje kriptirani slučajni broj
(3) S(n+1, K)
Pavao vraća nasljednika od slučajnog broja
Protokol izmjene simetričnog ključa
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
122
Protokol izmjene asimetričnog ključa preko servera
Digitalni potpisi Digitalni potpis mora zadovoljiti dva primarna uvjeta:
Nekrivotvorljivost. Ako osoba P potpisuje poruku M s potpisom S(P,M), tada je nemoguće za svakoga da proizvede par [M, S(P,M)]
Autentičnost. Ako osoba R primi par [M, S(P,M)] poslan od P, R može kontrolirati da je potpis stvarno od P. Samo P je mogao kreirati ovaj potpis, i potpis je usko vezan na poruku M.
Dodatna dva svojstva su potrebna za transakcije koje se izvr�avaju uz pomoć digitalnih potpisa: Neizmjenjivost. Nakon što je odaslana poruka, M se ne može promijeniti niti od S,
R ili od napadača.
Distribucijski centar
P A V A O
R I NA
(1) Molim daj mi Rinin javni ključ (P,R)
(2) Tu je Rinin
javni ključ DD(ER,R)
(3) Ja sam Pavao, razgovarajmo, ER(P, IP)
(4) Molim daj mi Pavlov javni ključ (R,P)
(5) Tu je Pavlov javni ključ DD(EP, P)
(6) Ovdje Rina, što se događa ? EP(IP, IR)
(7) Uh, ja sam zaboravio, ER(M, IR)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
123
Nemogućnost ponovne upotrebljivosti. Prethodno prezentirana poruka će biti trenutno detektirana od R.
Enkripcijski sustavi javnog ključa
D( E(M,-),-) = M = E( D(M,-),-)
R S
M
D:KS
Za autentičnost, nekrivotvorljivost
Dekriptira M
Sprema kopiju za buduće
nesuglasice
D:KS
M
Asimetrični digitalni potpis
S R
D:KS
M
Za autentičnost nekrivitvorljivost
E:KR Za tajnost
Dekripcija (tajnost) M
D:KS
Dekripcija (autentičnost) M
Sačuvaj kopiju za buduće nesuglas.
M
D:KS
Dvostruka enkripcija u asimetričnom digitalnom potpisu
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
124
SSL (Secure Socket Layer) protokol
Namjena:
SSL je višenamjenski protokol za slanje kriptiranih informacija preko Interneta. To je zapravo sloj dodan između TCP/IP protokola i aplikacijskog sloja.
Dok je zadaća TCP/IP protokola slanje ispravnih anonimnih paketa između klijenta i poslužitelja, SSL dodaje:
autentifikaciju, neporecivost za obje strane putem digitalnih potpisa, povjerljivost i integritet (putem MAC-a) informacija koje se šalju.
Napadi:
Onemogućuje man-in-the-middle napad kada strane u biti ne znaju s kim zapravo
komuniciraju. SSL sadrži zaštitu i protiv replay napada kada napadač snimi poruku između dvije
strane i reemitira ju. Sadr�i čak i podr�ku za kompresiju podataka prije enkripcije.
Glavna primjena SSL-a :
Zaštita komunikacija preko Internet-a gdje osigurava privatnost, autentičnost i
integritet poruka koje se prenose između dvije strane SSL se koristi pri prijenosu osjetljivih informacija ( e-mail poruke, privatne
informacije ), ali i za obavljanje sigurnih transakcija preko Internet-a ( prijenos brojeva kreditnih kartica, elektroničkog novca - elektroničko plaćanje )
SSL sadrži sve što je potrebno za sigurnu razmjenu podataka preko mreže, jednostavan je za uporabu i �iroko je prihvaćen od strane korisnika. HTTP osiguran SSL-om naziva se HTTPS.
SSL certifikat mora sadržavati:
- duljinu potpisa - serijski broj certifikata (jedinstven unutar centralne institucije) - jedinstveno ime (distinguished name) - potpis algoritma (označava koji je algoritam kori�ten) - DNS ime servera - kod Netscapea su dozvoljeni wildcard znakovi dok Verisign i
ostale centralne institucije odbijaju potpisati certifikate sa wildcard znakovima (budući da se tako daju ovlasti bilo kojem računalu u domeni, a individualna računala ne moraju imati te ovlasti)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
125
SSL se sastoji od dva protokola:
SSL Handshake (rukovanje) protokol koji omogućuje klijentu i serveru međusobnu identifikaciju te razmjenu parametara za prijenos �ifriranim ključem (algoritam i ključeve), i
SSL Record (zapis) protokol koji obavlja šifriranje i prijenos poruka. SSL Record sloj prima neinterpretirane podatke od viših slojeva u blokovima proizvoljne dužine i njih fragmentira u SSL Plaintext slogove veličine 214 bajtova ili manje.
Svojstva koja zadovoljava SSL protokol:
kriptografska sigurnost - osiguravamo ju pomoću sigurnih algoritama za
kriptiranje interoperabilnost - moguće je komunikacija dvije aplikacije koje imaju različit
način implementacije SSLa proširljivost - dodavanjem dodatnih modula moguće je sačuvati gore navedena
svojstva relativna učinkovitost - ugradnjom jednostavnijih algoritama ne gubi se na
sigurnosti, ali se dobiva na brzini rada i smanjuje se opterećenje poslu�itelja
Postupak prijenosa podataka pomoću SSL-a može se podijeliti u dvije cjeline:
uspostavljanje sigurne veze prijenos podataka
Implementacija:
Postoji više programskih implementacija SSL-a. Ona prva potječe iz Netscapea i bila je
uključena u njegove pretra�ivače. Za tr�i�te SAD-a Netscape je pustio u prodaju referentnu SSL implementaciju u C-u (SSLRef). Kasnije se pojavila nezavisna implementacija SSLeay koja je globalno dostupna, a danas postoji i par implementacija u Javi.
TLS (Transport Layer Security) protokol
TLS je protokol vrlo sličan SSL-u 3.0. sa par razlika u izboru i korištenju enkripcijskih algoritama.
Nasljednik SSL-a, protokol TLS 1.0 ima istu funkciju kao i SSL no postoje sitne razlike između njih. Trenutno TLS 1.0 podr�avaju gotovo svi Internet preglednici, dok verziju TLS 1.1. podržavaju zasad Opera i GnuTLS.
Neke od razlika SSL i TLS protokola su :
numeriranje svih zapisa (record) i korištenje broja sekvence u fizičkoj adresi, fizička adresa mo�e se provjeravati samo s
ključem.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
126
TLS protokol sastoji se od dva sloja :
TLS record protokol i TLS Handshake protokol.
Unutar handshake protokola definirana su dva pomoćna protokola:
Alert protokol i Change Cipher Spec protokol.
Record protokol se koristi za enkapsulaciju paketa koji dolaze iz viših slojeva.
Paketi se:
rastavljaju na fragmente i komprimiraju , izračunava se autentifikacijski kod poruke (MAC), enkriptiraju, a rezultat se šalje nižim slojevima.
Na donjoj slici vidljiv je izgled TLS record paketa.
Content type Protocol
version Length Fragment MAC
Kriptirano Handshake protokol se koristi za:
međusobnu autentifikaciju između servera i klijenta dogovor enkripcijske metode te se razmjenjuju kriptografski ključevi.
Sam protokol se sastoji od tri dijela:
Handshake protokol; ovo je glavni dio, koristi se za dogovaranje verzije TLS
protokola između klijenta i servera, za odabiranje algoritma enkripcije te razmjenu ključa. Opcionalno, omogućuje autentifikaciju dviju strana za razmjenu shared secret vrijednosti,
Change cipher spec protokol se sastoji od jedne poruke koju šalju klijent i server, a slu�i za obavje�tavanje druge strane da će slijedeće poruke biti za�tićene kori�tenjem dogovorenih parametara
Alert protokol za obavještavanje druge strane da se veza prekida ili da je došlo do pogreške u radu.
Protokol podržava tri modela autentifikacije:
autentifikacija servera, autentifikacija obiju strana i potpuno anonimna veza.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
127
5. ARHITEKTURA SIGURNOSNOG SUSTAVA Namjena uspostave svake arhitekture jest osiguranje konzistentnosti u dizajnu složenih sustava. Tako je i zadatak ispravne sigurnosne arhitekture uspostava konzistentnog sustava sigurnosti složenog informacijskog sustava organizacije. Kroz sigurnosnu arhitekturu uspostavlja se slojeviti pristup čime se pojednostavnjuje slo�enost sustava sigurnosti. Model informacijske sigurnosti Potpuni model sigurnosnog sustava sastoji od tri cjeline:
Organizacijskog sustava Sustava upravljanja Tehnološkog sustava
Ovaj model dan je na slijedećoj slici.
Poslovna strategija i ciljevi Sigurnosni zahtjevi
Sigurnosna strategija i ciljevi Organizacijaska struktura Podjela posla -role Edukacija korisnika
Organizacijski sustav
Upravljanje propisima Upravljanje sredstvima Upravljanje rizikom Upravljanjem tehnologijom
Sustav upravljanja
Ocjena funkcionalnosti Validacija i autentifikacija Kontrola pristupa Integritet podataka Povjerljivost podataka Anti DoS
Zaštitna funkcionalnost (Sigurnosni servisi)
Funkcionalnost detekcije Funkcionalnost odgovora Funkcionalnost oporavaka
Tehnološki sustav
Vrednovanje sigurnosnog sustava
Sigurnosna arhitektura sustava, koji implementira gore navedeni model, sastoji se od nekoliko osnovnih blokova, prikazanih na slici 2.2
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
128
Slika 2.2 Model sigurnosne arhitekture
Model je podijeljen:
osnova, povjerenje i kontrola.
Osnova proizlazi iz poslovne i sigurnosne strategije. Povjerenje određuje sigurnosne servise i funkcije koje se moraju implementirati kako bi se postiglo povjerenje u informacijski sustav, a kontrola zahtjeva uspostavu sustava upravljanja i nadzora sigurno�ću (ISMS- Information Security Management System). Ovako prikazani model odgovara konceptualnoj razini SABSA modela koji će biti kasnije prikazan.
Osnova sigurnosnog sustava Osnova sigurnosnog sustava određena je:
strategijom (sigurnosnom politikom) organizacije, principima te definiranim sigurnosnim kriterijima i odabranim standardima.
Sigurnosna politika
Sigurnosna politika će: postaviti pravce, dati potpun vodič i demonstrirati potporu uprave te odanost sigurnosnom načinu rada
Povjerenje Kontrola
Sigurnost Raspoloživost
Integritet Kontrolapristupa Oporavak
Tajnost Kontinuiranost
Autentifikacija Postojanost
Neodbacivanje Konzistentnost
Performanse
Fizièki pristup Pristup mreži
Upravljanje
Mjerenje
Monitoriranje i detekcija
Promjene upravljanja
Nadzor
Osnova
Sigurnosna politika Sigurnosna naèela Sigurnosni kriteriji i standardi Izobrazba
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
129
Ciljevi sigurnosne politike: učinkovito upravljanje i nadzor rizika, definiranje odgovornosti djelatnika za za�titu informatičkih sredstava, postavljanje osnove za stabilne uvjete rada, osiguravanje podudarnosti sa primijenjenim zakonima i propisima, te mogućnost očuvanja, u slučaju zloupotrebe, gubitka, ili neovla�tenog otkrivanja
sredstava sustava. Načela
�to sigurnost znači za organizaciju i kako će ona biti uvedena ?
inherentno povjerljivi korisnici, inherentno nepovjerljivi korisnici.
Kriteriji i standardi Sigurnosni kriterij :
Definiran referentni standard (TCSEC) primijenjen na sigurnosnu komponentu i tehnologiju.
Edukacija
Formalni program edukacije - obavezna komponenta sigurnosne arhitekture.
Povjerenje
Sastav : sigurnosti, raspoloživosti i performansi.
Sigurnost
Komponente: integritet, kontrola pristupa (autorizacija) , tajnost, autentifikacija i neodbacivanje
Integritet
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
130
Mehanizam kontrole treba omogućiti :
detekciju, ispravak ili obilje�avanje namjerno ili slučajno nedopu�tenih izmjena (podataka,
programa, sklopova).
Kontrola pristupa (autorizacija)
Osnova: identifikacija autentifikacija
Autorizacija (podloga na): vremenskoj ovisnosti, klasifikaciji podataka, ulozi ili funkciji korisnika, sistemskoj adresi, vrsti transakcije, te vrsti zahtijevane usluge.
Tajnost Osnovna metoda kojom se informacija održava tajnom je kroz kriptiranje podataka. Autentifikacija
Jednoznačno identificiranje i verifikacija korisnika, stroja ili aplikacije. Osnova autorizacije i osnovni zahtjev za nadzor i kontrolu pristupa.
Neodbacivanje
Odbacivanje izvora (porijekla) Odbacivanje isporuke (prijema)
Raspoloživost
Kontinuiranost Postojanost Oporavak Konzistentnost
Napad: odbacivanje servisa (DoS).
Performanse
Odgovoriti na zahtjeve u prihvatljivom vremenu ?
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
131
Kontrola - Upravljanje i nadzor
Nadzor i upravljanje sigurnosnim mehanizmima:
Fizički pristup - kontrola pristupa stvarnim računarskim i mre�nim uređajima. Pristup mreži - kontrola pristupa mreži. Upravljanje - kontrola i nadzor sigurnosnih mehanizama. Mjerenje - utjecaj sigurnosnih mehanizama na rad sustava i mogućnost detekcije
neuobičajenih događaja. Monitoriranje i detekcija - mogućnost detekcije kompromitirajućih učinaka i
situacija. Promjene upravljanja - upravljanje izmjenama sigurnosnih mehanizama. Nadzor - evidencija (zapis) svih raspoloživih informacija za pregled sigurnosnih
događaja.
Sigurnosni kriteriji (odabir tehnologija)
Određivanje i definicija zahtjeva (svojstava) sigurnosne okoline. Vrednovanje sigurnosnih komponenti i primijenjene tehnologije. US DoD i NTSC (TCSEC), ECMA, X/Open,..) C2 (TCSEC)– minimum za IS
Sigurnosni standardi
Pomoć kod određivanja sigurnosne arhitekture.
Principi
Opći principi sigurnosti - General Accepted System Security Principles (GSSP) definirani su i prihvaćeni od strane Information Systems Security Association (17 principa)
Sigurnosna politika
Ne postoje posebni standardi . Pomoć:
Orange Book: Trusted Computer System Evaluation Criteria Red Book: Trusted Network Interpretation Green Book: Password Management Guide Blue Book: Personal Computer Security Considerations Brown Book: Trusted DBMS Interpretation Yellow Book: Trusted Environment Interpretation
Definicije
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
132
Standard sigurnosne arhitekture ISO/IEC 7498-2, Information Technology-Open Systems Interconnection-Basic Reference Model- Part2: Security Architecture (poznat kao ITU-T preporuke X.800)
Fizička sigurnost
Jedini standard koji postoji je National Communication Security 5100A (NACSIM 5100A) za Vladu USA, a naziva se Tempest standard.
Upravljanje sa sigurno�ću
Inačica 2 SNMP (Simple Network Management Protocol) standarda uključuje RFC 1351: Administracijski model; RFC 1352: Sigurnosne protokole; i RFC 1353: Definiciju objekata za upravljanje za potrebu administriranja SNMP dijelova..
Monitoriranje i detekcija
OSI standard, ISO/IEC 10164-7 (X.736), Security Alarm Reporting Function, daje 14 tipova alarma te njihov vjerojatni uzrok.
Nadzor
DCE RFC 29.0 prikazuje specifikacije za implementaciju podsustava nadzora u DCE uvjetima.
ISO/IEC 10164-8 (X.740), Security Audit Trail Function, koji definira slog zapisa i klasu događaja koji generiraju slog zapisa.
Autentifikacija
ISO/IEC 9594-8 (X.509), Directory Autentification Framework. X.811 standard Kontrola pristupa
ISO/IEC 10181-3 (X.812), Access Control –kontrola u distribuiranim sustavima Tajnost
ISO/IEC 10181-5 (X.814), Confidentiality Framework Neodbacivanje
ISO/IEC 10181-4 (X.813), Nonrepudation Framework - u distribuiranim uvjetima. Akreditacija
(FIPS PUBS #102) - program za certifikaciju i akreditaciju sigurnosnog sustava. Vodič
Dokumetirani opis procesa i procedura koje primjenjuju načela, politiku i standarde na stavrne sigurnosne mehanizme.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
133
SIGURNOSNE POLITIKE ORGANIZACIJE
Namjena:
Povlašteni korisnici Korisnici Vlasnici Uravnoteženje mogućih konflikata
Svojstva (Atributi)
Svrha Za�tićena sredstva Zaštita Pokrivenost Postojanost (trajnost) Realnost Koristnost
Donošenje sigurnosne politike
Skup vi�e pojedinačnih politika koje se odnose na pojedina područja.
Da li je sigurnosna politika potrebna ? zavisnost od informacija koje vode poslovanje, Inetrnet je područje koje unosi veliku pa�nju Radni okvir sigurnosne politike
Naredbe (iskazi) politike Svrha Djelokrug Podudarnost sa politikom - Penali/Posljedice
Osnovni sigurnosni elementi
Identifikacija Autentifikacija Autorizacija Zaporke Informacijski integritet
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
134
Politika odnosa prema podatcima
Klasifikacija podataka Čuvar podataka (vlasni�tvo) Nadzornik podataka (upravljanje) Integritet podataka
Politika u odnosu na osobno korištenje
Osobno korištenje Korištenje informacijskog sustava Privatnost
Politika upravljanja sigurno�ću sustava
Odgovornosti rukovodstva Upravljanje zapisima Sigurnosna administracija Razdvajanje dužnosti Procjena rizika Nadzor podudarnosti sa sigurnosnom politikom Odstupanje od politike Administracija sustava Klasifikacija sustava Kontinuitet poslovanja
.
Mrežne politike
Vanjski pristup mreži Udaljeni pristup mreži Privatnost komunikacija
Politike za korisnike
Briga korisnika Korisnička odgovornost
Programske politike
Prava kopiranja Zaštita od virusa
Ostale politike
Razvoj aplikacija Vanjske obrade Fizička sigurnost
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
135
Korištenje standarda
Proces kreiranja politika
Odgovornosti Priručnik o sigurnosnoj politici Briga o sigurnosti i izobrazba Proces implementacije sigurnosne politike
Primjeri sigurnosne politike Politika organizacije
Sigurnosne razine zaštite sredstava:
Sigurnosna razina 1 (SL1) nije izgrađena za za�titu bilo kojeg specifičnog sredstva ili da osigura bilo koju razinu zaštite poslovnim uslugama organizacije.
Sigurnosna razina 2 (SL2) izrađena je za za�titu regularnih sredstava i za osiguranje normalne za�tite od prijetnji koje dovode do o�tećenja koja dovode do privremenih posljedica na poslovanje organizacije.
Sigurnosna razina 3 (SL3) dizajnirana je za zaštitu važnih sredstava i za osiguranje visoke zaštite od prijetnji koje mogu dovesti do ozbiljnih o�tećenja ili da imaju ozbiljne posljedice na poslovanje organizacije.
Sigurnosna razina 4 (SL4) dizajnirana je da za�titi kritična sredstva i da osigura vrlo jaku za�titu od prijetnji koje mogu dovesti do vrlo ozbiljnog o�tećenja ili do nepopravljivih posljedica za poslovanje organizacije.
U.S. odjel za energetiku (DOE)
Izvod iz politike za zaštitu klasificiranog materijala:
Politika je DOE da klasificirana informacija kao i klasificirani AOP sustavi trebaju biti za�tićeni od neovla�tenog pristupa (uključujući provođenje treba-znati zaštita), promjena, izlaganja, uni�tenja, uplitanja sprečavanja servisa, subverzije sigurnosnih mjera, te nepravilnog korištenja kao rezultat špijunaže, kriminala, zle namjere, nemarnosti, uvredljivosti ili druge nepodesne akcije. DOE će koristiti sve razumne mjere da za�titi AOP sustave koji obrađuju, pohranjuju, prenose ili osiguravaju pristup klasificiranoj informaciji, �to uključuje, a nije ograničeno na, fizičku sigurnost, sigurnost osoba, sigurnost telekomunikacija, administrativnu sigurnost, te sklopovske i programske mjere sigurnosti. Takav tok postavlja ovu politiku te definira odgovornost za razvoj, implementaciju i periodičko vrednovanje DOE programa.
Internet
Politika sadrži :
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
136
Korisnici su individualno odgovorni za razumijevanje i respektiranje sigurnosnih politika sustava (računala i mre�a) koje oni koriste.
Korisnici su odgovorni da primjenjuju raspoložive sigurnosne mehanizme i procedure za za�titu njihovih vlastitih podataka. Oni su također odgovorni pripomoći za�titi sustava koje oni koriste.
Isporučioci računalnih i mre�nih usluga su odgovorni za odr�avanje sigurnosti sustava sa kojim rade. Oni su dalje odgovorni za obavještavanje korisnika o njihovoj sigurnosnoj politici i svim promjenama na nju.
Ponuđači i projektanti su odgovorni za osiguranje sustava koji su moderni te sadrže adekvatne sigurnosne kontrole.
Korisnici, isporučioci usluga, ponuđači sklopovske i programske podr�ke su odgovorni za međusobnu suradnju kako bi osigurali sigurnost.
Na tehničko pobolj�anje sigurnosnih protokola na Internetu treba gledati na kontinuiranoj osnovi. U isto vrijeme, osoblje koje razvija nove protokole, sklopove i programe za Internet treba uključiti razradu sigurnosti kao dio procesa dizajna i razvoja.
SABSA - model sigurnosne arhitekture Ovaj model predstavlja praktičnu podlogu za realizaciju sigurnosne arhitekture organizacije koja se koristi informacijskom tehnologijom. SABSA model sastoji se od šest razina kako je prikazano na slici 1.
Poslovni pogled Kontekstualna sigurnosna arhitektura
Pogled arhitekta Konceptualna sigurnosna arhitektura
Pogled dizajnera Logička sigurnosna arhitektura
Pogled graditelja Fizička sigurnosna arhitektura
Pogled trgovca Komponentna sigurnosna arhitektura
Pogled operativnog menadžera Operativna sigurnosna arhitektura
Slika 1. SABSA model sigurnosne arhitekture
Kontekstualna razina mora dati puno razumijevanje poslovnih zahtjeva na sigurnost informacijskog sustava, tj. �to, za�to, kako, tko, gdje i kada će se koristiti informacijski sustav. Odgovori na ta pitanja se dobivaju kroz poslovni pogled. To je opis poslovnog konteksta u kojem je potrebno projektirati, izgraditi i koristiti sigurnosne sustave. Pogled arhitekta predstavlja sveukupni koncept kroz koji se mogu realizirati poslovni zahtjevi na sigurnost. Ova razina arhitekture se naziva konceptualna razina jer ona definira principe i fundamentalne koncepte koji usmjeravaju selekciju i organizaciju logičkih i fizičkih elementa na nižim razinama SABSA modela.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
137
Pogled dizajnera se odnosi na preuzimanje konceptualne arhitekture i kreiranje logičke arhitekture. Ova arhitektura pokazuje na glavne elemente u obliku sigurnosnih servisa te pokazuje na logički tok upravljanja i na njihove odnose. Ovaj pogled modelira poslovanje kao sustav s njegovim komponentama koje predstavljaju podsustave. Pogled graditelja odnosi se na preuzimanje logičke arhitekture, koji logičke opise i sheme pretvara u tehnološki model koji se koristi za izgradnju sigurnosnog sustava koji se naziva fizička sigurnosna arhitektura. Pogled trgovca odnosi se na osiguranje određenih vje�tina i komponenti nu�nih za izgradnju sigurnosnog sustava, a koje se odnose na programske i sklopovske komponente za potrebne usluge koje trebaju zadovoljiti određene specifikacije i standarde. Pogled operativnog menad�era odnosi se na operacije sigurnosnog sustava, njegove različite servise, održavanje dobrog rada sustava te njegovog nadzora kako bi se postigle željene performanse i postavljeni sigurnosni zahtjevi.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
138
6. POSTUPCI DIGITALNE IDENTIFIKACIJE I AUTENTIFIKACIJE IDENTIFIKACIJA Identifikacija je osnova za sve aspekte sigurnosti. Svi korisnici, bilo to informacijska sredstva ili korisnici IS-a moraju imati jedinstveni identifikator. Identifikacija unutar tvrtke Vrsta identifikacije koju koristi tvrtka uvjetuje sve ostale sigurnosne procese. U globalnoj tvrtki postoji određen broj stvari na koje se treba osvrnuti. Zbog velikog broja stavaka za primjenu identifikatora uvodi se pojam upravljanja imenima. Jednoznačnost Identifikatori moraju biti jednoznačni kako bi se korisnik mogao pozitivno identificirati. Univerzalnost
Ista vrsta (tip) identifikatora treba biti raspoloživa za sve korisnike – pojedince, sustave, ili programe – sve što zahtjeva pristup informacijama.
Provjerljivost (verifikacija)
Treba postojati jednostavan i standardiziran postupak provjere identifikatora radi jednostavnosti arhitekture standardnog sučelja .
. Nekrivotvorljivost
Identifikator mora biti te�ak za krivotvorenje kako bi se spriječilo krivo predstavljanje Prenosivost (Transportabilnost) Identifikator mora biti prenosiv sa lokacije na lokaciju sa kojih korisnik treba pristup. Lakoća kori�tenja Identifikator mora biti jednostavan za korištenje u svim transakcijama koje ga zahtijevaju. .
Izdavanje identifikatora Privatno izdavanje Privatno izdavanje identifikatora daje organizaciji najvišu razinu kontrole. Javno izdavanje Javno izdavanje zahtjeva razinu povjerenja u organizaciju koja izdaje identifikaciju.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
139
Područje upotrebe
Područje upotrebe pokazuje kako �iroko će se koristiti identifikator, a prema tome koliko �iroko će on biti prihvaćen.
Usko područje
Usko područje kori�tenja identifikatora općenito daje vi�e kontrole lokalnom administriranju sustava.
Veliko područje
Veliko područje smanjuje broj potreba za identifikacijom i autentifikacijom. Koncept jedne prijave (single-sign-on SSO) se zaniva na području koje uključuje sve �to bi korisnik mogao trebati.
Administriranje identifikatora
Administriranje identifikatora uključuje kreiranje i opoziv identifikatora, proces distribucije identifikatora, te integraciju identifikatora u autentifikaciju, autorizaciju i administraciju sustava.
Centralizirana administracija Distribuirana administracija Mogućnosti implementacije Identifikacija mora biti raspoloživa svim pristupnim metodama. Standardi imenovanja (označavanja) identifikatora
Standardi imenovanja su izgrađeni na X.500, OSI standardu za usluge imenika (directory service: Active directory, LDAP).
Smart kartice
Smart kartice se mogu koristiti kako za fizičku identifikaciju tako i za elektroničku (digitalnu) identifikaciju
Fizička identifikacija se zahtjeva kako bi se osigurala fizička sigurnost. Elektronička (digitalna) identifikacija se koristi za svaki elektronički pristup.
Infrastruktura javnog ključa (PKI) Infrastruktura javnog ključa (PKI) je sustav koji koristi certifikate koji su zasnovani na kriptografiji javnog ključa za autentifikaciju identifikatora.
Greške identiteta Gre�ke identiteta dolaze od konfuzije identifikatora za dva različita pojedinca. To mo�e biti da identifikatori nisu jedinstveni ili zbog nepa�nje od strane ljudi koji ih uspoređuju.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
140
Upute (vodič) za izbor identifikatora (Check list)
Odrediti �to će se koristiti za identifikatore Odlučiti tko će izdavati identifikatore Postaviti zahtjeve neophodne za izdavanje identifikatora Odrediti zahtjeve na identifikaciju za svaku klasu transakcija Odrediti kako će se identifikacija administrirati Izlistati zahtjeve za izdavanje. Odrediti razloge za opoziv. Odlučiti kako će se informacija o identifikatorima implementirati i koristiti
AUTENTIFIKACIJA Autentifikacija je postupak verifikacije identiteta korisnika. Korisnici uključuju pojedine osobe, računalne uređaje i sredstva.
Aautentifikacijska funkcija F : F (autentifikacijska informacija) = očekivani rezultat
Faktori autentifikacije Faktori koji se mogu koristiti za autentifikaciju identiteta nekog entiteta su oni faktori koji su jedinstveni za taj specifični entitet. Osnovni faktori
Nešto što znate – dijeljena tajna, lozinka, nešto što korisnik i autentifikator znaju. Nešto što imate – fizički ID (npr. identifikacijska kartica, token, smart kartica) Nešto što jeste – mjerljiva svojstva (otisak prsta, facijalne karakteristike, boja glasa..)
Implicitni faktori
Implicitni faktori su atributi entiteta koji se mogu odrediti bez interakcije sa entitetom.
Fizička lokacija Logička lokacija.
Višestruki faktori Općenito kori�tenje vi�e faktora u autentifikaciji transakcija daje jaču autentifikaciju..
Modeli autentifikacije
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
141
Autentifikacija je verifikacija identiteta kako bi se spriječila impersonalizacija (krivo predstavljanje), te kako bi se osigurala razina povjerenja koja je nužna za korištenje ovlaštenja (autorizacija). Vrsta zahtijevane autentifikacije zavisit će od kvalitete identifikatora, pristupne metode, i zahtijevanih ovlaštenja (privilegija). Višestruka autentifikacija
U modelu višestruke autentifikacije svaka aplikacija ima potpun kontrolu korištenog identifikatora za entitet i metode za autentifikaciju.
Jednostruka autentifikacija (SSO) Jednostruka autentifikacija po sjednici, single sign-on (SSO), velika je prednost za korisnike. Višerazinska autentifikacija
Vi�erazinska autentifikacija je proces koji zahtjeva različite vrsta autentifikacije koje ovise o metodi pristupa, zahtijevanim sredstvima, te zahtijevanim dozvolama.
OPCIJE AUTENTIFIKACIJE Razina i vrsta autentifikacije zavisi od vrste identifikatora, pristupne metode, zahtijevane autorizacije, te područja koje je pokriveno autentifikacijom.
I Dvo-strana autentifikacija Dvo-strana autentifikacija može imati jedno-smjernu i dvo-smjernu shemu. Autentifikacijska informacija mo�e biti ili statička (napr. fiksna lozinka) ili dinamička (npr. one-time lozinka OTP) Lozinke
Ponovljive lozinke su najraširenija metoda za autetifikaciju danas (PAP).
One-time Pasword (OTP)-lozinke za jednu upotrebu je strategija korištenja lozinke samo jednom, pa i ako je ona uhvaćena , ona se ponovo ne koristi.
Lozinke Pobude-Odziva (CHAP) su druga metoda kojom se rješava problem
njuškanja lozinki po mreži.
Pobuda /odziv (CHAP)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
142
Shema autentifikacije pobuda/odziv je shema zasnovana na lozinkama u kojoj server postavlja pitanje korisniku - to znači postavlja izazov(pobudu)- a korisnik mora odgovoriti na odgovarajući način ili autetifikacija zavr�ava u gre�ci.
OTP lozinke
Lozinka je valjana samo za jednu sjednicu autentifikacije-ne prije i ne poslije (S/KEY).
Token kartica
Uređaj koji donosi lozinke. Token kartica generira različiti niz od osam znakova svaki puta kada se upotrijebi, pa je ona specijalni slučaj OTP sheme. (SecureID, od RSA Security )
Smart kartice
Naziv smart kartica opisuje komplet malog, veličine kreditne kartice, elektroničkog uređaja koji se koristi za pohranu podataka i identifikaciju. Osnovne karakteristike pametnih kartica
Podjela prema tehnologiji za pohranu podataka Magnetske kartice Kapacitivne kartice Optičke kartice Poluvodičke tehnologije
o Memorijske kartice o Procesorske kartice
Podjela prema načinu uspostavljanja komunikacije za memorijske i procesorske kartice
Kontaktno sučelje
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
143
Beskontaktno sučelje Kartice s dva sučelja
Svrha pametnih kartica
Ručni uređaji za autentifikaciju (HHAD)
HHAD su prenosivi uređaji, obično u veličini kreditnih kartica, koji imaju lokalno
spremište podataka i mogučnost računanja.
Kartice zasnovane na sekvenci. Kartice zasnovane na vremenu Kartice zasnovane na certifikatima
Biometrijska autentifikacija Biometrička autentifikacija koristi jedinstvenost izvjesnih fizičkih svojstava i karakteristika pojedinaca, kao što su otisci prstiju, slika rožnice oka, uzorak glasa ili facijalne karakteristike. Ta fizička svojstva ili karakteristike mogu se reprezentirati digitalno kao biometrični podatak ili biometrika. Osnove biometrike
Kako se ispituju biometrijski uzorci koji su povezani s ljudima ? Kako je taj uzorak spremljen ? Što čini podudarnost između prezentirane biometrike - "ponuđenog uzorka" i
upisanog predloška ? Važna sovstva:
o Veličina pogre�nog prihvaćanja (FAR - false acceptance rate) , dio pogre�no prihvaćenih podudarnosti za ne upisane osobe i
o Veličina pogre�nog odbacivanja (FRR - false rejection rate), dio pogre�no odbačenih podudarnosti za legalno upisane osobe
Otisci prstiju
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
144
Digital Persona U.are.U Pro fingerprint scanner.Fingerprint scanners can be attached to USB ports as an external peripheral or they can be embedded within devices.
Skaniranje dužice oka (Iris scan)
PPP AUTENTIFIKACIJA PPP protokol (Point-to-Point Protocol) osigurava standardnu metodu za enkapsulaciju informacije mre�nog protokola na linijama od točke-do-točke. Da bi se uspostavila veza preko komunikacijske linije, svaki kraj linije mora prvo razmijeniti Link Control Protocol (LCP) pakete kako bi dogovorio konfiguraciju veze koja se �eli uspostaviti. On uključuje i protokol autentifikacije.
PAP
PAP, Pasword Autetification Protocol (RFC 1334), osigurava jednostavnu metodu za korisnika za uspostavu njegova identiteta koristeći dvosmjernu razmjenu, kako je pokazano na slici 5.1.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
145
Slika 5.1 Dvo-smjerna PAP razmjena
CHAP
CHAP, Challenge Handshake Autetification Protocol (RFC 1994) je tro-smjerna razmjena koja se koristi da se verificira korisnika na PPP vezi (vidi sliku 5.2).
Slika 5.2 Tro-smjerna CHAP razmjena EAP
Proširivi autetifikacijski protokol (Extensible Authetification Protocol –EAP) (RFC 2284) je općeniti autetifikacijski protokol koji podr�ava vi�estruke autetifikacijske mehanizme.
Autentifikacijska razmjena je pokazana na slici 5.3.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
146
Slika 5.3 Tro-smjerna EAP razmjena
RADIUS
Sa RADIUS-om (Remote Access Dial In user Service – RFC2138) autentificiraju se udaljeni korisnici, koji se spajaju preko biranih linija.
Tipična RADIUS autetifikacijska sjednica u dial-in uvjetima radi kako je dano na slici 5.4
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
147
S/KEY i OTP
Ideja je da korisnik i uslu�no mjesto svako konstruira dugu listu OTP lozinki, svaka slijedeća proizašla je iz predhodne.
S – inicijalna lozinka plus dodatak (salt) H – hash funkcija (MD4 ili MD5) xi – elemet u listi lozinki N – broj ulaza u listi i = 1, .., N x1 = H(S) x2 = H(H(S)) = H(H(x1)) xi = H(xi – 1)
II Autentifikacija kroz povjerljivu treću stranu
Kerberos
Kerberos je mre�ni autentifikacijski sustav (RFC 1510) koji omogućuje verifikaciju identiteta entiteta u otvorenoj i neza�tićenoj mre�i koji koristi treću povjerljivu stranu (opisan kasnije u mrežnoj sigurnosti).
X.509 PKI infrastruktura
PKI infrastruktura specificirana je od strane ITU (International Telecomunication Union kroz X.509 standard (ITU97) (prije CCITT X.509), te definira okvir za provođenje autetifikacije kroz mre�u kori�tenjem kriptografije javnog ključa.
.
Slika 5.7 X.509 certifikacijska hierarhija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
148
PGP (Pretty Good Privacy) povjerljivi model
PGP (Zimmerman 1995) je familija softwarea koji je razvio Philip R. Zimmerman za za�titu i sigurnost elektroničke po�te, kroz enkripciju njenog sadr�aja i autentificiranje njenog pošiljaoca.
Slika 5.8 PGP mreža povjerenja
III Autentifikacija u VPN-u Uloga autentifikacije u VPN-u je da se verificira identitet strana uključenih u uspostavu VPN tunela. Autetifikacija između prospojnika Autentifikacija klijent-prospojnik
Slika 5.9 Autentifikacija u VPN-u
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
149
Upravljanje autentifikacijom Upravljane autentifikacijom treba biti jednostavno i integrirano u upravljanje identifikatorima. Autentifikacijski server Autentifikacijski server je sustav koji kontrolira autentifikaciju za potrebe IS tvrtke. On sadr�i centralni repozitorij identifikatora, te odgovarajućih autentifikacijskih metoda za svaki identifikator koje su zasnovane na pristupnoj metodi i zahtijevanim ovlaštenjima. Narušavanje autentifikacije Autentifikacija zahtjeva da entitet koji se autentificira šalje potvrde (vjerodajnice) entitetu koji provodi autentifikaciju. Direktni napadi
Direktni napadi su direktni napadi na sam proces autentifikacije.
Pogađanje je postupak pogađanja autentifikacijskih tokena sve dok se ne pogodi jedan ispravan.
Razbijanje (cracking) je proces stvarnog izračunavanja lozinki. Ipak treba reći, da je termin "cracking" često kori�ten kada je to ustvari pogađanje lozinki.
Indirektni napadi Njuškanje je proces prisluškivanja dok se sam identitet autentificira, te prihvat
autentifikacijske informacije. Dohvat i odgovor je proces dohvata autentifikacijske komunikacije i odgovor na
nju, tako da autentifikator misli da se entitet reautentificira. Otimanje sjednica (Session Hijacking) je krađa sjednice nakon što je provedena
autentifikacija.
Socijalni (društveni) napadi Napadi na pojedince u pokušaju da oni obznane token za autorizaciju. Socijalni inženjering je proces uvjeravanja nekoga da je sigurno otkriti željenu
informaciju. Istraživanje je proces otkrivanja korisničke pozadine kako bi se skupilo dovoljno
osobnih informacija koje bi omogućile određivanje vjerojatnih tokena. Pretraživanje je proces fizičkog pretra�ivanja za tokene koji pripadaju
korisnicima. Prisluškivanje je proces promatranja korisnika koji unosi token.
Upute (vodič) za izbor i primjenu autetifikacije (Check list)
Odrediti odgovarajuće metode za autentifikaciju unutar tvrtke
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
150
Standardizirati autentifikacjske postupke kroz cijelu tvrtku Zahtjevanu autetifikaciju treba zasnovati na:
o Pristupnoj metodi o Zahtijevanoj informaciji o Zahtijevanom ovlaštenju
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
151
PKI – infrastruktura javnog ključa (PUBLIC KEY INFRASTRUCTURE) PKI ima tri osnovna procesa:
cerifikaciju, validaciju, i opozivanje certifikata.
PKI arhitektura
Slika 5.10 PKI arhitektura Certifikacija Certifikacija objedinuje korisnički identitet sa njegovom relevantnom informacijom (ponekad se informacija ne odnosi na identitet nego i na druge atribute korisničkog entitetea). Da bi osigurao autentičnost i integritet takvog objedinjenja, CA potpisuje dokumenat sa svojim privatnim ključem. U toku certifikacije događa se nekoliko koraka:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
152
CA mora verificirati da je informacija koja treba biti sadržana u digitalnom certifikatu autentična i točna.
Generiranje parova ključeva. Korisnički javni ključ mora biti uključen u certifikat. Često korisnik sam generira par ključeva te �alje samo svoj javni ključ CA-u.
CA potpisuje certifikat sa privatnim ključem. To proizvodi dvije stvari: certifikat je potvrđen od CA, a i integritet certifikata je za�tićen.
Nakon što je digitalni certifikat kreiran i potpisan od CA, korisnik može dobiti certifikat od CA.
Validacija Certifikat mora biti validiran prije nego mu se vjeruje. Validacija certifikata uključuje slijedeće korake: Provjerava se integritet kroz verifikaciju digitalnog potpisa koristeći javni ključ od CA. Provjerava se valjanost intervala digitalnog certifikata. Provjerava se CRL lista od CA kako bi bili sigurni da certifikat nije opozvan. Opoziv certifikata Cerifikat se može opozvati prije njegovog isteka važenja, ukoliko postane neupotrebljiv zbog nečega, npr. kada se otkrije privatni ključ, ili informacija unutar njega vi�e nije valjana. CA opoziva certifikat uključujući ga u listu opozvanih certifikata koja se naziva lista opozvanih certifikata (CRL).. CA čini CRL poznatom objavljivanjem u dobro poznatom repozitoriju. CRL se a�urira periodički.
Modeli povjerenja Izvrsna matematička svojstva kriptografije javnog ključa ne mogu rije�iti problem kako se povjerenje ugrađuje i delegira u PKI infrastrukturi. Neki ljudi imaju viziju jednog globalnog PKI preko cijele kugle. Drugi vide konfederaciju PKI-ova zasnovanih na političkim strukturama kao �to su nacije i građanstvo. Neki drugi preferiraju model u kojem, povjerenje smje�teno u CA je ograničeno za specifične namjene za koje se uspostavlja CA. Model jednog CA povlači jedan PKI za cijeli svijet, gdje svatko koristi jedan CA kako bi dobio i verificirao certifikat. Hijerarhijski model ima jedan root CA koji nastavno delgira povjernje drugim CA-ovima u hierhijaskoj formi. PEM (Privacy Enchanced Mail – RFC 1422) i DNSSEC (Secure Domain Name System – RFC 2065) koriste taj pristup.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
153
Distribuirani modeli pretpostavljaju da su svi CA-ovi kreirani jednako. Svaki CA ima svoju vlastitu domenu povjernja i odgovoran je za konfiguriranje svojih vlastitih ključeva u aplikaciju. (PGP).
Problem unakrsne certifikacije (cross certification). Unakrsni certifikat Sigurnosna politika u domenama usklađena i usvojena
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
154
7. SUSTAVI ZA SIGURNOSNO UPRAVLJANJE I NADZOR TOKOVA PROCESA (WFMS) Obilno kori�tenje WFMS za kritične i strate�ke aplikacije podi�e brigu o prijetnjama sigurnosnim svojstvima kao što su:
Integritet koji sprečava neovla�tene modifikacije informacija. Integritet osigurava ispravnost i adekvatnost sadržaja informacija. Integritet se odnosi i na legitiman uzorak operacija u pristupu podatcima. U radnom toku (WF) nije dozvoljeno mijenjanje ili uništenje podataka od strane neovlaštenih agenata.
Autorizacija je identifikacija od strane sustava različitih funkcija koje korisnik može izvoditi. Pojedino pravo povezano je s ulogom koja izvodi određeni zadatak ili pristupa određenom sredstvu (npr. dokumentu). U radnom toku autorizacija znači da se niti jednom podatku ili sredstvu u bilo koje vrijeme ne može pristupiti bez određene autorizacije agenta koji koristi podatak ili neko drugo sredstvo informacijskog sustava.
Raspoloživost sprečava neovla�teno zadr�avanje neke informacije ili sredstva. Informacijsko sredstvo mora biti raspoloživo unutar specificiranog vremena (sjednice) jednom kada je zatraženo. U radnom toku podatak ili sredstvo mora biti na raspolaganju agentu za legitimnu upotrebu. To znači da radni tok ne mo�e biti zavr�en ukoliko ne postoji raspolo�iv agent za vrijeme izvođenja zadataka.
Općenito, sigurnosni zahtjevi su posebno potrebni u WF-u kada:
WF radi sa povjerljivim i osjetljivim podatcima. se informacija prenosi u ili od skupa agenata postoje posebne autorizacijske procedure za različita sredstva ili informacije koje treba
provoditi u izvođenju WF-a.
Glavnina istraživanja u WFMS-u odnosi se danas na infrastrukturu WFMS-a i na upravljanje transakcijama u izvođenju WF-a. Ovdje ćemo prikazati autorizacijski model (WAM) sa aspekta agenata, događaja i podataka koji izvodi WF na siguran način. Razvit ćemo autorizacijski model upotrebom vi�erazinskog konačnog automata Radni tok (Work Flow -WF) Radni tok može predstaviti kao parcijalno uređen skup zadataka, t1, t2, …. tm. Sigurni WF model Definicija 1. Sigurni WF je računalno podr�ani poslovni proces koji je sposoban nositi se sa sigurnosnim prijetnjama te koji je u stanju zadovoljiti sigurnosne zahtjeve koji su definirani od strane WF modelara. Definicija 2. Sigurni WFMS je sustav za upravljanje WF-a koji može specificirati, upravljati i izvoditi sigurni WF.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
155
Opis modela:
T = {t1, t2, …, tm} je skup od m zadataka. E = {e1, e2, …, et} je skup od t događaja. Specijalni događaj estart(workflow) okida
(pokreće) prvi zadatak od WF-a, a drugi specijalni događaj ecomleted(workflow) se generira nakon zadnjeg zadatka WF-a.
A = {a1, a2, …., an} je skup n agenata. TAC = {tac1, tac2, …, tacm} je skup od m privremenih pristupnih kontrola, TAC
specifikacija. D = {d1, d2, …., dp} je skup od p dokumenta. PR = {pr1, pr2, …, prq} je skup od q prava.
Realacije između gore navedenih entiteta su slijedeće:
C : A → T daje skup zadataka nad kojima agent ima mogućnost izvođenja. Pojašnjeno, C(ai) = {ti1, ti2, …, tik} je skup od k zadataka koji se mogu izvesti od strane agenta ai, tj. C(ai) T.
C-1 : A → T daje skup agenata koji imaju mogućnost izvođenja zadatka. Poja�njeno, C-1(ti) = {a1i1, a2, …., an} je skup od k agenata koji mogu izvoditi zadatak ti, tj. C-1(ti) A.
N : T → A je preslikavanje tipa jedan-na-jedan, što daje agenta kojemu je pridružen zadatak za izvođenje. Poja�njeno, N(ti) = ai je agent kojemu je pridru�eno izvođenje zadatka ti, tj. N(ti) A.
P : D → PR daje skup prava koja mogu biti dobivena za dokument. Pojašnjeno, P(di) = {pri1, pri2, …, prik} je skup od k prava koja mogu biti dobivena za document di, tj. P(di) PR.
F : T → TAC je preslikavanje tipa jedan-na-jedan što daje za svaki zadatak tj odgovarajuću TAC specifikaciju, tactj, tj. F(tj) TAC.
G : TAC → D x PR je preslikavanje koje daje skup parova dokument/prava specificiranih u TAC. Pojašnjeno, G(taci) = {(di1, pri1), (di2, pri2), …., (dik, prik)} je skup od k parova dokument/prava koji su navedeni u taci, gdje je j=1,2,…, k prij P(dij).
Treba uočiti da funkcija kompozicije F ◦ G : T → D x PR daje skup pristupa dokumentu koji su potrebni za vrijeme izvođenja određenog zadatka. Glavni razlozi za korištenje višerazinskog automata su:
Različiti aspekti toka autorizacije mogu se modelirati u jednom okviru. Vi�erazinski konačni automat podr�ava konkurentna stanja. Sa aspekta administriranja autorizacijama, administrator sigurnosti može
primijeniti različite sigurnosne servise za uspostavu sigurnosnih svojstava na različitim razinama.
Vi�erazinski automat omogućava analizu, simulaciju i validaciju WFMS sustava prije nego se taj sustav implementira.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
156
Vi�erazinski konačni automat za sigurni radni tok (WF)
Autorizacijska funkcija
WF razina Kontrolna razina Razina podataka
Assign(t,a) * GrantT(t,a,se) * RevokeT(t,a,se) * GenerateE(t,a,e) * Grant D(t,a,e) * RevokeD(t,a,e) *
Autorizacijske funkcije
Funkcija 1: Assign (t,a) se koristi kako bi se osiguralo svojstvo autorizacije, gdje sigurni WF model pridružuje zadatak agentu onda i samo onda ako ga agent može izvesti. Funkcija 2: GrantT(t,a,se) osigurava svojstvo integriteta i autorizacije tako da sigurni WF model dodjeljuje zadatak agentu za izvođenje onda i samo onda ako je generiran skup ulaznih događaja (se IE(t) ) , tj. izvođenje zadaka nije započeto dok ne zavr�e zavisni zadatci koji se odnose na relevantnu sjednicu. Funkcija 3: RevokeT(t,a,se) osigurava svojstva integriteta i autorizacije tako da sigurni WF model opoziva zadatak koji je bio pridružen agentu onda i samo onda ukoliko je generiran skup izlaznih događaja (se OE(t)), te ukoliko su povučena sva dodijeljena prava na dokumente u datoj sjednici. Funkcija 4: GenerateE(t,a,e) osigurava svojstvo integriteta i autorizacije tako da agent mo�e generirati događaj (e E) za zadatak onda i samo onda ukoliko je autoriziran u toj sjednici. Funkcija 5: GrantD(t,a,e) osigurava svojstvo integriteta autorizacije tako da sigurni WF model dodijeljuje agentu pravo na pristup dokumnetu za izvođenje onda i samo onda ako je to autorizirano sa zadatkovnim TAC-om u datoj sjednici. Funkcija 6: RevokeD(t,a,e) osigurava svojstvo integriteta i autorizacije tako da sigurni WF model povlači agentu pravo na pristup dokumentu onda i samo onda ako je pravo na pristup dokumentu ili zadatak završio u toj sjednici.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
157
Vi�erazinski konačni automat za sigurni radni tok (WF)
Rad modela:
Razina radnog toka (WF)
WF razina uključuje sigurnosna svojstva zadataka, događaja i agenata. Sigurnosni zahtjev koji će osigurati sigurnosno svojstvo raspoloživosti je : Za svaki zadatak mora postojati najmanje jedan agent koji ga može izvršiti.
Invarijantni izraz 1: C-1(t) 0.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
158
Sigurnosni zahtjev koji treba osigurati sigurnosno svojstvo integriteta i autorizacije na WF razini je: Agent može izvesti pridruženi zadatak onda i samo onda kao ima dodijeljeno pravo "izvedi". Sigurni WF mora povuči pravo od agenta kada je zadatak zavr�io izvođenje.
Invarijatni izraz 2: Agent a može izvoditi zadatak t onda i samo onda ako je t T , N(t) = a. Kontrolana razina
Tok autorizacije je upravljan sa događajima koje generira svaki zadatak, a kontrolna razina je jezgra sigurnog WF-a. Ona uključuje sigurnosna svojstva događaja i zadataka. Za vrijeme izvođenja zadatka agent generira različite vrste događaja kao �to su događaji za pristup dokumentu. Na primjer : "acquire(d, pr)", "release (d, pr)" ili "process(d, pr) gdje je d D i pr PR. Ovi događaji za pristup dokumentu okidaju razinu podataka koja se treba izvesti.
Razina podataka
Razina podataka ovog modela uključuje sigurnosna svojstva zadataka, agenata i dokumenta. Sigurnosni zahtjev koji treba osigurati sigurnosna svojstva integriteta i autorizacije na razini podataka glasi: Agent mo�e pristupiti dokumentu sa specifičnim pravom onda i samo onda ako je pravo pristupa dokumentu dodijeljeno agentu, koji može pristupiti dokumentu samo za vrijeme izvođenja zadatka. Sigurni WF treba opozvati prava pristupa dokumentu od agenta čim to pravo vi�e nije potrebno. Invarijatni izraz 3: Pravo pristupa dokumentu je dodijeljeno/povučeno za/od agenta za neki zadatak onda i samo onda ako je: t T , N(t) = a i d D, pr PR.
Korištenje Petrijevih mreža Pored gore navedenog rje�enja za WAM moguće je koristiti formalni model za tokove procesa korištenjem Petrijevih mreža (PN).
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
159
8. SIGURNOST I ZAŠTITA PROGRAMA I OPERACIJSKIH SUSTAVA Greške:
nenamjerne ljudske greške namjerne greške – zloćudni kod
Sve programske gre�ke ne mo�emo izbjeći, iz dva razloga: Kontrola programa se jo� uvijek provodi na razini pojedinačnog programa i
programera. Nepredvidive gre�ke. često puta i programer mo�e neke gre�ke i sakriti.
Drugo, programiranje i programsko inženjerstva se mijenjaju i razvijaju puno brže nego tehnike u računarskoj sigurnosti..
Virusi i drugi zloćudni kod
Virus Tranzietni virus Rezidentni virus
Trojanski konj Logička bomba
Vremenska bomba Vrata upada ili zadnja vrata(back door)
Crv. Zec Kako se virusi priključuju (ve�u) na programe Dodani virusi
Originalni program
Virusni kod Virusni kod
Originalni program
+ =
Virus koji se dodaje na program
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
160
Virusi koji okružuju program
Virusni kod
Originalni program
Virusni kod Dio (a)
Originalni program
Virusni kod Dio (b)
Fizički Logički
Virus okružuje program
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
161
Integrirani virusi i zamjene Kako virusi dobivaju kontrolu ? Jednostavnom zamjenom programa T na disku sa virusom V Promjenom pokazivača u tablici datoteka tako da se locira V umjesto T
Originalni program
Virusni kod
Modificirani program
+ =
Virus integriran u program
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
162
Kvaliteta virusa: težak za detekciju težak za uništenje ili deaktiviranje �iroko područje �irenja mogućnost reinfekcije lakoća kreiranja strojno neovisan (neovisan i od OS-a)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
163
Smještaj za viruse (dom):
Boot sektor virusi
Memorijski rezidentni virusi
Ostala domišta za viruse
o Aplikacioni program ( word procesor, tablični kalkulatori, .. Macro virusi
o Biblioteke programa o Kompilatori, loaderi, linkeri, debugeri
Virusni potpisi Akcije:
smještaj izvođenje širenje
(a) Prije infekcije
Bootstrap loader
Inicijalizacija sustava
Boot sektor Drugi sektori
(b) Poslije infekcije
Virus kod
Inicijalizacija sustava
Bootstrap Loader
Boot sektor Drugi sektori
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
164
Potpis - izdajnički uzorak
Memorijski uzorci Uzorci izvođenja Uzorci prijenosa Polimorfni virusi
Sprečavanje od virusne infekcije Anti-virusni software Napadi virusa koriste (exploit) nedostatak kontrola integriteta informacijskog sustava. Kako bi se obranili moramo sami uključiti te kontrole. Neki od rapolo�ivih za�titnih mehanizama su specifični za viruse, ali oni općenito adresiraju integritet. Strategija obrane treba imati slijedeće komponente:
Prevenciju: zaustavljanje infekcije sustava. Detekciju: detektiranje virusa koji su infektirali sistem. Reakciju: restauriranje sustava do čistog stanja.
Administrativne mjere i briga korisnika su važne za uspješnu zaštitu od virusa. Fizičke i administrativne kontrole Fizičke i administrativne kontrole su izvrstan put za sprečavanje ulasaka virusa u sustav. Neke od tih mjera su iznenađujući jednostavne. Ako ne želite pisanje na flopy disk postavite zaštitu pisanja, pa niti jedan virus neće moći inficirati disketu. Ako operacijski sustav ima kontrolu pristupa, treba je ispravno iskoristiti. Na primjer treba postaviti skup dozvola za pristup datotekama s aplikacijama na mre�nom serveru samo za čitanje i izvođenje. Postaviti sigurnosne mjere na mjesta gdje virusi mogu ući u sustav. Testirati novi software na karantenskim računalima gdje je instaliran anti-virusni software. Testirati sa računom koji ima samo neka moguća prava, kao �to je Gost. Jo� bolje koristiti prospojno računalo (gateway) za izvođenje virusnog scanera , ispitati sve diskete koje ulaze u sustav. Ako je floppy disk čisti, on dobiva oznaku te je tada spreman za kori�tenje unutar organizacije. Ako je oznaka (stiker) na disku, tada je to briga korisnika da detektira neovlašteni disk unutar organizacije. Ako je oznaka elektronička zapisana na disk, tada računalo unutar organizacije može kontrolirati prisutnost oznake i odbaciti neovlašteni disk. Danas su vatrozidovi (firewall) opremljeni virusnim scanerima za pregled virusa koji dolaze s mreže. Treba provoditi regularnu (redovitu) kontrolu i držati anti-virusni software ažurnim. Anti-virusni software treba uključiti u svaku login skriptu korisnika. Sistemski programi mogu automatski provesti kontrolu u unaprijed određeno vrijeme. Na primjer, u Unixu sistemski administrator mo�e reći cron programu da izvede programe za kontrolu integriteta. Ne treba se oslanjati na samo jednu kontrolu, treba koristiti kombinacije kontrola.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
165
Treba postojati plan za izvanredne situacije (contigency plan), tj. Kako reagirati na pojavu virusnog incidenta. Često se događa da neadekvatna reakcija mo�e izazvati vi�e �tete nego sam virus. Jasno je , da su čisti back-up-ovi neobično va�ni za restauraciju IS-a nakon virusnog napada. Ipak, nije rijetko da se u vrijeme kad je detektiran virus, da je on već nađen na svim backup-ovima koji se čuvaju. Kriptografska kontrolna suma Kriptografska kontrolna suma je standardna tehnika zaštite integriteta. Kontrolna suma se računa za čistu verziju datoteke koju treba za�titi . Ta se vrijednost sprema na sigurno mjesto, idealno bi bilo u ROM, npr. na CD. Kadgod se ta datoteka koristi trenutno izračunata kontrolna suma datoteke se uspoređuje sa uskladi�tenom vrijedno�ću.(VACINE). Bilo koja promjena u originalu će biti detektirana. Tu je jasno da kontrolor kontrolne sume ne mora znati ništa o virusima kako bi detektirao njihovu prisutnost. On čak �to vi�e detektira i nepoznate viruse (za koje još nisu poznati njihovi potpisi). Generatori kontrolnih suma su ranjivi kad god se treba ponovno izračunati kontrolna suma , npr. kada se mijenja datoteka , ili kada se izgubi kontrolna suma. Zato su oni pogodni za korištenje tamo gdje se u organizaciji koriste standardni, već razvijeni programi, a ne tamo gdje se programi razvijaju. Isto tako kontrolori kontrolne sume ne otkrivaju prisutnost određenog virusa koji je izazvao infekciju, �to ote�ava uspostavu plana daljnjih akcija nakon što je infekcija detektirana. Kada sigurnosni sustav zna kako izgleda objekt koji za�tićuje, on ne mora znati kako izgleda napadač. On treba pregledati izmjene u objektu. Scanneri Scanneri pretražuju datoteke za postojanje uzoraka (virusnih potpisa) koji identificiraju poznati računalni virus. Evidentno je da oni moraju poznavati virus koji detektiraju, pa prema tome oni se moraju kontinuirano ažurirati na postojanje novih virusa. Scanneri su još uvijek najpopularniji anti-virusni software. Oni se mogu koristiti bez ikakve pripreme, dok se kontrolori kontrolne sume mogu koristiti samo nakon što je kontrolna suma generirana, a skaneri mogu reći točno koji se je virus pojavio, kako bi se mogle poduzeti odgovarajuće akcije. Posebno je važno da scanneri raspolažu tehnikama za brzo pretraživanje, kako bi bili djelotvorni. Tako da oni mogu kontrolirati samo početak ili kraj datoteke, pa virusi raspršeni kroz kod mogu proći. Tradicionalno scanneri pretra�uju cijele datoteke kada su u memoriji. Scanneri na pristupu pregledavaju datoteke kada se zahtjeva pristup datoteci. Scanneri se moraju nositi sa činjenicom da se virusi generiraju u laboratoriji često i brzo. Mutacijske mašine generiraju brzo nove verzije virusa. Polimorfni virusi ugrožavaju tehnike prepoznavanja uzoraka, pošto isti virus poprima razne oblike pojavnosti. Jednostavni scanneri bazirani na prepoznavanju uzoraka ne mogu se nositi sa ovim problemima. Makro virusi donose svoj problem., jer su oni pisani u jeziku visoke generacije pa nisu zgodni za pretraživanje uzorka sirovog koda. Stoga napredni scanneri sve vi�e kreću prema prepoznavanju ponašanja, tj. semantičkim svojstvima , umjesto niza bitova koji definiraju uzorak.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
166
Konačno tu je i problem pozitivne gre�ke. Datoteka mo�e slučajno sadr�avati virusni potpis , pa će scanner pogre�no alarmirati postojanje virusa. �to vi�e virusnih potpisa scanner ima u bazi to je i veća vjerojatnost za pogre�ni alarm. Kada sigurnosni sustav ne zna kako izgleda objekt koji �titi, budući je on legitimno izmijenjen, on mora znati kako izgleda napadač, ili kako se on pona�a. Jedino tada on mo�e provjeriti njegovu prisutnost. Preporuke Koristiti samo komercijalne programe iz pouzdanih i dobro poznatih dobavljača. Testirati sve nove programe na izoliranim računalima. Napraviti boot disketu i spremiti na sigurno. Napraviti i zadržati kopije sistemskih datoteka za izvođenje. Koristiti skanere virusa redovito. Neke istine i nejasnoće o virusima Virusi mogu inficirati sustave koji nisu PC/MS-DOS/Windows. Virusi mogu modificirati i skrivene datoteke te "read only" datoteke. Virusi se mogu pojaviti u datotekama podataka (CONFIG.SYS i MAKRO) Virusi se mogu širiti i drugim putem osmi disketa (mreže, bulletin boards,..) Virusi ne mogu ostati u memoriji nakon potpunog gašenja i paljenja kod boot-a. Virusi ne mogu inficirati sklopove. Virusi mogu biti dobroćudni
Namjerni ciljani zloćudni kod (specifičan kod)
Vrata upada (trapdoor)
zaboravi ih odstraniti namjerno ih ostavlja zbog testiranja namjerno ih ostavlja zbog održavanja završenih programa namjerno ih ostavlja u programu kao tajni način pristupa programima nakon što su
oni prihvaćeni za produkciju.
Napad komadića (salami attack)
Tajni kanali (covert channels): programi koji ispuštaju informacije -Memorijski (file lock)
- Vremenski (CPU dodjela) Kontrola, zaštita od programskih prijetnji
modularnost, nezavisno testiranje,
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
167
zatvorenost , enkapsulacija skrivanje informacije upravljanje konfiguracijom dokaz ispravnosti programa, verifikacija pridržavanje standarda, ISO9000 i dr i td.
Kontrole putem operacijskih sustava povjerljivi operacijski sustavi, međusobna za�tita programa, pa se svaki posebno �titi, ograničeni programi, obzirom na pristup sredstvima zapis o pristupima sredstvima i dr. Administrativne procedure standardi za razvoj programa i njihovo provođenje sigurnosni nadzor odvajanje dužnosti ( projektant, programer, operater, ..) i dr.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
168
ZAŠTITA I SIGURNOST OPERACIJSKIH SUSTAVA Usklađenost (podudarnost) između fizčkih stanja sustava i autoriziranih stanja modela osigurana je sigurnosnim mehanizmima
Osnovni koncepti operacijskih sustava OS funkcije :
Upravljanje procesima i procesorom. Upravljanje sredstvima. Supervizija.
. OS funkcije orjentirane na podršku sigurnosti:
Korisnička identifikacija/autentifikacija Zaštita memorije Nadzor pristupa sredstvima rač. sustava Kontrola toka informacija Zapisi i nadzor (Auditing)
Aplikacije
Operacijski sustav
Asemblerski stroj
Firmware stroj
Sklopovski stroj
Razine arhitekture računalnog sustava
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
169
Korisnička identifikacija/autentifikacija Sustavi zasnovani na lozinkama. . Sustavi bazirani na upitu-odgovoru.
- Funkcije polinoma. - Funkcije zasnovane na transformaciji nizova znakova
- Funkcije zasnovane na jednostavnim kriptografskim algoritmima
Sustavi sa dvostrukom autentifikacijom (hand-shaking) Autentifikacioni sustavi bazirani na “onom što je korisnik”
o Sustavi računalnih faksimila. o Sustavi zasnovani na otisku prsta. o Sustavi zasnovani na prepoznavanju glasa.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
170
o Sustavi zasnovani na svojstvu rožnice oka
Autentifikacija bazirana na lozinkama Osnovni kriteriji:
Kori�tenje najmanje osam znakova, u općenito dugim lozinkama; Upotreba numeričkih i alfanumeričkih znakova Upotreba velikih i malih slova (ako sustav razlikuje) Upotreba specijalnih znakova tipkovnice (na primjer &, @,%); Spajanje dviju riječi koje ne koreliraju te skraćivanje rezultirajuće riječi na dužinu n-1,
gdje je n odobrena dužina lozike, te tada ubaciti specijalni simbol; Izbor stranih riječi; Upotreba niza znakova tipkovnice koja se lako može spremiti (na primjer, zadnja četri
znaka drugog reda, slova u trećem stupcu tipkovice i td.); Izbor naziva koji se odnose na hobi pojedinca, njihovo spajanje Uvijek izabrati lako zapamtive nazive
Prva riječ Druga riječ Specijalni znak Lozinka town pick _ town_pi felix soon @ felix@soon brain stormy & brain&sto dog hot ! hot!dog Korisnici trebaju:
Izabirati lozinke pridr�avajući se gornjih kriterija Upamtiti svoju lozinku, nikada je ne pisati Nikada ne otkrivati lozinke Mijenjati svoje lozinke često i regularno.
Otkrivanje lozinki
Datoteka lozinki
Mehanizam dodatka (salt)
DES Kriptirana lozinka Dodatak
Dodatak
Lozinka
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
171
Zaštita memorije Zahtjevi na zaštitu:
Konkurentni pristupi Zatvorenost (samo za programe)
Sklopovski mehanizmi za zaštitu i nadzor dijeljenja memorije:
Adresa ograde Relokacije Granični registri (baza/granica) Straničenje (paging) Segmentacija
Kriptirana lozinka Dodatak DES
Usporedba
Unesena lozinka od korisnika
Datoteka lozinki
Kriptirana lozinka
Kreiranje i validacija lozinki u UNIX-u
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
172
Adresa ograde
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
173
Relokacija za vrijeme kompilacije za vrijeme punjenja programa u memoriju (statička relokacija) za vrijeme izvođenja (dinamička relokacija)
Zaštita upotrebom baznih registara Vrijednosti granica:
1. Registri granica. 2. Registri baza/granica.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
174
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
175
Za�tita područja programa
Dva para registara Arhitekturom oznaka (Tagged architecture).
U nasatvku je dana tablica arhitekture oznaka (tag-ova).
Oznaka
Memorijska riječ
R Podatak RW podatak X Instrukcija RW Podatak X Instrukcija R Podatak X Instrukcija X instrukcija X Instrukcija X Instrukcija X Instrukcija X Instrukcija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
176
Dijeljenje memorijskih područja Parovi registara:
za instrukcije - zajedničko područje za podatke – privatna područja
Straničenje (Paging) .
Pn = L DIV Sp Po = L MOD Sp L – logička adresa Sp – veličina stranice
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
177
Dozvoljene operacije ( prava) na stranici
�samo za čitanje�, �čitanje/pisanje�, �samo za izvođenje�.
Implementacija
zaštitni bitovi u tabeli stranica podržava dijeljenje programa "čisti " kod – samo za čitanje
Problemi dekompozicija programa različitost prava objekata u stranici
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
178
Segmentacija
Segmenti – logički entiteti
glavni program procedure, funkcije polja i dr.
Dijeljnje programa:
tabela segmenata svakom korisniku zaštitni bitovi u tabeli istovrsnost objekta u stranici "čisti" kod
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
179
Straničenje nasuprot segmnetiranju Segmentiranje
homogenost zahtjeva – jedinstveni segment snažnije dijeljnje (procedure, funkcije, polja,.)
Straničenje
raznovrsnost objekata - heterogenost Starničenje i segmetiranje
dijeljenje programa "čisti" kod isti modovi pristupa (operacija)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
180
Upravljanje i nadzor pristupa sredstvima RS/IS-a Zaštita od neovlaštenog pristupa
Memorijska zaštitta , CPU i dijeljenje programa - sklopovski Ostala sredstva (datoteke, uređaji.) – sklopovski, programski moduli OS-a
Moduli imaju slijedeće zadatke:
kontrola pristupa kontrola toka podataka mehanizni nadzora i revizije
Mehanizmi kotrole pristupa
Identifikacija sredstava Identifikacija procesa operacija nad sredstvima
o CPU: izvođenje o Memorijski segmenti: čitaj/pi�i o Ulazni uređaji: čitaj o Izalazni uređaji: piši o Trake: čitaj/pi�i o Datoteke podataka: kreiraj, otvori, čitaj, pi�i, dodaj, zatvori, izbri�i o Datoteke programa: čitaj/pi�i, izvedi.
Način rada:
Pristupne hierarhije Matrica zaštite ( matrica pristupa).
Pristupne hierarhije
privilegirani modovi o privilegirani i korisnički o hierarhija zaštitnih razina –pristupna domena
gnijezda programskih jedinica
. <U5<<<U1>U2>U3><U4>> (U1 ne može pristupiti objektima U4)
princip minimalnih privilegija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
181
Matrica zaštite (Matrica pristupa) A[Si,Oj] Tehnike implementacije Tabela Pristupne liste Liste sposobnosti (Capability Lists) Liste ovlaštenje-stavka (Authority-item lists) Mehanizmi brava-ključ (Lock-key) Matrica zaštite smještena u tabelu Subjekti Objekti Prava S1 O1 A(S1, O1) S2 O2 A(S2, O2) . . . Sk Or A(Sk, Or)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
182
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
183
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
184
Zaštita datoteka
razina dijeljenja – zahtjev na mehanizme nema dijeljena – nepotrebni mehanizmi kompromis – nadzor dijeljena
o mehanizmi lozinki o prava vlasništva o A-lista svakoj datoteci o kategorije korisnika
vlasnik grupa ostali korisnici
o Polje prava – kategorija korisnika UNIX ( primjer: rwx r-x r--)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
185
MEHANIZMI KONTROLE TOKA INFORMACIJA U PROGRAMIMA eksplicitni tokovi
y := f(x1,.,xn),
implicitni tokovi
if f (xm+1, .., xn) then y := f(x1, .., xm). Bell-LaPadula model
o p (ss-property) o po’.( + *-property)
o1 ... om p o’1 ... o’n (višerazinski BLP model) o1 ... om = donja granica o’1 ... o’n = gornja granica Kontrolni mehanizmi za vrijeme izvođenja eksplicitni tokovi
xi y (statička i dinamička veza) x1 ... xn y implicitni tokovi
xi y , (i = m+1, ... , n): x1 ... xm xm+1 ... xn y y := f(x1,.,xn) (eksplicitni tok)
y se pridružuje klasa : x1 ... xn. i vrijedi: x1 ... xn y
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
186
Za kondicionalne instrukcije oblika
if f (xm+1, .., xn) then y := f(x1, .., xm), novu klasu y računamo x1 ... xm xm+1 ... xn.
Kontrolni mehanizmi u kompilaciji Instrukcije: pridruženja, sekvence, kondicionalne, iteracijske i pozivi procedurama. . Instrukciju pridruženja:
y := f(x1,.,xm), relacija je
x1 ... xm y
To je sigurno ako je savki tok xi y siguran.
Instrukcija sekvence: begin I1; ... In end Sigurna je ako su svi tokovi vezani sa savkom instrukcijom Ii (i =1..n) sigurni.
Za uvjete : if f(x1, ..x.n) then I1 [else I2]
relacija je: x1 ... xm z1 ... zm
To je sigurno ako je izvođenje od I1 i I2 sigurno, ako su eksplicitni tokovi i od I1 i od I2 sigurni, i ako su implicitni tokovi xi zj , i = 1..n, j = 1.. m sigurni (zj (j = 1..m) je varijabla cilja za tokove I1 (ili I2).
Za iteraciju:
while f(x1, ..x.n) do I1
definirana je slijedeća relacija:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
187
x1 ... xm z1 ... zm
To je sigurno ako ciklus završi, ako je I1 sigurno i ako su implicitni tokovi xi zj sigurni (gdje su zj varijable cilja za tok u I1).
Instrukcija poziva procedure : procedure-name (a1, ...am, b1, ..., bn),
za procedure oblika: procedur procedure-name (x1, .., xm; var y1, ..., yn) ; var z1, ..., zp; * local variables * begin procedure body end;
gdje su x1, ..., xm formalni ulazni parametri, y1, ..., yn su formalni ulazno/izlazni parametri, dok su a1, ..., am i b1, ..., bn su odgovarajući ulazno/izalazni stavrni parametri. Poziv proceduri je siguran ako je procedura sigurna i ako vrijede slijedeće ralacije:
ai bj if xi yj 1 i m i 1 j n bi bj if yi yj 1 i m i 1 j n
Poziv proceduri je siguran ako je ‘procedure-name� sigurna, a to znači: ako je svaki tok ai bj ovla�ten ( i odgovarajući xi yi ovlašten) i ako je svaki tok bi bj ovla�ten ( i odgovarajući yi yj ovlašten).
Sustav dedukcije
program procedure instrukcije
Ispravnost programa:
varijable v koj odražava stanje informacije na početku i na kraju procedure, i programa
Izolacija Metoda višestrukog prostora eksploatira virtualnu glavnu memoriju za svakog
korisnika sustava
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
188
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
189
Metoda virtualnog stroja
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
190
IZGRADNJA SIGURNIH OPERACIJSKIH SUSTAVA
Rješenje zasnovano na sigurnosnoj jezgri Sigurnosna jezgra mora zadovoljiti slijedeća svojstva:
Potpunost: Izvodeći sve pristupe informacijama sustava; Izolacija: Jezgra mora biti za�tićena od probijanja. Verificiranost: Kod sigurnosne jezgre mora se verificirati kako bi se dokazalo da
on implementira sigurnosne zahtjeve i politike koje su opisane u sigurnosnom modelu.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
191
Sigurnosna jezgra podr�ava i nadzire slijedeće funkcije: Multiprocesiranje. Preklapanje domena izvođenja.
- jezgra, - supervizor,
- korisnik Zaštita memorije.. U/I operacije Prednosti : Izolacija i separacija. Sigurnosni mehanizmi su odvojeni od OS-a i od korisničkog
prostora; za�tita od korisničkog/sistemskog upada je veća; Smanjena veličina i verifikacija. Jezgra je mala, koja je odgovorna samo za sigurnosne
funkcije, pa se stoga može formalno verificirati. Izmjenjivost. Moguće izmjene sigurnosnih mehanizama su lagane za implemnetaciju i
testiranje. Potpuni nadzor. Svi pristupi se provode pod kontrolom sigurnosne jezgre.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
192
9. STANDARDI I KRITERIJI VREDNOVANJA SIGURNOSTI I POVJERLJIVOSTI SUSTAVA
Inicijative u USA. US DoD je promovirao DoD Computer Security Initiative u 1977, a koja je objavljena 1978.
o Natianal Bureau of Standards (NBS danas NIST- National Institute of Standards and Technology). kriptografske standarde (DES, 1977. ANSI) proces razvoja i vrednovanja sigurnosnih sutava
o U 1979, Mitre Corporation je povjereno produkcija inicijalnog skupa kriterija za vrednovanje sigurnosti sustava koji rade sa klasificiranim podacima.
o U 1981 Computer Security Center (CSC) je osnovan unutar National Security Agency (NSA). Cilj je bio da se podrži iniciajtiva DoD Computer Security Initiative.
o U kolovozu 1985, NCSC (National Computer Security Center) je osnovan, koji je skuupio CSC i sve US federalne agencije. Centar je formiran sa slijedećim osnovnim ciljevima:
Osigurati tehničku podr�ku vladinim agencijama postaviti reference(upute)
za korištenje klasificiranih podataka; Definirati skup kriterija za vrednovanje sigurnosti računalnih sustava, te za
ocjenu raspoloživih sigurnosnih produkata; Podržati i provoditi istra�ivanja u području sigurnosti, te također u
području distribuiranih sustava; Potpomagati raspoloživost sigurnosnih sustava; Razvijati alate za verifikaciju i testiranje u certifikaciji danih sigurnosnih
sustava; Općenito, �iriti osjetljivost i sigurnosnu kulturu kao u vladinim agencijama
tako i u privatnim tvrtkama.
Dobro poznati rezultat NCSC-a je “Trusted Computer System Evaluation Criteria “ (TCSEC) dokument , poznat pod nazivom Orange Book (Depatment of Defense, 1985). (DoD kriteriji).
o Rainbow Series. Tako je, 1987 publiciran Trusted Network Interpretation (TNI), �to je interpretacija TCSEC za računalne mre�e, koji se također naziva Red Book (NCSC, 1987). tako se je 1991 pojavio Trusted DBMS Interpretation (TDI) od NCSC-a što predstavlja interpretaciju TCSEC-a za baze podataka.
U Europi , nekoliko inicijativa je poduzeto kako bi se definirali sigurnosni standardi (UK-IT, 1990; Komisija Europske unije, 1991; Jahl, 1990).
o Commercial Computer Security Center (CCSC) Ministarstva trgovine i i
industrije (TDI) u Njemačkoj. Velika Britanija, Francuska, Nizozemska su surađivale s Njemačkom u definiranju Eropskih standarda za sigurnost.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
193
U 1990. CCSC je publicirao Criteria for Security product Evaluation for Information Systems, poznata kao White Books.
o Druga okolina gdje sigurnosni zahtjevi trebaju biti strogo definirani je distribuirana okolina. International Standards Organization (ISO) je odgovorna za definiranje tih standarda.
o Euorpiean Computer Manufactures Association (ECMA), grupa 50 europskih proizvođača, također je uključena u u definiranje sigurnosnih standarda (ECMA; 1988). Nezin cilj je definiranje kriterija za distribuiranu obradu i za izmjenu podataka za izvođenje privatnih aplikacija i javnih usluga ( kao �to su e-mail, usluge pretraživanja i dohvata podataka.Rad ECMA-e je prvenstveno orjentiran na mrežnu domenu, a posebno na definiranje mrežne sigurnosne politike za nadzor pristupa objektima(računala/aplikacije) različitih domena
Druge inicijative
o X/Open organizaciju koja je osnovana 1984, koja uključuje grupu Europskih i US proizvođača u definiranju standarda za otvorene sustave koji su bazirani na integracijskom okruženju X/Open Security Guide opisuje sigurnosne standarde koji promoviraju portabilnost. Familija X/Open standarda , pod nazivom XPG, raspoloživa je u raznim verzijama (XPG1, XPG2, XPG3)
o American National Standards Institute ANSI je odgovoran za odobrenje standarda. Upravo sada, različita ANSI povjerenstva razvijaju standarde za kriptografiju i autentifikaciju poruka.
o International federation for Information processing (IFIP) okuplja multinacionalne profesionalne i tehničke organizacije koje rade u području informacijskih sustava. n.11 Tehnička komisija (TC-11) od IFIP-a za Zaštitu i i sigurnost informacijskih sustava .
o Institute of Electrical and Electronics Engineerrrs (IEEE) je međunarodna profesionalna organizacija čiji je zadatak, među ostalima, razvoj standarda koji se podnose ANSI na odobrenje. Među IEEE standarddima, najvažniji su: Standard za aplikacijsku portabilnost u otvorenim sustavima (Portable
Operating System Interface for Computer Environments – POSIX). POSIX je razvijen u suradnji sa ISO;
Standard za razvoj sigurnosnih sustava prema POSIX kriterijima; on je još uvijek pod razvojem od IEEE 1003.6 Security Extensions Commitee.
DoD kriteriji
Kriteriji definirani od US DoD (1985) daju referncu za razvoj i vrednovanje sigurnosnih sustava. DoD kriteriji su definirani kako bi opremili:
- Korisnike sa metrikom vrednovanja ocjene pouzdanosti sigurnostih sustava za zaštitu klasificiranih ili osjetljivih informacija
- Razvojno osoblje/ponuđači sa vodičem izgradnje. - Dizajneri sa vodičem za specifikaciju sigurnosnih zahtjeva.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
194
Skup kategorija zahtjeva: sigurnosna politika odgovoronost jamstvo dokumentacija.
DoD zahtjevi: Trusted Computing Base (TCB) Referencijski monitor
Sigurnosna politika. a) DAC. b) MAC. c) Oznake. d) Ponovna upotreba objekata.
Odgovornost (Accounatbility)
a) Identifikacija/Autentifikacija b) Nadzor (Audit). c) Povjerljivi put.
Subjekti (korisnici, programi)
Referencijski monitor (TCB)
Objekti (datoteke, programi, terminali)
TCB baza podataka (pravila pristupa, politike, pristupne klase, i dr.)
Referencijski monitor po DoD kriterijima
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
195
Jamstvo (Assurance)
a) Pouzdanost operacija:
I. Arhitektura sustava. II. Integritet(cjelovitost) sustava. III. Analiza tajnih kanala. IV. Upravljanje sa povjerljivo�ću. V. Obnova povjerljivosti.
b) Pouzdanost razvoja I. Testiranje sutava II. Specifikacija dizajna i verifikacija. III. Upravljanje konfiguracijom.. IV. Povjerljiva distribucija.
Dokumentacija.
I. Priručnik povjerljivh sredstava i mogućnosti, II. Korisnički priručnik sigurnosnih svojstava,
III. Test dokumentacija, IV. Dokumentacija o izgradnji(projektna dokumentacija) V. Za klase iznad B ( prema DoD hierarhijskoj klasifikaciji): upravljanje
konfiguracijom, arhitektura sustava, izvje�ća o analizi tajnih kanala, formalnim modelu, formalnim i opisnim specifikacijam na visokoj razini
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
196
DoD hierarhijska klasifikacija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
197
10. SIGURNOST BAZA PODATAKA
Koncepti baza podataka
Data Base Management System (DBMS). Konceptualni modeli (ER – model) Logički modeli (Hierrhijski, mre�ni, relacioni, objketni) Shema baze podtaka(konceptualna i logička) Jezici (DDL. DML, QL)
Dijelovi DBMS_a
DDL kompilacija Obrada DML instrukcija Upiti u bazu podataka Upravljanje bazom podataka Upravljane datotekama
Skup tabela daje podršku funkcionalnosti ovih modula:
Tablice opisa baze podtaka Tablice autorizacije (ovlaštenja) Tablice konkurentnih (istovremenih) pristupa
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
198
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
199
Razine opisa podataka
Logički pogledi Logička shema podataka Fizička shema podataka
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
200
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
201
Elementi relacionog modela podataka Relacija je skup n-torki (d1,d2,.. , dn) takvih da vrijedi: d1 D1, d2 D2, …, dn Dn Broj n-torki u relaciji je kardinalitet relacije Relaciona baza podataka je skup tablica, gdje tablica odgovara realaciji. Realaciona shema se sastoji od od imena relacije i skupa imena realcionih atributa. Ograničenja realcionog modela :
ograničenje integriteta entiteta, �to znači da niti jedan primarni ključ ne mo�e biti nula;
ograničenje referencijalnog integriteta, između dvije relacije, �to znači da n-torka u jednoj relaciji, a koja referencira drugu relaciju mora referencirati postojeću n-torku te relacije.
Deklaracija relacije Student sa slike 1.4 ima slijedeći oblik u SQL –u : CREATE TABLE Student (StudNum NUMBER (6.0) NOT NULL, Name CHAR (20), Birthdate DATE); CREATE INDEX FOR Student ON Name SQL instrukcije pretraživanja, umetanja, brisanja i ažuriranja u bazi podataka SELECT Name FROM Student WHERE StudNum > ' 316056' AND < '324567' INSERT INTO Student VALUES (307240, 'Ferg', '09-25-65') DELETE FROM Student WHERE StudNum = '306318' UPDATE Student SET Birthdate = '11-28-63' WHERE StudNum = '319887' Osnovni operatori relacijske algebre posebno definirani za relacije su:
Selekcija : koji se primjenjuje na relaciju r, a kao rezultat vraća novu relaciju s koja je formirana od n-torki od r uz verifikaciju predikata ( koji su izraženi kroz formule koje uključuju konstante i operatore usporedbe).Taj operator provodi horizontalnu dekompoziciju od r;
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
202
Projekcija : koji se primjenjuje na relaciju r, a kao rezultat vraća realciju s koja sadrži n-torke od r definirane na podskupu od atributa od r. Taj operator provodi vertikalnu dekompoziciju od r;
Prirodni spoj, r s; gdje su r(YX) i s(XZ) dvije realcije, tako da je YX XZ = X; prirodni spoj od r i s je relacija t definirana na YXZ koja se satoji od skupa n-torki koje se dobiju spajanjem n-torki u r sa n-torkama u s koje imaju identična vrijednosti za atribute u X.
Sigurnosni problemi u radu sa bazama podataka Postizanje sigurnosti u uvjetima baza podataka znači identificiranje prijetnji i izbor politika (��to� se od sigurnosti očekuje) i mehanizama ( �kako� će sigurnosni sustav postići sigurnosne ciljeve). To također uključujepostizanje jamstva sigurnosnog sustava ( “kako dobro� će sigurnosti sustav ispuniti sigurnosne zahtjeve i izvr�iti očekivane funkcije).
Prijetne na sigurnost baza podataka Kr�enje sigurnosti baza podataka se satoji od neodgovarajućeg (neovla�tenog) čitanja, izmjene ili brisanja podataka. Posljedice se mogu kategorizirati u u tri kategorije:
Neovla�teno oslobađanje informacija Neovlaštena izmjena podataka. Odbacivanje usluga. (DoS)
Sigurnosne prijetnje se mogu klasificirati prema načinu na koji mogu nastatti: Prirodne ili slučajne nepogode. Greške ili bug-ovi u HW i SW. Ljudske greške.
Kr�enje sigurnosti uključije dvije klase korisnika: Ovlašteni korisnici koji zlorabe svoja prava i ovlaštenja Neprijateljski agenti, neovlašteni korisnici (insideri i outsideri)
Zahtjevi na zaštitu baza podataka Zaštita od neovlaštenog pristupa Za�tita od zaključivanja (inference)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
203
Integritet (cjelovitost) baza podataka Operativni integritet podataka Semantički integritet podataka Odgovornost i nadzor Autentifikacija (ovjera) korisnika Upravljanje i zaštita osjetljivih podataka Višerazinska zaštita Zatvorenost Sigurnosne kontrole Za�tita baze podataka se posti�e kroz slijedeće sigurnosne mjere: Kontrola toka Kontrola zaključivanja o podacima Kontrola pristupa
Kontrola toka Tok između objekta X i objekta Y se događa kad naredba čita vrijednost iz X i upisuje vrijednost u Y. Kontrola toka provjerava da informacija koja je sadržana u nekom objektu (npr. izvje�ću) ne odlazi eksplicitno (kroz kopiranje) ili implicitno (preko grupe instrukcija koje uključuju među objekte) u ni�e �tićene objekte.
Kontrola zaključivanja Kontrola zaključivanja usmjerena je na za�titu podataka od indirektne detekcije.
Kanal zaključivanja je kanal gdje korisnici mogu naći podatak X i tada ga koriste da bi dobili Y kao Y = f(X).
Glavni kanali zaključivanja u sustavu su:
1. Indirektni pristup.
SELECT X FROM r WHERE Y = value
2. Korelacioni podaci. 3. Nepostojeći podaci.
Statističko zaključivanje
Statistički napadi mogu se suzbiti kroz dve vrste kontrole:
1. Perturbacija podataka. 2. Kontrola upita.
Arhitektura DBMS koji uključuje sigurnosna svojstava
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
204
Slijedeće uloge su uključene u upravljanju sigurnosnim sustavom:
Upravljač aplikacije , je odgovoran za razvoj i održavanje biblioteke programa; DBA, koji upravlja konceptualnom i internim shemama baze podataka. Časnik za sigurnost, koji definira autorizacije za pristup i/ili sigurnosne aksiome kroz
pravila u odgovarajućem jeziku (ponekad DDL ili DML);
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
205
Nadzornik, koji je odgovoran za provjeru sekvenci zahtjeva i upita o pristupu, kako bi detektirao moguća kr�enja autorizacije.
Izgradnja sigurnosti baze podataka 1. Na vanjskoj razini (fizička sigurnost) 2. Na internoj razini ( logička sigurnost)
Baze podataka u vladinim institucijama
klasificirane baze podataka.
Komercijalne baze podataka
Višerazinska sigurna DBMS arhitektura Integrity Lock arhitektura, Jezgrasta arhitektura, Replicirana arhitektura i Arhitektura povjerljivih subjekata.
Slijedeće tehnike su uvođenje �front end-a� između korisnika i DBMS-a Alternativno koriste se Korisnički/DBMS filteri, ili pogledi, koji sadr�e samo
informaciju za koju je korisnik autoriziran.
Zaključak Sumarno, u razvoju sigurnosnog sustava potrebno je razmatrati slijedeće krucialne aspekte: Svojstava stvarne okoline skladišnih medija i obrade. pažljiva analiza je potrebna za
određivanje stupnja za�tite koja je ponuđena i zahtjevana od sustava: a to su sigurnosni zahtjevi;
Za�titni mehanizmi izvan okoline obrade. To su administrativne i fizičke mjere kontrole koje doprinose učinkovitosti sigurnosnih mjera;
Unutarnji mehanizmi zaštitite DB-a. Oni djeluju nakon što je uspješno provedena kontrola logina-a i autentifikacije za korisnika;
Fizička organizacija uskladi�tene informacije; Sigurnosna svojstva koja su osigurana od strane operacijskog sustava i od sklopova; pouzdanost sklopova i programa; Administrativni, ljudski i organizacijski aspekti.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
206
RASPOLOŽIVOST I INTEGRITET BAZA PODATAKA . Dimenzije raspoloživosti ili integriteta :
Integritet baze podtaka: Integritet elemenata: Točnost elementa
Zaštitna svojstva od operacijskog sustava
bazičnu sigurnost za baze podtaka, DBMS mora poboljšati i unaprijediti te kontrole.
Dvo-fazno ažuriranje podtaka Tehnika izmjene (ažuriranja)
faza namjere, faza izručenja (commiting)
Primjer za dvo-fazno ažuriranje Zahtjev iz odjela za računovodstvo, za 50 kutija papirnatih spojnica. 1. Skladi�te provjerava bazu podtaka dali postoji tra�ena količina od 50 kutija. Ako ne
zahtjev se odbija i transakcija završava. 2. Ako postoji dovoljno kutija na skladištu, smanjuju se količine sa skladi�ta u bazi podtaka .
(107 – 50 = 57). 3. Skladi�te naplaćuje konto nabave odjela (također i u bazi) za 50 kutija papirnatih
spajalica. 4. Skladi�te provjerava preostalu količinu (57) kako bi se odredilo da li su količine pale
ispod točke naručivanja. Budući da je, zahtjev za novom nabavom se generira, te se postavlja zastavica � u naruđbi� u bazu podataka.
5. Priprema se nalog za isporuku kako bi se 50 kutija odaslalo u odjel za računovodstvo. Održavanje vrijednosti u sijeni Faza namjere: 1. Provera vrijednosti COMMIT-FLAG-a u bazi podataka. Ako je postavljen, ova faza se ne
može provesti. Provjeri broj kutija na skladištu, i ako se zahtjeva više nego je na skladištu, zastavi postupak.
2. Izračunaj TCLIPS = ONHAND – REQUISITION. 3. Uzmi BUDGET, tekuči proračun koji je preostao za odjel. Izračunaj TBUDGET =
BUDGET – COST, gdje je COST cijena za 50 kutija spajalica.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
207
4. Provjeri da lije TCLIPS ispod koločine za novu narud�bu; ako da postavi TREODER = TRUE; inače TREODER = FALSE.
Faza izručenja (commit phase) 1. Postavi COMMIT-FLAG u bazu podataka. 2. Kopiraj TCLIPS to CLIPS u bazu podataka. 3. Kopiraj TBUDGET u BUDGET u bazu podtaka. 4. Kopiraj TREODER u REODER u bazu podtaka. 5. Pripremi bilje�ku za isporuku spjalica u odjel računovodstva. Indiciraj u log – datoteku da
je transakcija završila. Ukloni zastavicu COMMIT-FLAG. Redundancija/Interna konzistetncija
Detekcija greške i kodovi za ispravak Polja u sjeni
Oporavak
zapisi back-up
Konkurentnost/konzistencija Agent A postavlja naredbu za ažuriranje: SELECT (SEAT-NO = ‘11D’) ASSIGN ‘MOCK, E’ TO PASSENGER-NAME dok agent B postavlja seqvencu za ažuriranje SELECT (SEAT-NO = ‘11D’) ASSIGN ‘LAWRENCE, S’ TO PASSENGER-NAME Rješenje: DBMS tretira cijeli upit-izmjena ciklus kao jednu nedijeljivu operaciju. Monitori
Usporedba područja Ograničenja stanja Ograničenja prijelaza (tranzicije)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
208
OSJETLJIVOST PODATAKA (tajnost i raspoloživost)
Nekoliko faktora čini podatke osjetljivim:
Prirodno (inherentno) osjetljivi Iz osjetljivih izvora Deklarirana osjetljivost Osjetljivi atribut ili osjetljivi slog Osjetljivi u odnosu na prethodno otkrivene podtake.
Odlučivanje o pristupu
Odluke na sigurnosnoj politici koja definira politiku pristupa. Faktori odlučivanja
- raspoloživost podataka, - prihvatljivost pristupa, - autetentičnost korisnika..
Vrste otkrivanja podatka
Stvarni podatak Granice Negativan rezultat Postojanje Vjerovatne vrijednosti
Zaključno o djelomičnom otkrivanju
Uspješna sigurnosna strategija mora zaštitit i direktno i indirektno otkrivanje podatka.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
209
Sigurnost nasuprot preciznosti
Problemi zaključivanja o podacima
Direktni napad List NAME where SEX = M DRUGS = 1 Manje jasni upit je List NAME where (SEX = M DRUGS = 1) (SEX M SEX F)
(DORM = AYRES)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
210
Indirektni napad
- Suma
- Brojanje - Sredina (Median)
q = median (AID where SEX = M) p = median (AID wheere DRUGS = 2)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
211
- Napadi tragača
count ((SEX = F) (RACE = C) (DORM = Holmes)) q = count ((SEX=F) (RACE=C) (DORM=Holmes))
je oblika q = count (a b c).
Uz pomoć algebre on se transformira u
q = count (a b c) = count (a) –count ( a (b c)).
Tako je originalni upit ekvivalentan sa count (SEX=F)
minus count ((SEX=F) (RACE C) (DORM Holmes))
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
212
Budući je count (a) = 6 i count (a (b c)) = 5, može se lako odrediti potisnutu veličinu 6-5 = 1. Što više niti 6 i niti 5 nije osjetljivi broj.
- Ranjivost linearnog sustava
q1 = c1 + c2 + c3 + c4 + c5 q2 = c1 + c4 q3 = c3 + c4 q4 = c4 + c5
q5 = c2 + c5 q1 = s1 s2 s3 s4 s5
Kontrole za napade statističkog zaključivanja
Obustava (potiskivanje) podatka i Skrivanje podataka.
Obustava ograničenog odgovora
Kombiniranje rezultata
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
213
Slučajni uzorak
Slučajna smetnja u podatcima
Analiza upita Zaključak o problemu zaključivanja Rješenja za kontrolu slijede tri puta.
Obustavi(potisni) jasno osjetljivu informaciju. Trag što korisnik zna. Maskiranje podataka.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
214
VIŠERAZINSKE BAZE PODATAKA
Diferencirana sigurnost
Svojstva sigurnosti baze podataka:
Sigurnost pojedinog elementa Dvije razine-osjetljivo i neostjetljivo – neodgovarajuće.
Sigurnost agregacije (skupa) – suma, brojenja, ili grupa vrijednosti
Zrnatost (granularitet, finoća)
Problemi sigurnosti
Integritet
Tajnost
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
215
Prijedlozi rješenja za višerazinsku zaštitu
Particioniranje (podjela)
Kriptiranje
Integrirano zaključavanje (Integrity Lock)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
216
Oznaka osjetljivosti mora biti :
nekrivotvorljiva. jedinstvena skrivena.
Zaključavanje osjetlivosti (Sensitivity lock)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
217
MEHANIZMI REALIZACIJE MLS-a DBMS sa integriranim zaključavanjem (Integrity Lock)
Povjerljivi Front-End Veza između korisnika, povjerljivog front-enda i DBMS-a uključuje: 1. Korisnik se identificira kod front-end; fron-end overava korisnički identitet. 2. Korisnik izdaje upit front-endu. 3. Front-end verificira korisničku autorizaciju (ovlaštenje) na podatke. 4. Front-end izdaje upit DB manageru. 5. DB manager izvodi U/I pristup, kroz interakciju sa kontrolom pristupa niske razine kako
bi pristupio stavrnim podatcima. 6. DBMS vraća rezultat upita front-endu. 7. Front-end verificira valajnost podtaka kroz kontrolnu sumu i provjerava klasifikaciju
podtaka nasuprot sigurnosnoj razini korisnika. 8. Front-end prenosi podatke na nepovjerljivi front-end radi formatiranja. 9. Nepovjerljivi front-end prenosi formatirane podatke do korisnika.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
218
Komutativni filteri
Filter se može upotrebiti:
na razini sloga na razini atributa,. na razini elementa
Primjer upita: retrieve NAME where ((OCCUP = PHYSICIST) (CITY = WASHDC)) Upit postaje:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
219
retrieve NAME where ((OCCUP = PHYSICIST) (CITY = WASHDC)) from all records R where
(NAME-SECRECY-LEVEL (R) USER_SECRECY-LEVEL) (OCCUP-SECRECY-LEVEL (R) USER-SECRECY-LEVEL) (CITY-SECRECY-LEVEL (R) USER-SECRECY-LEVEL))
Distribuirane (replicirane) baze podataka
Prozor/pogled (view) Putnički pogled na bazu podtaka: view AGENT-INFO FLTNO := MASTER.FLTNO ORIG := MASTER.ORIG DEST := MASTER.DEST DEP := MASTER.DEP ARR := MASTER.ARR
CAP := MASTER.CAP where MASTER.TYPE = ‘PASS’ class AGENT auth retrieve
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
220
Sigurnost baza podataka
Tajnost i integritet Problem zaključivanja u statističkim bazama Višerzinska sigurnost podataka
o pogledi, o povjerljivi front-end (TFE) sa modifikaciojom upita, o komutativni filteri.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
221
SIGURNE DBMS ARHITEKTURE Sigurni DBMS :
‘visoki sustav’ ‘višerazinski’
Višerazinske arhitekture:
Arhitektura povjerljivog subjekta (Trusted Subject Architecture)
Woods Hole arhitektura Integrirano zaključavanje (Integrity Lock architecture)) Jezgrasta arhitektura (Kernelized architecture) Replicirane arhitekture (Replicated architecure)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
222
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
223
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
224
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
225
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
226
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
227
PROJEKTIRANJE SIGURNOSTI BAZE PODATAKA Projektiranje sigurnosti BP se odnosi na logičko projektiranje sigurnosnog sustava, a pod ovim terminom podrazumjevamo projektiranje sigurnog software-a i sigurnosnih pravila. Izgradnja sigurnih DBMS-a Sigurnost BP-a se postiže kroz skup mehanizama na razini DBMS-a i OS-a. Razlike između OS-a i DBMS-a su slijedeće: 1. Objektna “zrnatost”
Stupanj “zrnatosti” u OS-u je razine datoteke. “Zrnatost” u DBMS-u je veća (relacije, polja, kolone, redovi).
2. Metapodatak U DBMS, metapodaci postoje i prikupljaju informacije o strukturi podataka u BP. Na razini OS-a ne postoje metapodaci.
3. Logički i fizički objekti Objekti u OS-u su fizički objekti (npr. datoteke, memorija, procesi). Objekti u DBMS-u su logički objekti (npr. relacije, pogledi).
4. Vi�eznačni tipovi podataka
Baza podataka je karakterizirana različitim tipovima podataka, za koje su nu�ni različiti načini pristupa
5. Statički i dinamički objekti
Objekti upravljani od strane OS-a su statički i korespondiraju sa aktuelnim objektima. U BP-u, objekti mogu biti dinamički kreirani (npr. kao rezultat upita) i ne moraju korespondirati sa stvarnim objektima.
6. Višerazinske transakcije
U DBMS-u često je neophodno izvoditi transakcije, uključujući podatke na različitim sigurnosnim razinama. DBMS mora osiguravati izvođenje vi�erazinskih transakcija na siguran način.
7. Životni ciklus podataka
Podaci u BP-u imaju dug životni ciklus i DBMS mora osigurati zaštitu za vrijeme cijelog životnog ciklusa.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
228
Sigurnosni mehanizmi u DBMS-u
DBMS treba biti dizajniran tako, da se sigurnost ugrađuje na samom početku, a ne u kasnijim fazama.
Glavni sigurnosni zahtjevi koje DBMS treba osigurati su povezani sa slijedećim: Različit stupanj �zrnatosti� pristupa. Različiti mod-ovi pristupa
U relacijskoj bazi, mod-ovi pristupa su prikazani u terminima SQL naredbi (SELECT, INSERT, UPDATE, DELETE).
Različiti tipovi kontrole pristupa
- kontrola pristupa ovisna o imenu objekta kojem se pristupa - kontrola ovisna o podacima čini pristup ovisan o sadr�aju objekta kojem se pristupa - kontrola ovisna o kontekstu daje ili odbija pristup u ovisnosti o vrijednosti nekih
sistemskih varijabli (datum, vrijeme, terminal) - povijesno ovisna kontrola prati informacije o query sekvencama (npr. tipovi upita,
dobiveni podaci, podaci o korisniku koji je postavio upit) - kontrola ovisna o rezultatu čini odluku o pristupu ovisnom o rezultatima pomoćnih
kontrolnih procedura, koje se izvršavaju za vrijeme upita U relacijskoj bazi, kontrola pristupa ovisna o podacima je obično implementirana ili kroz pogled ili tehnike upita, gdje je inicijalni upit ograničen prema korisnikovim pravima.
Dinamička autorizacija
DBMS treba podr�avati mogućnost izmjene korisničkih prava, dok je baza operativna. Višerazinska zaštita
Kada se zahtjeva, DBMS treba nametnuti višerazinsku zaštitu preko mandatne kontrole pristupa.
Tajni kanali
DBMS treba biti bez tajnih (skrivenih) kanala, odnosno korisnik ne smije dobiti neovlašteno informaciju indirektnim metodama komuniciranja.
Kontrole protiv zaključivanja o informaciji (Inference controls)
Trebaju spriječiti korisnika od dobivanja dodatnih (povjerljivih) informacija, temeljem informacija dobivenih iz BP-a.
Višepojavnost
Ova tehnika se koristi od strane DBMS-a da spriječi dobivanje dodatnih informacija (inference control), tako da dozvoljava da BP sadrži više razina istog podatka (data item), pri čemu svaki od njih ima svoju klasifikacijsku razinu.
Praćenje, nadzor (Auditing)
Interesantne događaje sa stanovi�ta sigurnosti treba prikazivati u nekom obliku izvje�taja.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
229
Kontrola toka Kontrola toka provjerava odredište izlaza dobivenog autoriziranim pristupom.
Nema zadnjih vrata (No back doors)
Pristup BP-u treba se odvijati isključivo preko DBMS-a. Uniformnost mehanizama
Sve sigurnosne kontrole trebaju biti realizirane sa �to manjim brojem različitih mehanizama.
Razumne performanse
Sigurnosne kontrole troše dodatno vrijeme, ali treba nastojati da se to svede na što manju mjeru.
Dobro-napravljena transakcija
Podaci mogu biti mijenjani samo putem dobro-napravljenih transakcija, a ne putem proizvoljnih procedura.
Autorizirani korisnici
Ovaj princip znači da promjene mo�e izvoditi samo korisnik koji je autoriziran za tu operaciju. Autorizacija korisnika je u nadležnosti OS-a i ne treba ju duplicirati na razini DBMS-a.
Najniža privilegija
Problem realizacije je u balansiranju najniže privilegije korisnika sa privilegijom procesa, jer su korisnik i proces dva različita entiteta.
Razdvajanje dužnosti
Ovaj princip nala�e da pojedinac ne mo�e uni�titi podatke, već to mo�e tek nekoliko udru�enih pojedinaca u određenoj točki lanca.
Kontinuitet operacije
Ovom se problemu pridaje veliki značaj u teoriji i praksi, a predlo�ena su rje�enja bazirana na replikaciji.
Rekonstrukcija događaja
Rekonstrukcija se mo�e zbiti na različitim razinama detaljnosti i mo�e značiti različite stvari: zadržati cijelu povijest svake izmjene ili spremiti identitet svakog pojedinačnog spremanja.
Provjere sa stvarnim podacima (Reality checks)
To su povremene provjere sa podacima iz stvarnog svijeta, usmjerene na održavanje točnih podataka u sustavu.
Lakoća sigurne uporabe
Najlak�i način rada na sustavu treba biti i najsigurniji. Delegiranje autoriteta (Delegation of authority)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
230
Delegiranje autoriteta je osnovni način preno�enja hijerarhijske strukture organizacije i treba biti napravljen prema pravilima definiranim unutar organizacije. SQL naredbe koje se ovdje koriste su GRANT/REVOKE.
Prema autorima Sandhu i Jajodia (1990), principi integriteta (cjelovitosti) DBMS-a se dijele na tri grupe: Grupa 1: Dobro-napravljena transakcija i kontinuitet operacije. Ovi principi su dobro
pokriveni postojećim DBMS mehanizmima. Grupa 2: Najni�a privilegija, razdvajanje du�nosti, rekonstrukcija događaja i delegiranje
autoriteta. Za ovu grupu su potrebni novi mehanizmi, koji će pro�iriti postojeći DBMS. Grupa 3: Autorizirani korisnici, provjere sa stvarnim podacima, lakoća sigurne uporabe.
DBMS mehanizam mo�e pridonijeti na ograničen način: Autorizacija je u nadle�nosti OS-a, provjere sa stvarnim podacima ovise o organizacijskoj sigurnosti, dok je lakoća sigurne uporabe u nadležnosti DBMS-a, kroz jezik za rad podacima (DML).
Autorizacijski model – Sistem R Autorizacijski model - Sistem R , razmatra tabele baze, kao objekte koji trebaju biti za�tićeni. Subjekti modela su korisnici koji mogu pristupiti bazi. Privilegije koje se razmatraju u modelu su mod-ovi pristupa, primjenjivi na tabele baze. To su: Read, Insert, Delete, Update, Drop. Svi mod-ovi pristupa se odnose na cijelu tabelu, osim Update, koji se odnosi na pojedine kolone. Decentralizirano administriranje autorizacije, bilo koji korisnik može biti autoriziran za kreiranje nove tabele i prenos ovlaštenja. Svaka autorizacija se opisuje sa: s – korisnik kojemu je dodjeljeno pravo p – mod pristupa (privilegija) t – tabela ts – vrijeme dodjeljenog prava g – korisnik koji dodjeljuje pravo go – (Y/N) indikator da li s može dodjeljivati pravo, nad tabelom t, za mod p Npr. n-torka (B, select, T, 10, A, yes) znači: korisnik B može selektirati retke iz tabele T, pravo mu je dao korisnik A, u vrijeme 10, i korisnik B ima ovlasti da drugim korisnicima daje prava za select, nad tabelom T. SQL jezik je proširen setom naredbi, kojima korisnik zahtjeva izvršenje dodjele ili oduzimanja prava. GRANT naredba ima slijedeći format:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
231
GRANT
ALL RIGHTS privileges ALL BUT privileges
ON (table) TO (user-list) WITH GRANT OPTION
Umjesto ključne riječi user-list mo�e se koristiti public �to znači da je pravo dodjeljeno svim korisnicima baze. Svaki korisnik koji ima pravo dodjeljivanja prava drugim korisnicima, mo�e također ta prava oduzimati, ali samo ona koja je sam dodjelio. REVOKE naredba ima slijedeći format: REVOKE
ALL RIGHTS privileges
ON (table) FROM (user-list)
Oduzimanje prava Sistem R podržava kaskadno oduzimanje prava.
Pogledi Predstavljaju jednostavan i učinkovit mehanizam autorizacije, ovisne o sadr�aju.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
232
Npr. pretpostavimo da korisnik A kreira tabelu T i �eli dati korisniku B prava čitanja redaka tabele T, pri čemu je vrijednost atributa a1 veća od 1000. Korisnik A će definirati pogled uz pomoć SELECT naredbe
SELECT * FROM T WHERE a1 te će dodjeliti prava čitanja pogleda, korisniku B. Implementacija modela Informacije o korisničkim pravima su smje�tene u dvije relacije – Sysauth i Sycolauth. Relacija Sysauth ima slijedeće atribute: Userid - označava korisnika na koga se pravo odnosi Tname - označava tabelu za koju se prava dodjeljuju Type - označava tip tabele Tname (�R� ako se radi o osnovnoj tabeli, a �V� ako se
radi o pogledu) Grantor - označava korisnika koji daje prava Read - označava vrijeme kada je grantor dao pravo za čitanje tabele. Ako nema prava,
atribut ima vrijednost 0 Insert - označava vrijeme kada je grantor dao pravo za dodavanje u tabelu. Ako nema
prava, atribut ima vrijednost 0 Delete - označava vrijeme kada je grantor dao pravo za brisanje u tabeli. Ako nema
prava, atribut ima vrijednost 0 Update - označava vrijeme kada je grantor dao pravo za izmjenu u tabeli. Ako nema
prava, atribut ima vrijednost 0 Grantopt - označava da li su označene privilegije date sa grant opcijama . Primjer SYSAUTH tabele u skladu sa dodjelom prava na slici 4.1a.
Userid Tname Ţype Grantor Read Insert Delete Update Grantopt B Employee R A 10 0 0 0 yes C Employee R A 20 0 0 0 yes D Employee R B 30 0 0 0 yes E Employee R D 40 0 0 0 yes D Employee R C 50 0 0 0 yes F Employee R D 60 0 0 0 yes G Employee R E 70 0 0 0 yes
Primjer SYSAUTH tabele Tabela SYSCOLAUTH sprema informacije o kolonama za koje su data prava izmjene. Relacija SYSCOLAUTH ima slijedeće atribute: Userid - označava korisnika kojemu je dodjeljeno pravo izmjene
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
233
Table - označava tabelu za koju je pravo izmjene dodjeljeno Column - označava kolonu tabele za koju je pravo izmjene dodjeljeno Grantor - označava korisnika koji je dodjelio pravo Grantopt - označava da li je pravo dato sa opcijom dodjele Proširenje modela Uvođenje funkcija za grupno upravljanje(1982). Dodatna proširenja modela (1993): nova operacija oduzimanja prava (nekaskadno).
Za primjer sa slike 4.1a i uz pretpostavkui da korisnik B oduzima prava data korisniku D. Umjesto korisnika D, sada će korisnik B biti taj koji daje pravo korisniku E.
negativna autorizacija. Većina DBMS-a radi na principu politike zatvorenog sustava, pa
se nedostatak autorizacije tumači kao negativna autorizacija, što odbacuje trenutni zahtjev ali ne sprečava kasniju dodjelu prava (decentralizirana dodjela). Uspostavlja se eksplicitna negativna autorizacija, koja je jača od pozitivne autorizacije.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
234
Komercijalni proizvodi DBMS Server
Autorizacija lozinkom
Autorizacija OS-om
CREATE ALTER DROP Korisnik/ objekt tip
Operacije Superkorisnika
SELECT INSERT UPDATE DELETE tabele i pogledi
ALTER INDEX tabele
REFERENCES
Ingres + + + + Oracle + + + + + + + Sybase + + + Informix + + + + + SQLBase + + + + DBMS Server
Kontrola na razini kolone
EXECUTE GRANT OPTION
ADMIN OPTION
Grupe Role Snimanje
Ingres Update + + + + Oracle Select
Update Refer.
+
+
+
+
+
Sybase Select Update
+ +
Informix Select Update Refer.
+
+
SQLBase Update Autorizacija korisnika – provodi se putem OS-a ili lozinke. Izuzetak je Oracle, koji radi sa
oba načina. Autorizacije sustavom – vezana je za definiciju autorizacije nad tipovima objekata baze
podataka (baza podataka, tabele, pogledi) i nad korisnicima. Svi DBMS serveri imaju pravo kreiranja, izmjene i brisanja tipova objekata i korisnika. Neki DBMS imaju i superuser operacije (npr. podizanje i spuštanje servera).
Autorizacije podataka – specificiraju operacije koje se mogu izvršavati na podacima spremljenim u objektima baze. Svi DBMS serveri imaju SELECT, INSERT, UPDATE i DELETE prava za tabele i poglede. Samo neki DBMS serveri imaju i ALTER, INDEX i REFERENCES prava za tabele. Neki DBMS podržavaju kontrolu na razini kolone. Ta prava se daju korisnicima putem naredbe SQL GRANT.
Upravljanje autorizacijama – ova funkcionalnost je povezana sa mogučno�ću dodjele prava, zbog potrebe za podjelom odgovornosti i prava unutar organizacije.
Uloge, ako su podržane, koriste se za definiranje prava, povezanih sa danom aplikacijom. Snimanje događaja – primjereno je za određene analize i rekonstrukciju događaja.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
235
PROJEKTIRANJE SIGURNE BAZE PODATAKA Višefazna metodologija predstavlja dobar pristup u dizajniranju sigurnosti baze. 1. Uvodna analiza 2. Sigurnosni zahtjevi i politike 3. Konceptualni dizajn 4. Logički dizajn 5. Fizički dizajn Provjera točnosti izgradnje sigurnosnog modela, prema zahtjevima, za vrijeme dizajniranja kroz: Alat za dizajniranje Struktura za istraživanje – model može biti izabran, od postojećih ili novi model mo�e biti
razvijen od početka Didaktički alat – za pojednostavljenje opisa sustava Alat za uspoređivanje/procjenu – za uspoređivanje/procjenu različitih sigurnosnih sustava
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
236
Uvodna analiza Rizici sustava Karakteristike okruženja baze podataka Aplikativnost (applicability) postojećih sigurnosnih produkata Mogućnost integracije sigurnosnih produkata Performanse rezultirajućeg sigurnosnog sustava Analiza zahtjeva i izbor sigurnosne politike Analize prijetnji i ranjivosti sustava:
- Analiza vrijednosti. Podaci i aplikacije koje im pristupaju se analiziraju da se odredi njihov stupanj osjetljivosti. Kontrola pristupa raste proporcionalno sa osjetljivosti podataka
- Identifikacija prijetnji. Identificiraju se moguće prijetnje aplikacijama. - Analiza ranjivosti. Identificiraju se slabe točke sustava, povezane s prethodno
identificiranim prijetnjama. - Analiza rizika. Moguće prijetnje i slabosti sustava se sučeljavaju sa snagom
sigurnosti i integriteta sustava. - Procjena rizika. Procjenjuje se mogućnost svakog ne�eljenog događaja uz
procjenu sposobnosti reakcije sustava na taj događaj. - Definicija zahtjeva. Zahtjevi sustava se definiraju temeljem procjena prijetnji i
ne�eljenih događaja i mogućnosti njihova pojavljivanja. Izbor sigurnosne politike Cilj sigurnosne politike je definicija autoriziranih pristupa svakog subjekta različitim objektima sustava. Kriteriji za izbor politike:
Tajnost nasuprot integritet nasuprot raspoloživost Maksimalna djeljivost nasuprot minimalna prava. Zrnatost kontrole. Atributi koji se koriste za kontrolu sustava. Integritet. Prioriteti. Privilegije. Autoritet. Naslijeđivanje.
Konceptualni dizajn Konceptualni sigurnosni model je alat za formalizaciju zahtjeva i politike.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
237
Definira se kroz: Identifikaciju subjekata i objekata važnih sa stanovišta sigurnosti Identifikaciju mod-ova pristupa dodjeljenih različitim subjektima, za različite objekte Analizu širenja autorizacije u sustavu, kroz dodjelu i oduzimanje prava Osnovne značajke konceptualnog sigurnosnog modela trebaju biti: Predstavnik je semantike sigurnosti baze podataka. Podržava analizu autorizacijskih dijagrama. Podrška je administratoru baze pri provjeri autorizacije upita. To je lakše napraviti na
konceptualnoj razini nego na razini sigurnosnih mehanizama. Model, također, treba biti: Kompletan: obuhvaća sve početne sigurnosne zahtjeve Konzistentan: neautorizirani korisnik, koji ne može pristupiti nekom objektu direktno, ne
smije do tog objekta doći zaobilaznim putem (indirektno). Logički dizajn Konceptualni sigurnosni model se prevodi u logički model, uz podr�ku DBMS-a. Određuje se koji će se sigurnosni zahtjevi, politike, ograničenja i aksiomi, prikazani u
konceptualnom modelu, realizirati postojećim mehanizmima, a koji će se dizajnirati posebno.
Fizički dizajn detaljni dizajn sigurnosnih mehanizama dizajn fizičke strukture pravila pristupa, njihovih veza sa fizičkom strukturom baze, povezivanje mod-ova pristupa sa zahtjevanom kontrolom pristupa detaljna arhitektura mehanizama koji će ispuniti sigurnosne zahtjeve i politiku. Implementacija sigurnosnih mehanizama Ekonomija mehanizama. Djelotvornost Linearnost cijene. Minimalna prava. . Prednosti su:
- ograničenje pogre�aka - održavanje - obrana od Trojanskog konja - prikazivanje točnosti
Kompletno posredovanje. Poznat dizajn.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
238
Sigurnost po default-u. Minimum općih mehanizama. Psihološka prihvatljivost. Fleksibilnost. Izolacija. Potpunost i konzistentnost. Preglednost. Problem residuala. Nevidljivost podataka. Namjerne zamke. Mjere u slučaju nu�de. Programski jezik.. Točnost.
Verifikacija i testiranje
Svrha ove faze je verifikacija da su sigurnosni zahtjevi i politika točno implementirani od strane software-skih produkata.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
239
11. SIGURNOST RAČUNALNIH MREŽA I DISTRIBUIRANIH SUSTAVA Prijetnje računalnim mre�ama Sigurnosni problemi: Dijeljenje. Složenost sustava. Nepoznate granice(perimetar). Mnogo točaka napada. Anonimnost. Nepoznati put.
Analiza sigurnosnih prijetnji Dijelovi mreže: lokalnii čvorovi, povezani preko lokalnih komuniakcionih veza na
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
240
lokalne računalne mre�e, koje također imaju lokalna spremišta podataka, lokalne procese, i lokalne uređaje. Lokalna mre�a je također spojena na mrežne prospojnike (gateway), koji daju pristup preko mrežnih komunikacijskih linija do mrežno kontroliranih sredstava, mre�nih usmjerivača (rutera), i mrežnih resursa, kao što su baze podataka.
Prijetnje: Čitanje komunikacije od A do B. Izmjena komunikacije od A na B. Krivotvorenje komunikacije koja navodno dolazi od A do B. Spriječitii komunikaciju od A do B.. Spriječiti sve komunikacije koje prolaze kroz neku točku.. Čitanje podataka na C ili D Izmjeniti ili uništiti podatke na C ili D..
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
241
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
242
Prijetnje su: presretanje (prihvat) podataka u prijenosu, pristup programima ili podacima na udaljenim računalima, izmjena podataka ili programa na udaljenim računalima, izmjena podtaka u prijenosu, umetanje komunikacije u ime drugog korisnika (impersonizacija,) umetanje ponovljene prethodne komunikacije, blokiranje određenog prometa, blokiranje sveukupnog prometa, izvođenje programa na udaljenom računalu. Kategorije prijetnji: priključak na �icu (wiretapping), impersonizacija (predstavljne u ime drugog), kršenje tajnosti poruke, kršenje integriteta poruke, hacking, kršenje integriteta koda, odbacivanje usluga (DoS). Priključenje na �icu (Wiretapping)
Pasivno priključenje Aktivno priključenje.
Kabel
Mikrovalovi
Satelitske komunikacije
Optičko vlakno
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
243
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
244
Impersonizacija (predstavljanje u ime drugoga) U ovom predstavljanju napadač ima nekoliko izbora:
pogađa identitet i detalje autentifikacije cilja napada prikuplja identitet i detalje autentifikacije cilja iz prethodne komunikacije zaobilazi ili onemogućava mehanizme autentifikacije na ciljnom računalu koristi cilj napada koji ne zahtjeva autentifikaciju koristi cilj čiji su podatci za autentifikaciju poznati
Autentifikacija naru�ena pogađanjem
Autentifikacija narušena sa prisluškivanjem
Atentifikacija narušena izbjegavanjem Nepostojeća autentifikacija
Dobro-znana autentifikacija
Povjerljiva autentifikacija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
245
Narušavanje tajnosti poruke Kriva isporuka Izlaganje (exposure) Analiza toka prometa na mreži
Kršenje integriteta poruke
Krivotvorenje poruka Napadač mo�e
izmjeniti sadržaj poruke promijeniti bilo koji dio sadržaja poruke može zamjeniti cijelu poruku ponovo upotrebiti staru poruku izmjeniti stavrni izvor poruke preusmjeriti poruku uništiti ili izbrisati poruku
Izvori napada: aktivni priključak na �icu Trojanski konj impersonizacija zaposjednuto računalo zaposjednuta stanica
Šum
Hacking
Integritet koda Prijenos datoteka sa WWW : Korisnik tipično ne razmi�lja �to prenesena datoteka zapravo sadr�i. Ponekad se punjenje datoteke (prijenos) događa bez odobrenja korisnika. Ponekad se punjenje događa i bez korsnikova znanja.
Greške Jave odbacivanje usluga (DoS) degradcija usluga
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
246
tajno komuniciranje sa drugim procesima na Internetu izmjene pretra�ivača
Problemi dizajna i razvoja sustava:
Ne postojanje dobro definirane sigurnosne politike Nedostatk sigurnosnih mehanizama koji su uvijek uključeni. Nedostatak sigurnosnih mehanizama koji su neprobojni. Nedostatak sigurnosnih mehanizama koji su mali i jednostavni. Kao posljedica, nedostatak referncijskog monitora. Nedostatak povjerlive računalne baze (TCB).. Nedostatak kontrole integriteta sutava koji se izvodi. Nedostatak modularnosti i ograničenja područja. Nedostatk obrane po dubini. Nedostatak logiranja i praćenja.
Odbacivanje usluga (DoS)
Povezanost Preopterećenje (Flooding) Problemi usmjeravanja Prekid usluge
Kontrole mrežne sigurnosti (Sigurnosni mehanizmi) Enkripcija
Enkripcija veze (Link enkripcija)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
247
Enkripcija sa kraja na kraj (End-to-End enkripcija)
.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
248
Usporedba metoda kriptiranja
Kontrola pristupa
Zaštita portova Automatski povratni poziv (call-back) Različita pristupna prava Tihi modem.
Autentifikacija u distribuiranim sustavima Dva problema: Kako jedno računalo mo�e biti sigurno u autentičnost udaljenog računala ? Kako računalo može biti sigurno u autentičnost korisnika na udaljenom računalu ? Ili
obratno, kako korisnik mo�e biti siguran u autentičnost udaljenog računala ?
Digital-ova distribuirana autentifikacija Arhitektura je djelotvorna protiv slijedećih prijetnji:
impersonizacija poslužitelja prihvat ili modifikacija podataka koji se izmjenjuju između poslu�itelja ponavljanje prethodne autentifikacije
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
249
Kerberos Korisnička stanica �alje �alje korisnički identitet prema Kerberos poslu�itelju kada se
korisnik prijavljuje na sustav. Kerberos poslužitelj verificira ovlašetonost korisnika, te šalje dvije poruke:
- Prema korisničkoj radnoj stanici �alje ključ sjednice SG za korištenje u komunikaciji sa poslužiteljem za dodjelu karata (Ticket Granting Server – G), te kartu TG za G; SG je kriptiran pod korisničkom lozinkom: E( SG + TG, pw)
- Prema poslužitelju za dodjelu karata (Ticket Granting Server-G), šalje kopiju ključa sesije SG i identitet korisnika (kriptirano sa ključem koji se dijeli između Kerberos poslužitelja(KS) i Ticket Grantig Server-a (TGS-a)).
Dizajn : Lozinke ne putuju po mreži. Kriptografska zaštita od prevare (spoofinga). Ograničeni period va�nosti. Vremenske oznake za sprečavanje napada ponavljanja. Međusobna autentifikacija. Kerberos nije idealni odgovor za sigurnosne probleme:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
250
Kerberos zahtjeva kontinuiranu raspoloživost TGS-a. Autentičnost servera zahtjeva povjerljivi odnos između TGS-a i svakog servera.. Kerberos zahtjeva vremenske transakcije. Sru�ena stanica mo�e sačuvati i kasnije odgovoriti korsničkiom lozinkom. Pogađanje lozinki. Kerberos se ne proširuje jednostavno i dobro. Kerberos je potpuno rješenje.
DCE
SESAME CORBA ( Common Object Request Broker Architecture) Tri važna cilja specifikacije sigurnosti : 1. Fleksibilnost sigurnosne politike.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
251
2. Neovisnost o sigurnosnoj tehnologiji. 3. Interoperabilnost. Kontrola prometa na mreži Dodavanj (punjenje) prometa (Pad Trafic) Kontrola usmjeravanja Integritet podataka na mreži Protokoli Kontrolne sume Paritet
Mnogo mudriji kodovi greške Na aplikacijskoj razini program mo�e izračunati hash
vrijednost ili kriptografsku kontrolnu sumu. Digitalni potpisi Javno bilježništvo Zaključno sigurnosne kontrole su: enkripcija, kontrola pristupa, autentifikacija korisnika, autentifikacija distribuiranih sustava, kontrola prometa, integritet podataka.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
252
PRIVATNA ELEKTRONIČKA PO�TA Zahtjevi i rješenja
Prijetnje elektroničkoj po�ti:
prihvat poruke (tajnost) prihvat poruke (isporuka u blokovima) prihvat poruke i naknadni odgovor izmjena sadržaja poruke izmjena izvora poruke krivotvorenje sadržaja poruke od “outsidera” krivotvorenje izvora poruke od “outsidera” krivotvorenje sadržaja poruke od primaoca krivotvorenje izvora poruke od primaoca odbacivanje prijenosa poruke
Zaštite : tajnost poruke ( poruka nije izložena na putu do primaoca) integritet poruke (ono što primaoc vidi je ono što je poslano) neodbacivanje (neporecivost) (po�iljaoc se nemo�e odreći da nije poslao poruku)
PEM – Privacy Enhanced (Eletronic) Mail Osnova:
enkripcija. Certifikat (X.509) integracija sa postojećim e-mail-om
Format poruke:
Proc-Type - poljeje tipa obrade - tip poboljšanja privatnosti. Dek-Info - tip izmjene ključa (simetrični, ili asimetrični) Key-Info ključ enkripcije poruke
PEM standard : enkripcija (DES, RSA) Hash poruke (MD2, MD5) digitalni potpis ostali MD4, IDEA, El Gmal
PEM osigurava:
autentičnost neodbacivanje integritet (hash funkcija-MIC)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
253
tajnost
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
254
Proširenje (osim teksta) :
glas, video grafika
PEM (raspoloživost)
Cambridge i University of Michigan BBN, RSA-DSI, Trusted Information Systems
Problemi:
krajnje točke (primaoc-pošiljaoc) upravljanje ključevima (hierarhija)
PGP (Pretty Good Privaacy) Osnova:
PEM jednostavnost upravljanja ključevima (prsten ključeva),
prijateljski odnosi PEM algoritmi (DES,RSA,IDEA i dr).
Problem:
- prevelik krug prijatelja (prijatelj prijatelja) - nedirektni prijatelji
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
255
MIME (Secure/Multipurpose Internet Mail Extensions) PEM je bio rani IETF standard za sigurni prijenos poruke i imao je dva nedostatka. Prvi je bio nekompatibilnost sa MIME standardom poruke i perspektivnim PKI ( Public Key Infrastructure) zahtjevima. Slično PEM-u, S/MIME radije govori o specifikaciji nego o proizvodu (kao što je PGP). S/MIME je za razliku od PEM-a uspješno zaživio na tržištu. S/MIME izgrađen na standardu kriptiranja javnim ključem, dok PEM koristi znakovno orijentirane protokole. To nije fundamentalna, već implementacijska razlika. Postoje tri verzije S/MIME od kojih se samo druga i treća koriste u praksi:
1. S/MIME verzija 1 je objavljena 1995 godine. 2. S/MIME verzija 2 je objavljena 1998 godine. 3. S/MIME verzija 3 je objavljena 1999 godine. Razlike između verzija 2 i 3 nisu
fundamentalne i mogu se zajedno koristiti. Verzija 3 je predložena kao internet standard.
Važno je napomenuti da S/MIME koristi mehanizme digitalnog potpisa, enkripcije i digitalne omotnice za sigurni prijenos poruke. Tehnologija u S/MIME-u je slična onoj u PGP-u. Ipak postoje dvije fundamentalne razlike između njih. PGP i S/MIME koriste različite formate poruka. PGP i S/MIME rade izmjenu javnih ključeva i certifikaciju javnog ključa na dva
fundamentalno različita načina:
o PGP se oslanja na korisnika da izmjenjuje javne ključeve i PGP certifikate da bi se ostvarilo povjerenje između njih.
o S/MIME se oslanja na X.509 certifikate koji su izdani od CA. Obje razlike vode u situaciju u kojoj PGP i S/MIME implementacije. nisu kompatibilne. Kako ime govori SMIME ima zadatak osiguranja MIME entiteta. MIME entitet može biti dio poruke, skup dijelova poruke ili cijela e-mail poruka (sa svim dijelovima ali bez zaglavlja poruke). U svakom slučaju S/MIME se definira kako kriptografska za�tita MIME entiteta prema PCKS . S/MIME se bazira na enkripcijskoj sintaksi poruke, tj. CMS (eng. Cryptographic Message Syntax). CMS je izveden iz PKCS #7. CMS je prilično općenit i S/MIME mo�e podr�avati vi�estruke algoritme sa�etka, kriptiranih podataka, kriptiranih ključeva i digitalnih potpisa. S/MIME specifikacija je originalno namijenjena promociji sigurne komunikacije među raznim proizvodima. Specifikacija i dalje omogućuje razne interpretacije i ponekad je otvorena u aspektu koji se tiče međudjelovanja.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
256
Ukratko, S/MIME sadrži detaljno dizajnirani i široko primjenjivi tehnologijski pristup za sigurno komuniciranje preko interneta. Potpuno je specificiran sa ASN.1 i koristi hijerarhijski model povjerenja baziran na ITU-T preporukama X.509. S/MIME je snažno podržan od svih većih proizvođača komunikacijskih aplikacija. Zato je vrlo vjerojatno da će S/MIME postati dominantna tehnologija za sigurno komuniciranje na internetu. To je svakako istina za poslovni svijet, a za privatne osobe PGP je dobra i jednostavna alternativa, jer ima decentralizirane procedure za razmjenu javnih ključeva i upravljanje certifikatima. Treba reći da S/MIME nije ograničen na e-mail. Tako može biti korišten da osigura bilo kakav sistem koji prenosi MIME entitete. Tako HTTP može iskoristiti S/MIME da sigurno prenese MIME entitete između web servera i preglednika. S/MIME može biti korišten i da sigurno izmjenjuje digitalno potpisane EDI poruke preko interneta. Čak je vrlo vjerojatno da ćemo vidjeti alternativne aplikacije na internetu.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
257
SIGURNOSNE STIJENE (Firewalls -vatrozid)
Izgradnja sigurnosnih stijena Sigurnosna stijena je specijalni oblik referencijskog monitora: uvjek uključen neprobojan mali i dovoljno jednostavan za strogu analizu. Što je sigurnosna stijena ?
Vatrozid je proces koji filtrira sav promet između za�tićene �unutrašnje” mreže i manje povjerljive “vanjske” mreže.
Implementacija:
“ ono što nije posebno zabranjeno je dozvoljeno” i “ ono što nije izravno dozvoljeno je zabranjeno “.
Vrste sigurnosnih stijena zaštitni usmjerivači (screening routers) opunomoćeni prospojnik (proxy gateways) straže (guards)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
258
Za�titni usmjerivači (Screening routers)
Svojstva :
filtriranje na razini paketa (zaglavlje) pravila zaštite – uvjeti filtriranja osiguranje valjanosti unutrašnjih adresa kontrola prometa po aplikaciji (mrežna adresa i adresa porta) adresa koju vidi usmjerivač je zapravo kombinacija mre�ne adrese i broja porta
aplikacije. ( npr. 100.50.25.325 za SMTP )
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
259
Opunomoćeni prospojnik (Proxy Gateway) Svojstva:
simulira (prave) efekte aplikacije prema unutra i prema van (pseudo aplikacija) mogućnost pregleda (zaštite) prenosa podataka, (prihvatljive komande aplikacije
stižu na odredište) Primjeri primjene :
Tvrtka želi uspostaviti on-line listu cijena tako da outsideri mogu vidjeti proizvode s ponuđenim cijenama. Ona �eli biti sigurna da outsider ne mo�e mijenjati listu cijena ili proizvoda, te da outsider može pristupiti samo listi cijena, a ne niti jednoj drugoj osjetljivoj datoteci iznutra.
�kola �eli dozvoliti svojim studentima da dohvaćaju bilo koju informaciju sa WWW –a na Internetu. Kako bi pomogla u osiguranju djelotvornije usluge, ona želi znati koji se siteovi posjećuju, te koje se datoteke sa tih siteova dohvaćaju; pa će popularne datoteke biti lokalno cache-irane.
Vladina agencija plaća za skupljanje statistike u korist svojih građana. Ona �eli da te informacije budu raspolo�ive samo građanima. Prepoznajući da ona ne mo�e spriječiti građana od prosljeđivanja informacije strancu, vlada će implementirati politiku s dozvolom isporuke podataka samo na odredište s adresama unutar zemlje.
Tvrtka s više ureda želi kriptirati dio podataka svih e-mailova na adrese svojih drugih ureda. (Odgovarajući proxy na udaljenom kraju će odstraniti enkripciju)
Tvrtka želi dozvoliti za svoje djelatnike pristup preko biranih linija, bez izlaganja svojih resursa od login napada od strane udaljenih nedjelatnika.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
260
Specijalne funkcije:
prijava na sustav sa jakom autentifikacijom (pobuda-odgovor) jedinstveno korisničko sučelje- heterogeni sustavi
Straža (Guard) Svojstva:
sofisticirana opunomoćeni (proxy) vatrozid pravila-raspoloživo znanje( identitet korisnika, prethodne akcije i dr.) izračunljivost uvjeta kontrole složenija sigurnosna politika
Primjeri primjene: Sveučili�te �eli dozvoliti svojim studentima korištenje e-maila do granice od
određenog broja poruka ili određenog broja znakova u vremenu od određenog broja dana.
Škola želi da njezini studenti pristupaju WWW-u, ali zbog male brzine njezinih veza na WWW ona će dozvoliti samo određeni broj znakova za dohvat (download) ( a to znači da će dozvoliti tekstualni mod i jednostavnu grafiku, a neće dozvoliti slo�enu grafiku, animacije, glazbu i slično).
Biblioteka �eli učiniti raspolo�ivim izvjesne dokumente, te kako bi podr�ala fer kori�tenje autorskih prava, dozvolit će korisniku kori�tenje određenog broja prvih znakova dokumenta, a nakon toga će tra�iti uplatu pristojbe
Tvrtka želi dozvoliti svojim djelatnicima dohvat datoteka preko FTP-a, kako bi spriječila uvođenje virusa ona će proslijediti sve ulazne datoteke kroz ispitivač na postojanje virusa.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
261
Usporedba vrsti sigurnosnih stijena Screening router Proxy Gateway Guard Najednostavniji Nešto složeniji Najsloženiji Vidi samo adrese i vrstu protokola usluge
Vidi potpuni tekst komunikacije
Vidi puni tekst komunikacije
Pote�koća u nadzoru i praćenju
Može pratiti aktivnost Može pratiti aktivnost
Zaštita zasnovana na pravilima veze
Zaštita zasnovana na ponašanju proxy-a
Zaštita zasnovana na interpretaciji sadržaja poruke
Složena pravila adresiranja čine konfiguriranje otežanim
Jednostavni proxy se može substituirati za složena pravila adresiranja
Složena funkcionalnost guarda može ograničiniti jamstvo sigurnosti
Tablica 9.3 Usporedba vrsti sigurnosnih brana Primjer konfiguracija vatrozida
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
262
Što sigurnosna stijena može, a što ne može blokirati ? Treba držati na umu: Sigurnosna stijena može zaštiti okolinu samo ako on kontrolira cijelu granicu. Sigurnosna stijena ne štiti podatke izvan granice (perimetra). Sigurnosne stijene su najvidljiviji dio instalacije prema vani, pa su one i najprivlačniji
cilj za napade. Sigurnosne stijene su dizajnirani za odbijanje napada, ali oni nisu nedokučivi. Sigurnosne stijene moraju biti ispravno konfigurirani. Sigurnosne stijene provode samo malu kontrolu nad sadr�ajem koji se proslijeđuje u
unutrašnjost.
Prospojnik sa kriptiranjem Zahtjev:
Tvrtka �eli kriptirati svu elektroničku po�tu između svih triju strana (udaljenih LAN-ova). Rješenje:
Sigurnosna stijena (proxy gateway) i kriptografski server, (virtualna privatna mreža).
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
263
Svojstva rješenja:
ujedinjuje jakost enkripcije sa centralnom točkom kontrole koju donosi vatrozid. upravljanje enkripcijom ne treba biti izvođeno od korisnika, (transparentno) štiti od napada tajnosti i integriteta u jako izloženim sredinama (Internet) uz mali
trošak
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
264
VIRTUALNE PRIVATNE MREŽE (VPN)
Slika 1.2 Virtualno privatno umrežavanje Motivi za VPN
Široka pokrivenost (sveprisutnost) Smanjenje troškova Sigurnost E-trgovanje (E-Commerce)
VPN tehnologije
Tuneliranje Autentifikacija Kontrola pristupa Sigurnost podataka
Slika 1.3 VPN tehnologije
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
265
Tuneli Tuneliranje
Slika 4.1 Tunel unutar mreže
Slika 4.2 Enkapsulacija na trećoj razini Integritet podataka i tajnost
Integritet podataka Tajnost
Protkoli za VPN tuneliranje Namjena:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
266
kapsulacija jednog protokola unutar drugog transport privatno adresiranih paketa kroz javnu infrastrukturu osiguraje integriteta i tajnosti podataka
Slika 4.3 Udaljeni korisnik pristupa mre�i koristeći PPP
Slika 4.4 Udaljena veza korisnika kroz tuneliranje na drugoj razini
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
267
PPTP protokol (Point-to-Point Tunneling Protocol )
Slika 4.5 Pristup udaljenog korisnika korištenjem PPTP .
Slika 4.6 PPTP kapsulacija IP datagrama sa kraja na kraj
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
268
L2F (Layer Two Forwarding) protokol
Slika 4.7 Udaljeni pristup kroz upotrebu L2F L2TP (Layer Two Tuneneling Protocol) protokol
Slika 4.8. Uadljeni pristup kroz upotrebu L2TP
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
269
IPsec protokol
Slika 4.9 IPsec tunel MPLS (Multiprotocol Label Switching) protokol
Slika 4.10 MPLS zatvaranje (kapsuliranje)
Slika 4.11 Primjer preklapanja labela
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
270
SIGURNOST WEB SERVISA Web servisi su namijenjeni poboljšanju interoperabilnosti poslovnih procesa između različitih organizacijskih jedinica i osnovnih aplikacijskih sustava. Opis tehnologije
Arhitektura Web servisa
Universal Directory, Discovery and Integration (UDDI) Universal Directory, Discovery and Integration je repozitorij usluga koji omogućava pronalazak informacija o specifičnim Web servisima.
Web Services Description Language (WSDL) Sučelja, veze na protokole (bindings) i formati podataka kori�teni za specifični Web servis su opisani pomoću WSDL-a (Web Service Description Language).
Struktura WSDL-a
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
271
SOAP SOAP je vjerojatno najvažniji dio Web servis tehnologije. SOAP predstavlja apstraktan sloj za prijenos stvarnih podataka. Točnije, specificira neutralnu reprezentaciju podataka koji se izmjenjuju sakrivajući komunikacijske protokole koji stoje iza, kao �to je HTTP ili SMTP.
Struktura SOAP dokumenta Sigurni WEB servisi - Sigurnosni model Svako e-Poslovanje koristi svoju vlastitu sigurnosnu infrastrukturu i vlastite sigurnosne mehanizme, kao što je PKI ili Kerberos. U kontekstu WEB servisa, ovi sigurnosni sustavi trebaju međusobno djelovati kroz različite sigurnosne domene.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
272
Sigurni WEB servisi -relizacija sigurnosnog modela Za razliku od SSL-a i HTTP-a koji osiguravaju osnovu sigurnost od točke do točke sigurni WEB servisi moraju osigurati sigurnost od kraja do kraja , od aplikacije do aplikacije.
WS-Security WSS (WS-Security, Web Services Security) je komunikacijski protokol koji osigurava sigurnost primjene Web servisa. Ovaj protokol je publiciran od strane OASIS normizacijskog tijela kao WS-Security norma 1.1 koja uključuje slijedeće specifikacije:
SOAP Messagge Security 1.1 Ova specifikacija opisuje poboljšanje sigurnosti SOAP poruka kroz zaštitu integriteta, povjerljivosti poruka te kroz autentifikaciju korištenjem jedne poruke.
Username Token Profile 1.1 Ova specifikacija opisuje kako korisnik Web servisa dostavlja UsernameToken kao način identifikacije kori�tenjem "korisničkog imena" i proizvoljnog korištenja lozinke (ili dijeljenje tajne ili nekog ekvivalenta lozinke) kako bi se korisnik autentificirao kod dobavljača Web servisa.
X.509 Token profile 1.1 Ovaj dokument opisuje kako koristiti X.509 certifikate sa WSS uslugama: SOAP Message Security specifikacijom.
SAML Token profile 1.1 Ova specifikacija opisuje upotrebu SAML potvrda kao sigurnosnih tokena kroz <wsse: Security> zaglavlje koje je definirano sa WSS: SOAP Message Security specifikacijom.
Kerberos Token Profile 1.1 ). Ova specifikacija opisuje upotrebu Kerberos (Kerb) tokena u odnosu na WSS: SOAP Message Security specifikaciju . Posebno, ovaj dokument definira kako kodirati Kerberos karte te kako ih spojiti na SOAP poruke.
Rights Expression Language (REL) Token profile 1.1 Ovaj dokument opisuje kako upotrijebiti ISO/IEC 21000-5 Rights Expressions sa WSS specifikacijom. ISO/IEC 21000-5 norma definira autorizacijski model koji specificira da li semantika izraza, koji definira prava, dozvoljava određenom subjektu da izvodi dana prava na
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
273
proizvoljno danom objektu u danom vremenu na osnovi danog ovlaštenja i povjerenja.
SOAP with Attachments (SwA) profile 1.1 Ova specifikacija opisuje kako korisnik Web servisa mo�e osigurati SOAP dodatke koristeći SOAP Message Security normu za očuvanje integriteta, tajnosti i autentičnosti izvora dodatka, te kako primatelj mo�e obraditi takvu poruku.
Protokolni slog sa SOAP Message Security Kako bi sagledali što bolje sigurnost i interoperabilnost Web servisa dobro je pogledati protokolni slog u svjetlu 7 razina mrežnog protokola.
Shematski bi se struktura sigurnosnih informacija u SOAP poruci prema WS-Security protokolu mogla prikazati na sljedeći način:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
274
Struktura sigurnosnih informacija u SOAP poruci prema WS-Security protokolu Interoperabilni sigurnosni servisi WS-I Basic Security Profile radna grupa razvila je interoperabilni profil koji je povezan sa sigurno�ću transporta, sigurno�ću razmjena SOAP poruka te ostalim osnovnim profilima koji su orijentirani na sigurnost Web servisa.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
275
VIŠERAZINSKA SIGURNOST NA MREŽAMA Principi:
mandatna kontrola pristupa označavanje subjekata i objekata povjerenje
Svojstva u pristupu podatcima (Bell-La-Padula):
Jednostavno svojstvo sigurnosti (ss-property) koje kaže da niti jedan korisnik nesmije čitati podatke na razini koja je vi�a od one za koju je osoba ovla�tena.
Svojstvo zvijezde (*-property) koje kaže da niti jedna osoba nesmije pisati podatke na
razinu koja je niža od razine na koju je osoba pristupila. Povjerljivo mre�no sučelje (Trusted Network Interface - TNI) Slika 9.39 pokazuje grafički strukturu povjerljive računalne baze (trusted computing base-TCB) za operacijski sustav. Povjerljivo sučelje za mre�e razvijeno je, na način sličnom operacijskim sustavima, kako je pokazano na slici 9.40.
odgovara za sredstva koja kontrolira svaki host ima svoje sučelje (različito) za�tićuje se od hosta koji se priključuje bez TNI-a
Mre�a i mre�no sučelje moraju osigurati slijedeće:
Sigurne višerazinske hostove (računala) Označeni izlaz. Kontrola klasifikacije prije oslobađanja podataka. Integritet podataka. Zatvorenost. Zaštitu od kompromitiranja linije.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
276
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
277
Rushby i Randell dizajn mreže:
kriptografsko odvajanje hostova jedinstven ključ za svaku sigurnosnu razinu neizmjenjeni operacijski sustav sva sigurnost u TNI
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
278
Sigurna komunikacija Alternativni pogled na mrežnu sigurnost dan je od Walker-a :
mreža povjerljivih i nepovjerljivh hostova povjerljivi hostovi sa više sigurnosnih razina (mandatna politika pristupa) nepovjerljivi hostovi istu razinu sigurnosti hostovi odgovorni za verifikaciju sigurnosti vlastitih komunikacija nepouzdanost komunakcije – sigurnosni problem potvrda prijema (tajni kanal ?)
Rješenje nepouzdanosti komunikacije:
uvođenje komunikacijskog servera (XS) na povjerljivom hostu (niska razina) prijenos unutar povjerljivog hosta pouzdan potvrda prijema od XS
Komunikacija s nepovjerljivim hostom:
ne može koristiti gornju tehniku ( ne provodi pristupnu politiku – ista sigurnosna razina)
uvodi se povjerljivi mre�ni menađer (slika 9.43) povjerljivi menađer mo�e kr�iti svojstva BLP modela (rigorozna inspekcija koda)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
279
Zaključno o mre�noj sigurnosti Sigurnosna pitanja:
tajnost, integritet, autentičnost i raspoloživost.
Enkripcija (snažan alat)
enkripcija veze (transaprentna) enkripcija sa kraja na kraj (upravljana od korisnika)
Prijenosni protkoli – očuvanje integriteta podataka Ranjivost:
pristup od neovla�tenih korisnika ili čvorova impersonizacija ovla�tenih korisnika ili čvorova
Mjere:
kontrola pristupa i tehnike autentifikacije
Problem mrežne sigurnosti - uspostava povjerenja udaljenog čvora Napadač na mre�nu sigurnost: Da li je to najslabija veza ? Da li imam vještine da to prihvatim? Da li je to vrijedno truda ?
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
280
12. TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM SIGURNOSNIM BAZAMA PODATAKA
TRADICIONALNA TRANSAKCIJSKA OBRADA Cilj mehanizama za kontrolu istovremenih (konkurentnih) pristupa (CC- concurrency control) je da se očuva integritet baze podataka čak i u slučaju istovremenih pristupa od strane vi�e korisnika kroz pravilnu sinkronizaciju izvođenja transakcija. Taj princip je najbolje ilustrirati kroz slijedeći primjer. Primjer 2.1.(Zašto trebamo protokol za kontrolu istovremenih pristupa). Razmotrimo bazu podataka za odr�avanje stanja informacija o korisničkim bankovnim računima. Pretpostavimo da korisnik gospodin. Kovač ima dva računa: tekući račun (A) i račun za �tednju (B). Račun B koristi i njegova supruga gđa Kovač. Pretpostavimo da je trenutno stanje računa A 1000 $ a stanje računa B je 10000 $. Razmotrimo slijedeći scenarij: transakcija T1 inicirana od g. Kovača miče 100 $ iz računa A na račun B, dok druga transakcija T2 , inicirana od gđe Kovač pola�e na račun B iznos od 10000 $.
Slika 2.1 Neispravno istovremeno izvođenje ACID zahtjevi na obradu transakcija Od izvođenja transakcija se očekuje da se zadovolji:
atomnost (atomicity), konzistentnost (consistency), izolacija (isolation) i postojanost (durability),
Poznato pod nazivom ACID svojstava.
T1 T2
Read A A = A - 100 Read B Write A B = B + 10000 Read B Write B Commit T2 B = B + 100 Write B Commit T1
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
281
U distribuiranim bazama podataka: dodatno se zahtjeva "atomic commit protocol - ACP" kako bi se osigurala atomnost
transakcije u distribuiranoj bazi podataka. ispravna integraciju ACP-a i CC protokola.
Protokoli za kontrolu istovremenih (konkurentnih) pristupa (CC protokoli) Izmije�ano izvođenje transakcija T1 i T2 koje rezultira ispravnim stanjem.
Slika 2.2 Ispravno istovremeno izvođenje
Izvođenje koje je ekvivalentno serijskom izvođenju naziva se serijabilno. CC protokol se koristi kako bi se osigurala serijabilnost. Algoritmi za CC protokol:
dvo-fazno zaključavanje (two-phase locking) i poredak prema vremenskom označavanju (timestamp ordering).
Dvo-fazno zaključavanje (2PL):
Protokoli koji se zasnivaju na zaključavanju provode ka�njenje konfliktnih operacija kroz postavljanje brave (locka) na podatkovne elemente u bazi koji se čitaju ili upisuju u bazu.
Pod pojmom konfliktne operacije podrazumijevaju se operacije koje referenciraju iste
podatke (elemente u bazi) ali od kojih je barem jedna operacija, operacija upisa (write).
2PL zahtjeva da su sve transakcije dobro oblikovane i da su dvo-fazne.
o transakcija mora ostvariti dijeljenu bravu (S-Lock) na podatcima u bazi prije njihovog čitanja i isključivu bravu (X-lock) prije njegovog upisivanja.
T1 T2
Read A Read B A = A - 100 B = B + 10000 Write A Write B Commit T2 Read B B = B + 100 Write B Commit T1
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
282
o Transakcija je dvofazna ukoliko ona više ne postavlja brave (locks) na elemente u bazi nakon što je oslobodila bravu (lock) na nekom podatkovnom elementu u bazi.
Poredak prema vremenskim oznakama (TO):
pridružuju jedinstvenu vremensku oznaku (timestamp) (ts(Ti)) svakoj transakciji (Ti).
Svaki podatkovni element (x) je povezan sa vremenskom oznakom posljednje transakcije koja je čitala ili upisivala u taj element i to rts(x) i wts(x) respektabilno.
dozvoljava konfliktnim operacijama izvođenje samo u rastućem poretku vremenskih
oznaka i to: o (1) Ti nije dozvoljeno čitanje x osim ako je wts(x) ≤ ts(Ti), i o (2) Ti nije dozvoljeno pisanje u x osim ako je rts(x) ≤ ts(Ti).
Protokoli potvrde izvršenja (Commit Protocols) Kada je distribuirana transakcija podijeljena na podtransakcije za izvođenje na pojedinačnim lokacijama mi moramo osigurati da one sve potvrde završetak (commit) ili da sve zajedno abortiraju (abort). Vrste:
Dvo-fazni protokol potvrde završetka (2PC) Early Prepare (EP): Optimizacija 2PC protokola
Primjer 2.2 (Zašto trebamo Commit protokol). Razmotrimo primjer iz prijašnje sekcije. Pretpostavimo da se tekući račun (račun A) gosp. Kovača odr�ava u Splitu (lokacija 1) a njegov račun za �tednju (račun B) u Zagrebu (lokacija 2). Pretpostavimo da on �eli povući 1000 $ sa svoga �tednog računa na tekući račun. Pretpostavimo da je distribuirana transakcija inicirana sa lokacije 1 da provede ove operacije. Slijedeći skup operacija treba biti izveden na obje lokacije: Lokacija 1 Lokacija 2 Read A Read B A = A + 1000 B = B - 1000 Write A Write B Kako bi se osigurala atomnost izvođenja svih komponenata distribuirane transakcije (koje se često nazivaju subordinate) potreban je " atomic commit protocol" (ACP). Dvo-fazni protokol potvrde završetka (2PC)
o Pripremna faza o Faza odluke
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
283
Coordinator subordinate
Slika 2.3. Osnovni 2PC protokol
Early Prepare (EP): Optimizacija 2PC protokola Coordinator Suobordinate
Slika 2.4. EP protokol
Work request, prepare
Yes Commit
Yes
Acknowledge
Work request
Done Prepare
Yes
Commit
Acknowledge
6n messages
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
284
TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM BAZAMA PODATAKA Sigurnosni protokoli za transakcijsku obradu zajedno sa ograničenjima Bell-LaPadula ograničenjima moraju biti oslobođeni od svih tajnih kanala (covert channels). Problemi postojećih rje�enja u tradicionalnim uvjetima U obje situacije (locking i timestamping) kad god postoji natjecanje za podatkovne elemente od strane transakcija koje se izvode sa različitih pristupnih klasa, transakcija ni�e pristupne klase je ili zakašnjela ili suspendirana kako bi se osigurala ispravno izvođenje. U takvom scenariju dvije transakcije koje se izvode na visokoj i niskoj razini mogu stvoriti kanal za prijenos informacija sa visoke razine na nisku selektirajući neki podatkovni element prema unaprijed usvojenom kodu. High: lock2[x], r2[x] lock2[y], w2[y] Low: w1[x] bit će zaka�njen
Slika 3.1 Tajni kanal uz 2PL protokol TO protokol također je ranjiv na isti odljev tajnih informacija. Pretpostavimo da je ts(T1) < ts(T2). Budući da T1 poku�ava upisati x nakon �to je T2 pročitao x, ta operacija pisanja se odbija budući je vremenska oznaka čitanja od x rts(x)) > ts(T1) te zbog toga T1 mora biti abortirana. Budući high transakcija mo�e selektivno prouzročiti (odnosno koordinirati) da low transakcija abortira uspostavljen je tajni kanal za prijenos high informacija. Signalni kanal, ipak, se može ukloniti ukoliko high transakcija ne postavlja lock na low podatak ili da oslobodi lock kada low transakcija zahtjeva low podatkovni elemenat. Slično u slučaju TO kanal se mo�e ukloniti ukoliko high transakcija ne mijenja vremensku oznaku čitanja na low podatkovnom elementu. Međutim to mo�e dovesti do povijesti događaja koja je označena na slici 3.2. High: T2, z r2[x] r2[y], w2[z] Low: T1, x, y w1[x], w1[y]
Slika 3.2 Neserijabilna povijest događaja Povijest događaja nije serijabilna budući je pripadni serijabilni graf sadr�i ciklus prikazan na slici 3.3. (strelica od T1 prema T2 postoji zbog konfliktnih operacija r2[x] i w1[x] gdje r2[x] prethodi w1[x], te strelica od T2 prema T1 postoji zbog konfliktnih operacija w1[y] i r2[y].
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
285
Slika 3.3 Graf serijabilnosti za povijest sa slike 3.2 Revidirani zahtjevi Raspoređivač (scheduler) koji implementira protokol konkurentnih pristupa u vi�erazinskom sustavu baza podataka mora zadovoljiti slijedeća ključna svojstva:
1. mora osigurati ispravno izvođenje transakcija 2. mora sačuvati sigurnost ( tj. da mora biti oslobođen tajnih kanala) 3. mora biti implementiran kroz nepovjerljivi kod 4. te mora izbjegnuti izgladnjenje (starvation).
Komercijalna rješenja Kako tri glavana ponuđača povjerlivih DBMS-a (Sybase, Oracle i Informix) rješavaju ove probleme. Sybase kontrolu konkurentnih pristupa koristi obični 2PL koji kako je pokazano nije siguran. Informix koristi rješenje koje dozvoljava da transakcija postavlja write lock na low podatkovne elemente iako high transakcija drži read lock na tom podtakovnom elelmentu. Povjerljivi Oracle u drugu ruku koristi kombinaciju zaključavanja i tehnike multiverzioniranja.. Istraživanja Postoji dosta istra�ivačkih radova koji se odnose na rje�enja za:
repliciranu i jezgrastu arhitekturu višerazinskih DBMS sustava.
Replicirane arhitekture kao što je poznato proizvode višerazinski DBMS iz jednorazinskog DBMS-a.. Izazov je kako kreirati prokol za kontrolu replika da bi se zadovoljilo svojstvo serijabilnosti za jednu kopiju podatkovnih elemenata. Jezgrasta arhitektura pobolj�ava tu situaciju učinkovitosti kori�tenja resursa.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
286
Kroz upotrebu jezgraste arhitekture predlo�ena su neka od slijedećih rješenja:
Slabiji kriteriji ispravnosti Korištenje analize transakcija za postizanje serijabilnosti Sigurni Commit protokoli (S2PL i SEP) i dr.
Slabiji kriteriji ispravnosti. Moguće je zauzeti stav da je tradicionalni zahtjevi ispravnosti preoštri za MLS baze podataka. Korištenje analize transakcija za postizanje serijabilnosti. Tu se koristi prethodnica raspoređivača koja analizira transakcije na skupove čitanja i pisanja te ih prosljeđuje raspoređivaču prema specifičnom poretku kako bi se zadovoljila serijabilnost. Sigurni Commit protokoli (S2PL i SEP). Jajoida i McCollum su predložili algoritam za sigurni 2PL (S2PL) protokol, dok je Alturi sa suradnicima predložio sigurni EP (SEP) algoritam.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
287
13. SUSTAVI ZA RANO OTKRIVANJE NAPADA (IDS/IPS - Intrusion Detetction/Prevention Systems) DEFINIRANJE SUSTAVA ZA DETEKCIJU UPADA Detekcija upada je proces praćenja događaja koji se zbivaju u računalnom sutavu ili računalnoj mre�i te njihovoj analizi za otkrivanje sigurnosnih problema. Pojam i definicija detekcije Naziv detekcija se također koristi u vojnom okru�enju za nadzor fizičkih entiteta (kao �to su komunikacijski kabeli) za detekciju provaljivanja ili drugih fizičkih izmjena. Vojni standardi opisuju sistemske funkcije i testove za to područje. Ovdje ćemo pod detekcijom upada smatrati funkcije praćenja (nadzora), detekcije i odgovora koje su usmjerene na aktivnosti u računalnim sustavima i mrežama. KONCEPT SUSTAVA ZA DETEKCIJU UPADA Arhitektura Odvojena od sustava koji se štiti:
Kako bi se spriječilo uspje�nog napadača da onemogući IDS sa brisanjem slogova zapisa.
Kako bi se spriječilo uspje�nog napadača od izmjene rezultata IDS-a kako bi prikrio svoju prisutnost.
Kako bi se smanjilo opterećenje koje proizlazi iz rada IDS-a na operativnom sustavu.
Sustav koji izvodi IDS - host računalo, Sustav ili mreža koji se motri - ciljni sustav.
Strategija motrenja
Monitori zasnovani na hostu skupljaju podatke iz izvora interno na računalu, obično na razini operacijskog sustava.
Mrežni monitori skupljaju mrežne pakete. Monitori aplikacije skupljaju podatke iz aplikacije koja se izvodi. Monitori cilja funkcioniraju malo različito od dosad navedenih, budući oni generiraju
svoje vlastite podatke.
Vrste analiza
Detekcija zlouporabe – Stroj gleda i traži nešto što je definirano da bude "loše". Detekcija anomalija – Stroj gleda i tra�i ne�to �to je rijetko ili neobično.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
288
Slika 2.2 Generički IDS Vremenski raspored
Intervalni/Batch mod Stvarno vrijeme
Ciljevi detekcije
Odgovornost Odgovornost (accountability) je sposobnost povezivanja aktivnosti ili događaja unatrag sa odgovornom stranom
Odgovor U detekciji upada, odgovor se događa kada analiza proizvede rezultat koji zahtjeva akciju.
o zapis rezultata analize u log datoteku, o okidači za alarme za različite predodređene vrste upada, o izmjena IDS-a na ciljanom sustavu, o skretanje pažnje putem tiska, o poruke vatrozidovima (firewalls) ili usmjernicima (routerima).
Problemi upravljanja Centralizacija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
289
Centralizirano izvještavanje i upravljanje arhitekturom. Integracija sa alatima za upravljanje mrežom
Sagledavanje detekcije upada kao funkcije upravljanja mrežom Određivanje strategije za detekciju upada
Optimalna strategija: Kritičnost ili osjetljivost sustava koji se �titi Priroda sustava (na primjer, složenost sklopovske i programske platforme) Priroda sigurnosne politike organizacije Razina prijetnji u okolini u kojoj sustav radi
SHEME ZA PROVOĐENJE ANALIZE
Za dobivanje bogatih izvora informacija suočeni smo sa monitoriranjem, a slijedeći korak na krugu detekcije upada je analiza tih informacija. Kroz ovu analizu suočeni smo s problemima detekcije upada: �to se događa, i da li smo zainteresirani za to ?
Razmišljanja o upadima Definiranje analize
Slika 4.1 Opći model upravljanja sigurnosnim sustavom
Ciljevi
Značajno zastra�ivanje (odvraćanje)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
290
Kontrola kvalitete izgradnje sigurnosnog sustava i njegove administracije Korisna infromacija o aktualnim napadima
Podržani ciljevi
Kako svaki od navedenih ciljeva usmjerava specifične funkcionalne zahtjeve za IDS sustave:
Zahtjevi
o odgovornost, o detekcija u stvarnom vremenu i odgovor.
Podciljevi
o zadr�ati informaciju u formi koja podr�ava forenzičarsku analizu mre�e. o zadržavanje znanja o performansama sustava ili identificiranje problema
koji djeluju na performanse. o arhiviranje i za�tita integriteta slogova događaja zbog zakonskih obaveza.
Postavljanje prioritetnih ciljeva Odnosi
U nekom trenutku , ciljevi i zahtjevi mogu biti u konfliktu.
Detektiranje upada Ljudski detektor Vanjski događaji Prethodnica upada
o napadač koji ima temeljni sustav za buduće napade o znakovi smještaja Trojanskog konja o probijene sistemske datoteke o novlašteni ID u datoteci lozinki
Tvorevina upada o njuškala (snifers) lozinki po log datotekama, o neobja�njene gre�ke rač. sustava, o o�tećene datoteke, o nenormalni uzorci kori�tenja računalnih sredstava, o nered u zapisima za obračun, o neuobičajena razina mre�nog prometa.
Motrenje napada u stvarnom vremenu
Otvara vrata blokirnaju napada te drugim adaptivnim odgovorima na detektirane probleme.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
291
AUTOMATIZIRANI ALATI ZA DETEKCIJU UPADA
Slika 6.1. Struktura IDS-a Namjera automaiziranih alata :
evidentirati pokušaje kršenja sigurnosti ili off-line ili on-line prijetnje koje se obrađuju iz revizijskih podataka u stvarnom vremenu
o prijetnje vanjskih napadača (intrudera) o prijetnje unutarnjih napadača (ovla�tenih korisnika koji koriste
računalna sredstava na neovla�ten način) o ovlašteni korisnici koji zlorabe svoje pristupne privilegije (misfeasors).
Metode: metoda usporedbe profila korisničkih aktivnosti (detekcija anomalija), metode poznatih napada (detekcija zlouporabe), kombinacije gornjih metoda.
Faze aktivnosti:
prihvaća revizijske zapise od jednog (vi�e) host računala izdvaja ono što je relevantno za analizu, generira profil aktivnosti koji uspoređuje sa svojom internom bazom.
o baza anomalija usporedba je statističkog tipa; o baza zlouporabe usporedba uključuje prepoznavanje uzoraka.
rezultat analize se sprema u IDS bazu podataka izmjena revizijskih zapisa kod analize modela ponašanja
Rješenja:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
292
uvođenje pozadinskih vrata (trapdoor) za uljeze (napadače) (dummy ID i magična lozinka koja okida alarm ukoliko se koristi)
definirati pravila koja definiraju uzorke ponašanja za klase korisnika –normalno i abnormalno ponašanje (razvoj ekspertnih IDS-a.)
formiranje korisničkog profila koji se periodički a�urira na osnovi korisničkog pona�anja (adaptivno učenje).
kodificirati ranjivost sustava i scenarij poznatog napada u sigurnosna pravila korištenje modela zasnovanog na zaključivanju (model prethodno definiranih poznatih
napada) pristupi, koji nisu zasnovani na sumnji, definiraju prihvatljiva ponašanja koriste potencijal neuronskih mreža kako bi adaptivno reagirali na napad upada monitori pojava i monitori ponašanja za specijalne upade (virusi).
Postojeći alati i prototipovi rje�enja:
Mnogi IDS sustavi su zasnovani na analizi revizijskih zapisa koje osigurava operacijski sustav ačunala (OS).
Primjeri su:
SRI – ov IDES, NSA-ov MIDAS, Haystack Laboratories –ov Haystack System, Los Almos national Laboratory –ov Wisdom & Sens (W&S), AT&T-ov Compute Watch, Planning Research Corporation-ov Information Security Officer's Assitant
(ISOA).
Pristup zasnovan na ekspertnom sustavu: IDES sustav Osnovni razlozi :
Mnogi postojeći informacijski sustavi imaju sigurnosne rupe koje ih čine ranjivim na prijetnje upada. Često je ne moguće označiti ili ukloniti ove rupe, iz tehničkih ili ekonomskih razloga.
Postojeći sustavi sa poznatim sigurnosnim rupama ne mogu biti lako zamijenjeni sa sigurnim ustavima budući oni često zavise o aplikacijskom sustavu ili supstitucija zahtjeva značajni ekonomski ili tehnički napor.
Razvoj apsolutno sigurnih sustava je ekstremno te�ak posao, a često i nemoguć. Čak i jako sigurni sustavi su ranjivi na zlouporabu od strane legitimnih korisnika.
IDES je real-time sustav koji spada u kategoriju sustava koji su zasnovani na iskustvu i učenju koje se dobiva kroz promatranje, a ne na čvrstim pravilima.
Osnove IDES-a
IDES koristiti rješenje kroz ekspertni sustav, uz pretpostavku da eksploatacija ranjivosti za zloporabu sustava vodi abnormalnom korištenju (anomaliji) sustava.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
293
Odnosi između prijetnji i pona�anja
Pokušaj upada. Maskiranje. Upadi od strane legitimnih korisnika. Širenje podataka od strane ovlaštenih korisnika. Zaključivanje od strane ovlaštenih korisnika. Trojanski konji. Virusi. Odbacivanje usluga (DoS).
Analiza anomalijskog ponašanja
Definiranje modela za detekciju upada zahtjeva profile i pravila koja treba odrediti. Metrika
Brojač događaja Vremenski interval Mjerenje sredstava
Statistički modeli
Operacijski model. On je zasnovan na pretpostavci da se anomalija može odrediti usporedbom nove promatrane vrijednosti od x sa čvrstim ograničenjem
Model prosjeka i standardne devijacije. On je zasnovan na pretpostavci da bi nova promatrana vrijednost bila smatrana “normalnom” ako ona leži unutar povjerljivog intervala:
avg d x stdev
gdje je avg prosječna veličina, a stdev je standardna devijacija, a d je parametar.
Multivarijantni model. On je sličan modelu prosjeka/standardnoj devijaciji,
izuzev činjenici da je on zasnovan na korelaciji između dve ili vi�e mjera (metrika).
Markovljev model. Ovaj model razmatra svaki tip događaja (korisnički
zahtjev) kao varijablu stanja, te koristi matricu promjene stanja za krakterizaciju učestalosti tranzicije među stanjima.
Model vremenskih serija. Ovaj model, koristeći brojač događaja i mjerenje
sredstava te metriku intervala, uzima u obzir poredak te vrijeme intervala koji se dogodio između observacija kao i vrijednosti tih observacija (opažanja).
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
294
Svojstva profila
Slika 6.2 Hijerahija elemenata za koje se mogu definirati profili ponašanja
Profili su definirani u odnosu na subjekte koji izvode akcije prema objektima na kojima se te akcije izvode, te prema vrsti akcije.
Prijava na sustav (login) i profili aktivnosti sekcije (session)
Učestalost prijave. Učestalost lokacija. Posljednja prijava. Trajanje sekcije. Izlaz sekcije. CPU po sekciji, I/O po sekciji, stranice po sekciji, i td. Greške lozinki. Greške lokacija.
Profili izvođenja naredbi i programa
Učestalost izvođenja. CPU po programu, I/O po programu, i td. Odbačeno izvođenje. Zasićenje programskih resursa.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
295
Profili pristupa datotekama
Profili pristupa datoteka se mogu definirati u odnosu na:
Učestalost read, vrite, create i delete operacija. Pročitani/zapisani slogovi. Greške read, write, create i delete operacija. Iscprljenost dadtotečnih resursa.
Profili pristupa bazama podataka:
"retrive", "update", "insert" i "delete" pristup mora se razmatrati za slogove u relaciji, "create" i "delete" mod za cijelu realciju. "Retrive" operacije na bazi podtaka odgovaraju "file read" operacijama; "update", "insert" i "delete" operacije odgovaraju "file write" operacijama.
Korištenjem baze podataka i skupa procesa IDES nadgleda:
Prijetnje upada; Maskiranje; Upad u sustav od strane vanjskih korisnika; Prijetnje zaključivanja i agregacije; Kanale za širenje informacija: prate se dva tipa tajnih kanala: memorijski kanali, koji uključuju zasićenje računalnih sredstava i izuzetnih uvjeta; te vremenskih kanala (koji vode do zakljiučivanja o svojstvima korištenja sistemskog vremena); Odbacivanje usluga (DoS); Popratni efekti: prouzročeni virusima, crvima, ili sličnim programima koji dovode do DoS ili o�tećenja podataka i programa.
IDES model IDES sigurnosni model sadr�i slijedeće elemente (slika 6.3):
1. Subjekte: inicijatore aktivnosti sustava koji se monitorira (nadgleda). 2. Objekte: to su sredstva sa kojima radi informacijski sustav: a to su entiteti na kojima
se izvode akcije. 3. Revizijski slogovi (audit records). to su slogovi zapisa akcija koje zahtjevaju korisnici
na sustavu koji se nadgleda.. Svaki slog se sastoji od šestorke tipa:
(subjekt, akcija, objekt, uvjet-izuzeća, kori�tenje resursa, vrijeme) gdje je:
Akcija: operacija pristupa (npr. login, logout, read, execute); Subjekt: subjekt koji je zahtjevao akciju; Objekt: objekt koji se zahtjeva od akcije; Uvjet izuzeća: opisuje moguće izuzeće koje se vraća subjektu u slučaju
djelomičnog/potpunog odbijanja zahtjeva za izvođenje akcije od strane
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
296
sustava. Taj uvjet može biti, pored jasnog opravdanja za odbijanje servisa koji se vraća korisniku, i slijedeći motiv koji se ne vraća korisniku iz sigurnosnih razloga (budući korisnik iz toga mo�e zaključiti na informaciju iz danog motiva);
Korištenje sredstava: Lista kvantitativnih elemenata od kojih svaki daje iznos korištenja svakog sredstva. Na primjer, broj linija ili štamapnih stranica, broj pročitanih/zapisanih slogova, vrijeme kori�tenja CPU-a ili I/O jedinica, trajanje sekcije;
Vrijeme: pojava akcije izvođenja
Slika 6.3 Elementi IDES modela
4. Profili: strukture koje opisuju (karakteriziraju) ponašanje subjekata nad objektima u formi metričkih ili statističkih modela.
Profil aktivnosti opisan je desetorkom: (ime varijable, uzorak akcije, uzorak izuzeća, uzorak kori�tenja sredstava, period, tip varijable, prag, uzorak subjekta, uzorak objekta, vrijednost)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
297
gdje je:
Ime varijable: ime varijable; Uzorak akcije: odgovara nula ili više akcija u revizijskom slogu (npr., "login",
"read", "execute", i td.); Uzorak izuzeća: odgovara poljima uvjeta izuzeća u revizijskom slogu; Uzorak korištenja sredstava: odgovara polju korištenja sredstva revizijskog
zapisa; Period: opisuje dužinu vremenskog perioda na koji se odnosi period
nadgledanja: npr. dan, sat, minuta. Ta komponenta je nula ako period nije fiksiran;
Tip varijable: definira metrički ili statistički model na kojem se definira profil: na primjer brojač događaja ili model prosjek/standardna devijacija;
Prag: parametar koji definira granicu (granice) koji se koristi u statističkom testiranju kako bi se odredila anomalija.
Uzorak subjekta: odgovara polju subjekta na revizijskom zapisu; Uzorak objekta: odgovara polju objekta na revizijskom slogu (zapisu); Vrijednost: vrijednost najnovijih observacija (promatranja) i parametara koji se
koriste u statističkom modelu kako bi prezentirali distribuciju prethodnih vrijednosti.
5. Zapisi anomalije: to su slogovi koji opisuju nelegitimno ponašanje korisnika
Anomalijski zapisi su definirani sa trojkama oblika : (događaj, vrijeme, profil) gdje je:
Događaj indicira događaj koji je pokrenuo anomaliju. Vrijeme. Profil je profil aktivnosti prema kojem je određena anomalija.
6. Pravila za izvođenje aktivnosti: ona opisuju akcije koje se moraju izvesti kada su
zadovoljeni dani uvjeti. Pravila aktivnosti se mogu grupirati u četiri klase:
Pravila revizijskog zapisa. Pravila za periodičko a�uriranje aktivnosti. Pravila zapisa anomalije. Pravila za periodičku analizu anomalija.
Modeli profila aktivnosti (ponašanja) i upravljanje profilima aktivnosti
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
298
Modeli profila su uzorci koji se koriste za definiranje novih profila aktivnosti. Dakle, svaki profil aktivnosti je kreiran na osnovi nekog modela profila, uz specifikaciju subjekta i objekta na koji se profil odnosi.
Arhitektura sustava IDES IDES baza podataka sadrži (slika 6.4):
Revizijski podatak. To se odnosi na revizijski zapis koji se šalje IDES-u od strane nadgledanog sustava. On je smješten u tabelu i ispitan kako bi ažurirao aktivni ili anomalijski podatak;
Aktivni podatak. Sadr�i veličinu aktivnosti koja se provodi od strane korisnika za pojedinačnu varijablu koja se mjeri.Tabela razmatranih upada se koristi za svaku varijablu. Podatci se periodički koriste za a�uriranje korisničkih profila, a koji se odnose na danu varijablu;
Arhivirani podatak. To su ispitani revizijski podatci, koji su već obrađeni za potrebe ažuriranja ili analizu anomalije. Oni su smje�teni u tablicu i periodički odstranjivani;
Podatak profila. On definira profile normalnog ponašanja svakog korisnika ili grupe korisnika. On je smješten u skup tablica (je dana za svaki razmatrani upad za svaku varijablu);
Podatak rasporeda. On pokazuje period ažuriranja svakog profila te datum posljednjeg ažuriranja profila. On je spremljen u skup tablica (jedna za upade za svaku varijablu koja se mjeri);
Anomalijski podatak. To je anomalijski zapis koji se vidi u modelu. Oni su smještenu u skup tablica ( po jedna za svaki tip anomalije).
Procesi koji implementiraju IDES komuniciraju jedan sa drugim kroz bazu IDES-a. Oni su:
Prijemnik. On implementira IDES protokol. Detektor anomalije. On uzima zapis koji se odnosi na revizijski podatak i ažurira
aktivni podatak. Arhivar. On periodički back-upira podatke; Ažurnik profila. Ovaj proces ažurira profile na osnovi aktivnog podatka na kraju
vremenskog perioda koji se odnosi na profil koji se razmatra; Čistač (reset) aktivnog podatka. Skupljena aktivnost unutar perioda se ugrađuje u
globalnu aktivnost, broj perioda se povećava za jedan, a aktivnost se postavlja na 0; Administratorsko sučelje. IDES sučelje zasnovano na Windows sustavu, osigurava:
o monitor stanja, koji pokazuje trenutno stanje IDES-a; o monitor anomalija, koji pokazuje abnormalno pona�anje određeno u sustavu za
mjeru (ili mjere) koje su se dogodile u prošlosti ili u sadašnjosti; o monitor upita, koji dozvoljava administratoru da pristupa IDES bazi,
upotrebom prethodno definiranih SQL upita.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
299
Slika . 6.4 Struktura IDES prototipa . IDES prototip radi na drugom stroju od nadgledanog sustava. To donosi prednosti u smislu:
Performansi. Prisustvo IDES-a ne povećava vrijeme odziva; Sigurnost. IDES se može zaštitti u odnosu na nadgledani sustav, tako da korisnici
nadgledanog sustava ne mogu pristupiti IDES-u kako bi ga ispiatali i izmjenili. Integracija. IDES se mo�e lako prilagoditi različitoj okolini i integrirati.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
300
Slika 6.5 Interakcija između IDES komponenti (R=čitaj, I=umetni, D=izbri�i, M=izmjeni).
IDES je pokazao:
dobru snagu u razlikovanju između normalnog i abnormalnog pona�anja kori�tenja sustava,
upotreba prototipa je pokazala nizak broj pogrešnih alarma, te prilično zadovoljavajući postotak detekcije sigurnosnih prekršaja.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
301
14. UPRAVLJANJE I NADZOR SIGURNOSNOG SUSTAVA IS (ISMS) Kako bi informacijski sustav bio za�tićen na pravi način potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne mjere zaštite, koje se odnose na ljude, tehnologiju i procese. ISMS familija normi Ova familija normi poma�e organizacijama svih vrsti i veličina da implementiraju i pogone ISMS a sastoji se se od slijedećih normi pod općim nazivom: Information technology - Security techniques:
ISO/IEC 27000:2009, Information security management systems - Overview and vocabulary
ISO/IEC 27001:2005, Information security management systems -Requirements ISO/IEC 27002:2005, Code of practice for information security management ISO/IEC 27003, Information security management systems implementation guidance ISO/IEC 27004, Information security management - Measurement ISO/IEC 27005:2008, Information security risk management ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of
information security management systems ISO/IEC 27007, Guidelines for information security management systems auditing ISO/IEC 27011, Information security management guidelines for telecommunication
organizations based on ISO/IEC 27002. Međunarodne norme koje nisu pod gore navedenim općim nazivom, a također pripadaju ISMS familiji normi su:
ISO 27799:2008, Health informatics - Information security management in health using ISO/IEC 27002
Sustav upravljanja informacijskom sigurno�ću (ISMS) Sve organizacije, svih vrsta i veličina:
Skupljaju, obrađuju, pohranjuju i prenose velike količine informacija; Prepoznaju da su informacije i njima pripadni procesi, sustavi, mreže i ljudi vrlo važna
imovina za postizanje poslovnih ciljeva organizacije, Suočavaju se sa �irokom područjem rizika koji utječu na funkcioniranje njihovr
imovine i Modificiraju rizike kroz implementaciju sigurnosnih kontrola.
Budući se rizici informacijske sigurnosti te učinkovitost kontrola mijenjaju ovisno o promjenama okoline, svaka organizacija treba:
a) Nadzirati i vrednovati učinkovitost implementiranih kontrola i procedura b) Identificirati pojavu rizika koji se moraju obraditi
Odabrati, implementirati i poboljšavati kontrole kada je to potrebno.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
302
Što je to ISMS ? Sustav upravljanja informacijskom sigurno�ću - ISMS (Information security management system) osigurava model za uspostavu, implementaciju, rad, nadzor, preglede, održavanje i poboljšanje zaštite informacijske imovine u cilju postizanja poslovnih ciljeva koji su temeljeni na procjeni rizika te na prihvatljivoj razini rizika za organizaciju na kojima se zasniva učinkovita obrada i upravljanje rizika. Analiza zahtjeva za za�titu informacijske imovine te primjena odgovarajućih kontrola za njihovu zaštitu ako je potrebno, doprinosi uspješnoj implementaciji ISMS-a. Slijede osnovni principi koji također doprinose uspje�noj implementaciji ISMS-a:
a) Podizanje svijesti o razumijevanju i potrebi za informacijskom sigurno�ću b) Pridruživanje odgovornosti za informacijsku sigurnost c) Uključivanje podr�ke Uprave organizacije i interesa zainteresiranih strana d) Unapređenje sociolo�kih vrijednosti e) Procjena rizika određuje odgovarajuće kontrole kako bi se dosegla prihvatljiva razina
rizika f) Sigurnost uključiti kao va�an element informacijskih sustava i mreža g) Aktivna prevencija i detekcija incidenata informacijske sigurnosti h) Osiguranje sveobuhvatnog rje�enja za upravljanje informacijskom sigurno�ću i i) Kontinuirana procjena informacijske sigurnosti te provođenje izmjena kada je to
potrebno Procesni pristup Procesno rješenje za ISMS koje je korišteno u ISMS familiji normi , a koje je bazirano na principu na koje radi ISO sustavi upravljanja je općenito poznat kao Plan-Do-Check-Act (PDCA) proces (Deming-ov ciklus) :
a) Plan - postavljanje ciljeva i izrada planova ( analiza situacije u organizaciji, uspostava sveukupnih ciljeva, razvoj planova koji trebaju realizirati te ciljeve);
b) Do - implementirati planove (učiniti ono �to je planirano da se učini) c) Check - mjeriti dobivene rezultate (mjerenje/nadziranje postignutih rezultata u odnosu
na planirane ciljeve) i d) Act -Ispravi i pobolj�aj aktivnosti (uči iz gre�aka na pobolj�anju aktivnosti kako bi se
postigli bolji rezultati). Ovaj proces pokazan je na donjoj slici.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
303
Aktivnosti koje se provode u ovom procesu dane su u sljedećoj tablici: Plan (uspostavljanje ISMS)
Uspostavljanje ISMS politike, ciljeva, procesa i procedura va�nih za upravljanje rizikom i povećanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije
Do ( implementacija i pokretanje ISMS)
Implementiranje i pokretanje ISMS politike, kontrola i procedura
Check (nadgledanje i kontrola ISMS)
Procjena i gdje je primjenjivo, mjerenje performansi procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavanje uprave o rezultatima.
Act (odr�avanje i unapređivanje ISMS)
Izvođenje korektivnih i preventivnih akcija zasnivanih na rezultatima ISMS procjene (audita) i procjene uprave ili ostalim bitnim informacijama, kako bi se ISMS kontinuirano usavršavao.
Zašto je ISMS važan ? Uspješno usvajanje i uspostava ISMS-a je važno zbog zaštite informacijske imovine što omogućuje organizaciji da:
a) Posti�e veću garanciju sigurnosti u za�titi informacijske imovine od informacijskih rizika na kontinuiranoj osnovi
b) Održava strukturiran sveobuhvatan radni okvir za identifikaciju i procjeni rizika informacijske sigurnosti, odabir i primjenu odgovarajućih sigurnosnih mjera (kontrola) te mjerenje i pobolj�anje njihove učinkovitosti.
c) Kontinuirano poboljšava kontroliranu okolinu i d) Djelotvorno posti�e zakonsku i regulatornu usklađenost.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
304
Uspostava, nadzor, održavanje i poboljšanje ISMS-a Organizacija treba poduzeti slijedeće korake u uspostavi, nadzoru, odr�avanju i poboljšanju ISMS-a:
a) Identificirati informacijsku imovinu te njihove sigurnosne zahtjeve b) Procijeniti rizike informacijske sigurnosti c) Odabrati i implementirati odgovarajuće kontrole kako bi upravljali sa neprihvatljivim
rizicima d) Nadzirati, održavati i poboljšavati učinkovitost sigurnosnih kontrola koje su povezane
sa informacijskom imovinom koja se štiti. Identifikacija zahtjeva informacijske sigurnosti
a) Identificirane informacijske imovine i njenih vrijednosti za organizaciju b) Poslovnih potreba za obradom i uskladištenje informacija c) Zakonskih i regulatornih i ugovornih zahtjeva i obveza
Procjena rizika informacijske sigurnosti Upravljanje rizicima informacijske sigurnosti zahtjeva prihvatljivu procjenu rizika te metodu obrade rizika koja uključuje procjenu tro�kova i dobiti, zakonske zahtjeve, sociološke, ekonomske i ekološke aspekte, brigu sudionika (zainteresiranih), prioritete i ostale odgovarajuće ulaze i varijable. Odabir i implementacija kontrola informacijske sigurnosti Jednom kada su identificirani zahtjevi informacijske sigurnosti te kada su određeni i procijenjeni rizici na identificiranu informacijsku imovinu (uključujući i odluku o obradi sigurnosnih rizika), odabiru se i implementiraju odgovarajuće kontrole. Nadzor, odr�avanje i unapređenje učinkovitosti ISMS-a Organizacija treba odr�avati i unapređivati ISMS kroz nadzor i procjenu performansi prema sigurnosnoj politici organizacije i njenim ciljevima, te treba izvještavati upravu za ocjenu postignutih rezultata. Kritični faktori uspjeha ISMS-a Velik je broj kritičnih faktora za uspjeh implementacije ISMS-a kako bi organizacija ostavrila svoje poslovne ciljeve. Primjeri kritičnih faktora uspjeha su:
a) Politika informacijske sigurnosti, ciljevi i aktivnosti koje su podešene ciljevima b) Rješenje i radni okvir za projektiranje, implementaciju, nadzor i unapređenje
informacijske sigurnosti koje je konzistentno s kulturom organizacije c) Vidljiva podrška i predanost na svim razinama upravljanja, posebno na razini visokog
menedžmenta d) Razumijevanje zahtjeva na zaštitu informacijske imovine koja se postiže kroz
primjenu upravljanja rizikom informacijske sigurnosti (vidi ISO/IEC 27005)
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
305
e) Učinkovit program podizanja svijesti o informacijskoj sigurnosti, treningu i edukaciji, informiranje svih zaposlenika i ostalih strana o njihovim obvezama koje su postavljene u sigurnosnim politikama, normama i dr.; kao i njihovo motiviranje da djeluju u skladu s tim politikama
f) Učinkovit proces upravljanja incidentima informacijske sigurnosti g) Učinkovito rje�enje za kontinuitet poslovanja, te h) Sustav mjerenja koji se koristi za vrednovanje performansi u upravljanju
informacijskom sigurno�ću te sugestije za unapređenje koje iz tog mjerenja proizlaze Kako će organizacija uspostaviti sustav upravljanja (ISMS) ?
ISO/IEC 27001:2005, Information security management systems -Requirements ISO/IEC 27002:2005 (proizašla iz norme ISO/IEC 17799:2005) , Code of practice
for information security management Norma ISO/IEC 27001:2005 Uspostavljanje ISMS-a Organizacija mora učiniti slijedeće:
Odredititi opseg i granice ISMS-a Definirati pristup procjeni rizika organizacije Identificirati rizike Analizirati i vrednovati rizike Identificirati i vrednovati opcije za obradu rizika Odabrati ciljeve kontrola i kontrole za obradu rizika Dobiti odobrenje uprave za predloženi nivo rezidualnog rizika
Dobiti ovlaštenje uprave za implementaciju i rad ISMS
Pripremiti izjavu o primjenjivosti
Implementiranje i rad ISMS-a Organizacija mora učiniti slijedeće:
Formulirati plan za obradu rizika Implemetirati plan za obradu rizika Implementirati odabrane kontrole kako bi zadovoljila ciljeve kontrola
Implementirati programe obuke i podizanja svijesti o informacijskoj sigurnosti Upravljati radom ISMS-a Upravljati resursima za ISMS Implementirati procedure i druge kontrole sposobne za omogućavanje trenutne
detekcije sigurnosnih događaja i odgovor na sigurnosne incidente
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
306
Nadziranje i provjera ISMS-a
Organizacija mora učiniti slijedeće:
Izvršavati, nadzirati i provjeravati procedure i ostale kontrole Izvoditi redovitu provjeru učinkovitosti ISMS-a Mjeriti učinkovitost kontrola Provjera procjena rizika u planiranim intervalima Izvoditi interne prosudbe (audite) u planiranim intervalima Izvoditi provjeru ISMS-a od strane Uprave Nadopunjavanje sigurnosnog plana Bilježenje akcija i događaja
Odr�avanje i unapređivanje ISMS-a
Implementirati uočena pobolj�anja ISMS-a
Poduzeti odgovarajuće korektivne i preventivne radnje
Obavijestiti prikladnom detaljno�ću sve zainteresirane strane o uvedenim izmjenama i poboljšanjima
Osigurati da poboljšanja postignu namjeravane ciljeve.
Zahtjevi za dokumentaciju Sadržaj ISMS dokumentacije
Dokumentirane izjave ISMS politike i ciljeve;
Opseg ISMS
Procedure i kontrole koje podupiru ISMS
Opis metodologije procjene rizika
Izvještaj procjene rizika
Plan obrade rizika
Kontrola dokumenata Dokumenti zahtijevani od ISMS-a moraju biti za�tićeni i kontrolirani
Kontrola zapisa Moraju se uspostaviti i odr�avati zapisi koji pru�aju dokaze o usklađenosti sa zahtjevima i efikasnom radu ISMS-a.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
307
Odgovornost uprave
Obveza uprave
Uspostavljanje ISMS politike;
Osiguravanje da su ciljevi i planovi ISMS uspostavljeni;
Uspostavljanje funkcija i odgovornosti za informacijsku sigurnost;
Preno�enje kroz organizaciju značenja o ispunjavanju sigurnosnih ciljeva i zadovoljavanju sigurnosnih politika , zakonskih odgovornosti i potrebe za konstantnim unapređivanjem;
Pružanje dostatnih sredstava za uspostavljanje, implementaciju, rad, nadzor, provjeru, odr�avanje i unapređivanje ISMS
Odlučivanje o kriterijima za prihvaćanje rizika i prihvatljivoj razini rizika;
Osiguravanje provođenja internih prosudbi (audita) ISMS
Provođenje provjera ISMS od strane uprave
Upravljanje sredstvima
Dodjeljivanje sredstava Obučavanje, razina svijesti i stručnosti
Interne prosudbe (auditi) ISMS Organizacija će u planiranim intervalima izvoditi interne prosudbe ISMS kako bi ustanovila da ciljevi kontrola, kontrole, procesi i procedure ISMS:
Udovoljavaju zahtjevima ovog međunarodnog standarda i relevantnim zakonima i propisima;
Udovoljavaju identificiranim zahtjevima informacijske sigurnosti;
Su efikasno implementirani i održavani; i
Djeluju kako se od njih očekuje
Provjera ISMS od strane uprave Uprava će u planiranim intervalima (minimalno jednom godi�nje) provjeravati ISMS organizacije kako bi osigurala njegovu kontinuiranu primjerenost, adekvatnost i učinkovitost.
Ulazni podaci za provjeru
Rezultati provjere
Unapređivanje ISMS-a
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
308
Kontinuirano unapređivanje
Korektivna aktivnost
o Identificiranje nesukladnosti;
o Ustanovljavanje uzroka nesukladnosti;
o Procjenu potrebe za aktivnostima koje bi osigurale da se nesukladnost ne ponovi;
o Ustanovljavanje i implementiranje potrebnih korektivnih akcija;
o Zapisivanje rezultata poduzetih aktivnosti (vidi 4.3.3): i
o Provjeru poduzete aktivnosti
Preventive aktivnosti
o Identificiranje potencijalnih nesukladnosti i njihovih uzroka;
o Vrednovanje potrebe za poduzimanjem aktivnosti za spriječavanje pojave nesukladnosti;
o Zapisivanje rezultata poduzete aktivnosti /vidi 4.3.3); i
o Kontrola poduzete preventivne aktivnosti.
Norma ISO/IEC 27002:2005 Ova norma sadrži sigurnosne domene, ciljeve kontrola i same kontrole koje se referenciraju u Dodatku A norme ISO/IEC 27001. Sigurnosne domene (kategorije) koje su pokrivene ovom normom su:
Politika sigurnosti (1); Organizacija informacijske sigurnosti (2); Upravljanje imovinom (2); Sigurnost ljudskog potencijala (3); Fizička sigurnost i sigurnost okru�enja (2); Upravljanje komunikacijama i operacijama (10); Kontrola pristupa (7); Nabava, razvoj i održavanje informacijskih sustava (6); Upravljanje sigurnosnim incidentima (2); Upravljanje kontinuitetom poslovanja (1); Sukladnost (3).
U zagradama su navedeni brojevi sigurnosnih viljeva koje trebaju zadovoljiti predložene kontrole. Ukupno ih ima 39.
Svaka glavna sigurnosna kategorija sadrži:
cilj kontrole koji definira �to treba postići; i jednu ili više kontrola koje se mogu primijeniti za postizanje tog cilja.
Opisi kontrola imaju sljedeću strukturu:
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
309
Kontrola Određuje specifični kontrolni iskaz za zadovoljenje cilja kontrole. Smjernice za primjenu Sadrže detaljnije informacije koje podržavaju primjenu kontrola i postizanje cilja kontrole. Neke od smjernica mo�da nisu pogodne u svim slučajevima i zato neki drugi načini primjene kontrole mogu biti primjereniji. Ostale informacije Sadrže dodatne informacije koje je možda potrebno razmotriti, primjerice zakonske okvire i reference na druge standarde. Politika sigurnosti
Politika informacijske sigurnosti
Cilj: Osigurati podršku uprave i njenu usmjerenost ka informacijskoj sigurnosti u skladu s poslovnim zahtjevima i odgovarajućim zakonima i propisima
Organizacija informacijske sigurnosti
Unutarnja organizacija
Cilj: Upravljanje informacijskom sigurno�ću unutar organizacije.
Vanjski suradnici
Cilj: Održavanje sigurnosti informacija i opreme za obradu informacija organizacije kojima pristupaju, koje obrađuju, prenose ili kojima upravljaju vanjski suradnici.
Upravljanje imovinom
Odgovornost za imovinu
Cilj: Postizanje i odr�avanje odgovarajuće za�tite imovine organizacije.
Klasifikacija informacija
Cilj: Osiguranje odgovarajuće razine za�tite informacija.
Sigurnost ljudskog potencijala
Prije zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i smanjiti rizik od krađe, prijevare ili zloporabe opreme.
Tijekom zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
310
podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik ljudske greške.
Prekid ili promjena zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno napuštanje organizacije ili promjenu zaposlenja.
Fizička sigurnost i sigurnost okru�enja
Osigurana područja
Cilj: Sprječavanje neovla�tenog fizičkog pristupa, o�tećenja i ometanje prostora i informacija organizacije.
Sigurnost opreme
Cilj: Sprječavanje gubitka, o�tećenja, krađe ili ugro�avanja imovine i prekida aktivnosti organizacije.
Upravljanje komunikacijama i operacijama
Operativne procedure i odgovornosti
Cilj: Osigurati ispravan i siguran rad opreme za obradu informacija.
Upravljanje pru�anjem usluge treće strane
Cilj: Primjenjivanje i odr�avanje odgovarajuće razine informacijske sigurnosti i pru�anje usluge u skladu sa sporazumima o pru�anju usluge treće strane.
Planiranje i prihvaćanje sustava
Cilj: Smanjenje rizika od zastoja u radu sustava.
Za�tita od zloćudnog i preno�ljivog koda
Cilj: Zaštititi cjelovitost softvera i informacija.
Sigurnosne kopije
Cilj: Održavanje cjelovitosti i raspoloživosti informacija i opreme za obradu informacija.
Upravljanje sigurno�ću mre�e
Cilj: Osiguranje za�tite informacija u mre�ama i za�tite prateće infrastrukture.
Rukovanje medijima
Cilj: Sprječavanje neovla�tenog otkrivanja, promjene, uklanjanja ili uni�tenja imovine i prekida poslovnih aktivnosti.
Razmjena informacija
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
311
Cilj: Održavanje sigurnosti informacija i softvera razmijenjenih unutar organizacije i s trećom stranom.
Usluge elektroničke trgovine
Cilj: Osigurati sigurnost usluga elektroničke trgovine i njihove sigurne uporabe.
Nadzor
Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.
Kontrola pristupa
Poslovni zahtjevi za kontrolu pristupa
Cilj: Kontrola pristupa informacijama.
Upravljanje korisničkim pristupom
Cilj: Osigurati pristup ovla�tenih korisnika i spriječiti neovla�teno pristupanje informacijskim sustavima.
Odgovornosti korisnika
Cilj: Sprječavanje pristupa neovla�tenih korisnika i ugro�avanja ili krađe informacija i opreme za obradu informacija.
Kontrola pristupa mreži
Cilj: Spriječiti neovla�teni pristup mre�nim uslugama.
Kontrola pristupa operacijskom sustavu
Cilj: Sprječavanje neovla�tenog pristupa operacijskim sustavima.
Kontrola pristupa aplikacijama i informacijama
Cilj: Spriječiti neovla�teni pristup informacijama prisutnim u aplikacijskim sustavima.
Uporaba mobilnih računala i rad na daljinu
Cilj: Ostvariti informacijsku sigurnost pri uporabi mobilnih računala i opreme za rad na daljinu.
Nabava, razvoj i održavanje informacijskih sustava
Sigurnosni zahtjevi informacijskih sustava
Cilj: Sigurnost kao sastavni dio informacijskih susta.
Ispravna obrada u aplikacijama
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
312
Cilj: Sprječavanje gre�aka, gubitka, neovla�tene promjene ili zloporabe informacija u aplikacijama.
Kriptografske kontrole
Cilj: Zaštita povjerljivosti, vjerodostojnosti ili cjelovitosti informacija uz uporabu kriptografskih tehnika.
Sigurnost sistemskih datoteka
Cilj: Ostvariti sigurnost sistemskih datoteka.
Sigurnost u procesima razvoja i podrške
Cilj: Održavanje sigurnosti softvera i informacija aplikacijskog sustava.
Upravljanje tehničkom ranjivo�ću
Cilj: Smanjenje rizika od iskorištavanja objavljenih tehničkih ranjivosti.
Upravljanje sigurnosnim incidentom
Izvje�ćivanje o sigurnosnim događajima i slabostima
Cilj: Osiguranje izvje�ćivanja o sigurnosnim događajima i slabostima vezanim uz informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih akcija.
Cilj: Osiguranje izvje�ćivanja o sigurnosnim događajima i slabostima vezanim uz informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih akcija.
Cilj: Osiguranje primjene dosljednog i učinkovitog pristupa upravljanju sigurnosnim incidentima.
Upravljanje kontinuitetom poslovanja
Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja
Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te za�tititi ključne poslovne procese od utjecaja velikih zastoja informacijskih sustava ili katastrofa i osigurati pravodoban nastavak rada.
Sukladnost
Sukladnost sa zakonskim propisima
Cilj: Sprječavanje kr�enja svih pravnih, zakonskih, regulativnih ili ugovornih obveza i sigurnosnih zahtjeva.
Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
313
Cilj: Osigurati sukladnost sustava sa organizacijskim sigurnosnim politikama i standardima.
Razmatranja revizije informacijskih sustava
Cilj: Povećati učinkovitost i smanjiti ometanja od ili prema procesu revizije informacijskih sustava.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
314
15. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA I KONTINUITET POSLOVANJA (BCMS)
I. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA Ključna komponenta programa sigurnosti organizacije je dobro strukturirano rješenje za upravljanje sigurnosnim incidentima. Pri tome pod sigurnosnim incidentima podrazumijevamo incidente koji su vezani na narušavanje ciljeva informacijske sigurnosti (povjerljivost, integritet, raspoloživost, neporecivost i dr.) Ciljevi
Detekcija sigurnosnih događaja Identifikacija sigurnosnih incidenata, njihova procjena i odgovor na odgovarajući i
učinkovit način Minimiziranje negativnih posljedica na organizaciju i na njezine poslovne operacije
primjenom odgovarajućih sigurnosnih kontrola, kao dio odgovora na incidente, po mogućnosti u vezi s odgovarajućim elementima Plana kontinuiranog poslovanja (BCP)
Brzo učenje iz pojave sigurnosnih incidenata i njihovog upravljanja.
Procesi
Plana i pripreme Upotrebe Pregleda i analize Poboljšanja
Plan i priprema
Izrada i dokumentiranje politike upravljanja sigurnosnim incidentima
Izrada i detaljno dokumentiranje sheme za upravljanje sigurnosnim incidentima
Ažuriranje politike informacijske sigurnosti te politike upravljanja rizicima na svim razinama
Uspostava odgovarajuće organizacijske strukture za upravljanje sigurnosnim incidentima tj. formiranje Tima za odgovor na sigurnosne incidente (ISIRT - Information Security Incident Response Team)
Informiranje svih djelatnika organizacije o postojanju sheme za upravljanje sigurnosnim incidentima
Upotreba
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
315
Detekcija i izvje�ćivanje o pojavi sigurnosnih Skupljanje informacija koje su vezane na sigurnosni događaj Odgovor na sigurnosni incident:
o Neposredno u stvarnom vremenu ili vrlo blizu stvarnog događaja o Ako je sigurnosni incident pod kontrolom treba provesti aktivnosti koje
dovode do potpunog oporavka od katastrofe/prekida kroz neko prihvatljivo vrijeme
o Ukoliko sigurnosni incident nije pod kontrolom treba potaknuti "krizne" aktivnosti (npr. poziv vatrogasnoj brigadi, ili aktiviranje Plana kontinuiranog poslovanja (BCP))
o Provesti forenzičku analizu o Ispravno zapisati sve aktivnosti ili odluke radi daljnje analize o Zatvaranje incidenta po njegovom rješavanju.
Pregled i analiza
Provođenje daljnje forenzičke analize ako je potrebno Identifikacija pouka iz sigurnosnog incidenta Identifikacija poboljšanja sigurnosnih kontrola Identifikacija poboljšanja sheme upravljanja sigurnosnim incidentima
Poboljšanje
Revizija rezultata pregleda izvršavanja analize rizika informacijske sigurnosti i njegovog upravljanja
Poboljšanje sheme upravljanja sigurnosnim incidentima i pripadne dokumentacije Iniciranje poboljšanja razine informacijske sigurnosti organizacije
Politika upravljanja sigurnosnim incidentima
Važnost upravljanja sigurnosnim incidentima za organizaciju Pregled detekcije sigurnosnih događaja, izvje�tavanja i prikupljanja relevantnih
informacija Pregled ocjene sigurnosnih incidenata, uključujući tko je odgovoran, �to treba biti
učinjeno, obavje�ćivanje o incidentu i eskalacija Sumarni prikaz aktivnosti koje slijede nakon potvrde da je sigurnosni događaj
zapravo sigurnosni incident �to uključuje: o Neposredan odgovor o Forenzičku analizu o Komunikaciju koja uključuje osoblje i relevantne treće strane o Razmatranja o tome da li je sigurnosni incident pod kontrolom
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
316
o Naknadni odgovor o Iniciranje ¨kriznih˝ aktivnosti o Kriteriji za eskalaciju incidenta o Tko je odgovoran
Potreba da su sve aktivnosti ispravno zapisane za kasniju analizu, te da se provodi kontinuirani nadzor
Aktivnosti nakon rje�avanja sigurnosnog incidenta �to uključuje učenje i pobolj�anje nakon sigurnosnog incidenta
Detalje o smještaju dokumentacije o shemi upravljanja sigurnosnim incidentima uključujući i procedure
Pregled Tima za odgovor na sigurnosne incidente (ISIRT) Pregled programa za podizanje svijesti i obuku za upravljanje sigurnosnim
incidentima Sumarni pregled zakonskih i drugih propisa koji se trebaju uzeti u obzir.
Uspostava Tima za odgovore na incidente (ISIRT) Članovi i struktura ISIRT-a Veličina, struktura i sastav ISIRT-a određena je veličinom i strukturom organizacije. Iako ISIRT mo�e biti izolirani tim ili odjel , članovi tima najče�će dijele i druge du�nosti i dolaze iz različitih dijelova organizacije. To je najče�će virtualni tim koji je vođen i koordiniran od strane uprave . Članovi tog tima su specijalisti u različitim područjima, kao �to su obrada zloćudnih napada na software, a koji se pozivaju prema vrsti incidenta. Odnosi s drugim dijelovima organizacije
Tko će unutar organizacije raditi na upitima medija Kako će dijelovi organizacije surađivati i komunicirati sa ISIRT-om.
Odnosi sa vanjskim stranama
Ugovorno vanjsko osoblje, na primjer iz CERT-a (Computer Emergency Response Team)
Vanjski ISIRT tim od organizacije ili CERT Organizacije za provođenje zakona Javna služba za izvanredne situacije (vatrogasci,..) Neke vladine organizacije (HNB,HANFA,.) Predstavnici medija Poslovni partneri Korisnici Javnost
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
317
Sigurnosni incidenti i njihovi uzroci Sigurnosni incidenti mogu biti namjerni ili nesretni događaji (kao �to su tehničke gre�ke sklopova ili djelovanje prirode) prouzročeni na tehnički ili fizički način. Odbacivanje usluga (DoS) Postoje dvije vrste DoS incidenata: eliminacija usluge ili njena potrošenost. Neki DoS incidenti mogu biti prouzročeni slučajno kao �to je primjer lo�eg konfiguriranja sustava ili nekompatibilnost softwarea. Neki DoS incidenti su namjerno lansirani kako bi srušili sustav, servis ili mrežu, dok ostali mogu bit rezultat ostalih zlonamjernih aktivnosti. Skupljanje informacija Općenito, ova kategorija incidenata uključuje one aktivnosti koje su povezane s identifikacijom potencijalnih meta napada te istra�ivanje servisa koji se obrađuju na tim metama napada. Ova vrsta incidenta uključuju izviđanje s ciljem da se identificira:
Postojanje mete napada, saznanje o topologiji mreže koja ju okružuje, te sa kime meta obično komunicira
Potencijalna ranjivost mete napada ili njezinog mrežng okruženja koja se može odmah eksploatirati
Neovlašteni pristup Ova kategorija incidenta uključuje one koji ne spadaju u prve dvije kategorije. Općenito ova se kategorija incidenta sastoji od stvarno neautoriziranih pokušaja pristupa ili zlouporabe sustava, servisa i mreže. Struktura i korištenje sustava za upravljanje sigurnosnim incidentima Prema normi BS 25999-1:2006, Business Continuity Management definirana je struktura reakcije na incident koja treba biti implementirana u organizaciji. Prema normi ISO/IEC TR 18044, Information Security Management definiran je način korištenja sustava za upravljanje incidentima. Struktura reakcije na incident U bilo kakvim incidentnim okolnostima trebala bi postojati jednostavna i brzo zasnovana struktura koja će organizaciji omogućiti:
potvrdu prirode i razmjera incidenta, preuzimanje kontrole nad okolnostima, zadr�avanje incidenta u određenim okvirima i komunikaciju sa zainteresiranima.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
318
Vremenski slijed incidenta
Korištenje sustava za upravljanje incidentima Korištenje sustava za upravljanje incidentima sastoji se od dvije faze: upotreba i pregled/analiza na koje se nadovezuje faza poboljšanja kada se identificirju poboljšanja kao rezultat naučenih lekcija. Pregled ključnih procesa
Detekcija i izvje�ćivanje o pojavi sigurnosnog događaja Prikupljanje informacija o sigurnosnom događaju i provođenje prve ocjene
sigurnosnog događaja Provođenje druge ocjene od strane ISIRT tima, koji prvo potvrđuje da je sigurnosni
događaj stvarno sigurnosni incident, i tada ako je, on potiče neposredni odgovor, neophodnu forenzičku analizu i aktivnosti komuniciranja.
Pregled od strane ISIRT-a da li je sigurnosni incident pod kontrolom Eskalacija ako je potrebna za daljnju ocjenu i/ili donošenje novih odluka Osiguranje da su sve aktivnosti, posebno ISIRT ispravno zapisane za kasniju analizu Osiguranje da su svi elektronički dokazi prikupljeni i sigurno smje�teni
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
319
Obrada sigurnosnog događaja i incidenta
Događaj
Detekcija
Izvještaj
Prikupljanje informacija
Prva ocjena
Relevantno?Druga ocjena
Relevantno?
Incident pod kontrolom?
Aktiviranje krizne organizacije?
Naknadni odgovori Krizne aktivnosti
Pozitivna greška
Pregled/Analiza
Poboljšanje
Korisnik/Izvor
Grupa za operativnu podršku(24x7)
Interni ISIRT Organizacija za krizne situcije
uključujući eksterni
ISIRT
NE DA
NE
DA
DA
NE NE
DA
Dijagram toka obrade sigurnosnog događaja i incidenta
Detekcija i izvješćivanje
Ocjena i odluka
Odgovor
Detekcija i izvje�ćivanje Sigurnosni incident se može detektirati direktno od osoblja koje je nešto zapazilo što bi moglo biti va�no, bilo da je tehničke, fizičke ili proceduralne prirode. Detekcija mo�e biti također od detektora vatre/dima ili alarma provale sa prethodno definiranom lokacijom za uzbunjivanje za ljudsku akciju. Sigurnosni događaji tehničke prirode mogu se detektirati automatski od na primjer sigurnosne stijene, sustava za detekciju upada, antivirusnih alata i dr.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
320
Prva ocjena i inicijalna odluka Osoba iz Odjela za informacijsku sigurnost (Grupa za operativnu podršku) treba potvrditi prijem ispunjenog izvje�ća o sigurnosnom događaju, treba ga unijeti u bazu podataka događaja/incidenata te ga treba pregledati. Ona treba , ukoliko je potrebno, razjasniti sve nejasnoće s osobom koja je podnijela izvje�će o sigurnosnom događaju, te prikupiti sve poznate i raspoložive informacije. Druga ocjena i potvrda incidenta Druga ocjena i potvrda sigurnosnog incidenta je zadaća ISIRT tima. Osoba unutar ISIRT tima koja zaprima izvje�će o sigurnosnom incidentu treba:
Potvrditi prijem obrasca za sigurnosni incident koji treba �to je moguće prije biti završen od Odjela za sigurnost (Grupe za operativnu podršku)
Unijeti obrazac u bazu događaja/incidenta Zatražiti sva eventualna pojašnjenja od operativne grupe, Pregledati sadr�aj tog izvje�ća Prikupiti sve daljnje informacije koje su raspoložive, bilo od operativne grupe za
podr�ku, osobe koja je ispunila izvje�će o sigurnosnom događaju ili drugog izvora. Odgovori na incidente:
Neposredan odgovor Incident pod kontrolom ? Naknadni odgovori Krizne aktivnosti Forenzička analiza Komunikacije Eskalacija Zapisi i upravljanje promjenama
Izvje�ća o sigurnosnom događaju i sigurnosnom incidentu Podatci koji trebaju biti u obrascu za izvje�će o sigurnosnom događaju
Datum događaja Broj događaja (osigurava Odjel za sigurnost i ISIRT) Podatci o osobi koja podnosi izvje�će Opis sigurnosnog događaja Detalji sigurnosnog događaja
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
321
Podatci koji trebaju biti u obrascu za izvje�će o sigurnosnom incidentu
Datum incidenta Broj incidenta (osigurava ISIRT, a povezuje se s brojem sigurnosnog događaja) Detalji o članu grupe za podr�ku radu sustava (analitičar sigurnosnog događaja -
identificira sigurnosni incident) Detalji o članu Tima za odgovor na sigurnosne incidente (ISIRT) Opis sigurnosnog incidenta Detalji o sigurnosnom incidentu Vrsta sigurnosnog incidenta Koja su sredstva pogođena incidentom Neželjeni efekti i posljedice na poslovanje. Ukupna cijena troškova oporavka od incidenta. Rješenje incidenta Uključene osobe i počinitelji incidenta Opis počinitelja Stvarna ili percipirana motivacija Poduzete akcije na rješavanju incidenta Planirane akcije za rješavanje incidenta Neriješene akcije (zahtijevaju istraživanje od drugih osoba) Zaključak Popis osoba ili entiteta koji su obaviješteni Uključene osobe
II. KONTINUITET POSLOVANJA Upravljanje kontinuittetom poslovanja provodi se kroz primjenu dobre prakse koja je definirana normama BS 25999-1:2006, Business Continuity Management- Code of practice i BS 25999-2: 2007, Business Continuity Management - Specifications. Ove norme omogućuju uspostavu Sustava upravljanja kontinuitetom poslovanja (BCMS - Business Continuity Management System) koji se može uskladiti i certificirati prema normi BS 25999-2: 2007 koja određuje zahtjeve na takav sustav. 1. Uspostava programa kontinuiranog poslovanja (BC program) Ciljevi BC programa
Smanjenje vjerojatnosti pojave prekida poslovanja od strane neočekivanih događaja koji uzrokuju prekid
Održavanje kontinuiteta poslovanja za vrijeme prekida koji je nastupio od neočekivanog događaja koji je izazvao prekid
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
322
Uzroci takvih događaja mogu biti na primjer:
Prirodni (poplava, potres) Nesreća (kemijski udes) Gre�ka uređaja Sabotaža
Značenje katasrofe u kontekstu poslovanja: Websterov riječnik: ˝Katasrofa je ne�eljeni događaj , posebno onaj koji se dogodi iznennada te koji prouzrokuje velike gubitke ljudskih �ivota, velika o�tećenja i nevolje, kao �to su poplave, pad aviona ili gre�ka u poslovanju˝. Va�no je uočiti da ova definicija povezuje katastrofu s gre�kom poslovanja. Definiranje katastorofe (dizastera) iz poslovne perspektive razmatra se kao posljedice koje se odnose na:
Poslovanje (poslovne operacije) Poslovne gubitke
Primjer: Poslovna funkcija; Usluge za korisnike Poslovni procesi: upravljanje novim korisničkim računima, povratak proizvoda, provjera korisičke plativosti Poslovni gubitci se mogu podijeliti u dvije kategorije:
Finacijski gubitci koji se izra�avaju u novčanoj mjeri Operativni gubitci koji se ne mogu novčano izraziti
Primjeri finacijskih gubitaka mogu biti:
Gubitak prodaje uzrokuje gubitak prihoda Plaćanje penala �to je posljedica ne pridr�avanja SLA Troškovi putovanja koji se ne odnose na normalno poslovanje Tro�kovi rentanja uređaja koji se ne odnose na normalno poslovanje
Primjeri operativnih gubitaka:
Gubitak dotoka novaca (prihoda) Rušenje Imidža (reputacije) Gubitak povjerenja dioničara Pogor�anje odnosa sa dobavljačima Zakonske i regulatorne posljedice
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
323
Poslovna katastrofa Definicija: To je pojava događaja koji izaziva prekid (neraspolo�ivost) poslovnih operacija (poslovanja) kroz neki vremenski period što uzrokuje pojavu financijskih i operativnih gubitaka neprihvatljive razine.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
324
Izvori pojave dizastera
Prirodni o Snježna oluja o Potres o Haricine o Poplave o Smrtonosne bolesti
Tehnički, koji su povezani sa tehnologijom �to uključuje komponente kao �to su elktričke, mehaničke, IT i dr.
o Nestanak elelktrične struje o Curenje vode o Curenje plina o Avionska nesreća o Eksplozija nuklearnog reaktora o Gre�ke računalnih sustava
Ljudski , uzrokovani od strane ljudi namjerno ili slučajno, o Sabotaža o Računalno hakiranje o Štrajkovi o Računalni virusi o Nesreće na radu o Kemijski incidenti
BC program zahtjeva procjenu rizika od svih navedenih uzroka katastrofa (prirodnih, tehničkih i ljudskih. Statistika o katastrofama
2 od 5 businesa nikada nisu ponovo zaživjela 1 od 3 businesa koji je zaživio je nestao nakon 2 godine
Važnost BC programa
1. Minimiziranje pojave prekida poslovanja od strane neočekivanih prekidnih (naru�avajućih) događaja
2. Odr�avanje kontinuiranog poslovanja za vrijeme pojave prekidnog događaja Komponente BC programa
1. Planiranje kontinuiranog programa (BC programa) 2. Upravljanje sa BC programom
Razvoj BC programa
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
325
BC program se je tradicionalno fokusirao na: Ljude Komunikacije Radni prostor IT infrastrukturu Ljudska bića kao uzroke dizastera
ER plan (Emergency Response Plan) sadrži smjernice i procedure koje slijede odmah iza pojave dizastera kako bi:
1. Spriječili gubitak ljudskih �ivota i ranjavanje 2. Smanjili štetu nad imovinom organizacije
Današnji fokus BCP-a na : Ljude Kritične poslovne procese, ne samo na oporavak IT-a Kritične resurse i servise koji podupiru kritične poslovne procese Prirodne, ljudske i tehničke kategorije izvora dizastera
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
326
BC program mora se nositi sa slijedećim vrstama dizastera:
Velikim katastrofama Manjim prekidima rada sustava
MTD-Mean Tolerable Downtime:
1990 - 3 do 4 tjedna , što je regulirano finacijskim i poslovnim propisima 2000 - 1 dan, uglavnom određeno sa Zahtjevima na Y2K problem Danas - do 1 sat, uglavnom uvjetovano e-trgovimom i Internetom
Razlozi za BC program Zašto organizacija treba implementirati BC program ?
Preživljavanje poslovanja Sprečavanje gubitka ljudskih �ivota ili ranjavanja Sprečavanje gubitka u prihodu organizacija �teta na kritičnim resursima Minimiziranje �tete na kritičnim resursima nakon pojave dizastera Za�tita poslovne reputacije, u smislu povjerenja u upravljanje te imiđ i brand. Usklađenost sa zakonima i propisima koji se odnose na poslovanje. Zaštita od kaznene i prekršajne odgovornosti Usklađenost sa ugovorima i SLA sporazumima.
Ključni principi BC programa
Fokus Preventiva Plan Zaštita
Proces planiranja kontinuiteta poslovanja Proces slijedi četiri glavna principa koji se implementiraju u BC programu kroz proces planiranja u šest koraka:
1. Upravljanje rizikom 2. Analiza posljedica na poslovanje (BIA – Business Impact Analysis) 3. Razvoj strategije kontinuiranog poslovanja 4. Razvoj BC plana 5. Testiranje BC plana 6. Održavanje BC plana
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
327
5 1
4
3
2
6
BC plan
Upravljanje rizikom
BIA
Razvoj BC strategije
Razvoj BC plana
Testiranje BC plana
Preventiva
Fokus
Plan
Zaštita
Održavanje BC plana
Ciljevi BC programa Upravljanje rizikom
Procjena prijetnji i rizika za kontinuitet poslovanja Upravljanjem rizikom koji prijeti kontinutetu poslovanja
Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
Identifikacija ključnih poslovnih funkcija i procesa Analiza posljedica koje mogu nastupiti prekidom ključnih poslovnih
funkcija i procesa. Identifikacija zahtjeva za oporavak nakon pojave dizastera
Razvoj strategije kontinuiranog poslovanja
Ocjena zahtjeva za oporavak prekinutih ključnih poslovnih procesa. Identifikacija opcija za oporavak ključnih poslovnih procesa. Te opcije su
alternativne rješenja koja zadovoljavaju zahtjeve ocijenjene u prethodnom koraku.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
328
Odabir najisplativijih mogućih rje�enja, koja su identificirana u prethodnom koraku, kao dio strategije
Razvoj BC plana
Za�tita ključnih procesa i sredstava od različitih prijetnji i rizika Oporavak ključnih poslovnih procesa i resursa od dizastera na siguran i
vremenski privaćen način Testiranje BC plana
Testirati izrađen BC plan kako bi se osiguralo da je plan Testiranje sposobnosti i učinkovitosti tima za oporavak Testiranje učinkovitosti i sposobnosti dobavljača robe i usluga
Održavanje BC plana
Odr�avati plan u spremnom stanju za njegovo izvođenje cijelo vrijeme, a za slučaj pojave neočekivanog prekida poslovanja
Ova metodologija odgovara u potpunosti uspostavi kontrola za kontinuitet poslovanja koji je određen standardom ISO 27001 (Anex A). A.14 Upravljanje kontinuitetom poslovanja
A.14.1 Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te za�tititi ključne poslovne procese od utjecaja velikih zastoja informacijskih sustava ili katastrofa i osigurati pravodoban nastavak rada.
A.14.1.1 Uključivanje informacijske sigurnosti u proces upravljanja kontinuitetom poslovanja
Kontrola Potrebno je razviti i održavati proces upravljanja kontinuitetom poslovanja u cijeloj organizaciji koji obrađuje zahtjeve informacijske sigurnosti potrebne za kontinuirano poslovanje organizacije.
A.14.1.2 Kontinuitet poslovanja i procjena rizika
Kontrola Potrebno je prepoznati događaje koji mogu uzrokovati prekide poslovnih procesa, zajedno s vjerojatno�ću i utjecajem takvih prekida i njihovih posljedica po informacijsku sigurnost.
A.14.1.3 Razvoj i primjena planova kontinuiteta poslovanja koji uključuju informacijsku sigurnost
Kontrola Potrebno je izraditi i primijeniti planove za održavanje ili obnavljanje aktivnosti i osiguravanje dostupnosti informacija na zahtijevanoj razini u zahtijevanom vremenu nakon prekida ili zastoja ključnih poslovnih procesa.
A.14.1.4 Okosnica planiranja kontinuiteta poslovanja
Kontrola Potrebno je održavati jednu okosnicu planova kontinuiteta poslovanja kako bi se osiguralo da su svi planovi dosljedni, da bi se dosljedno uvažavali zahtjevi informacijske sigurnosti i da bi se mogli odrediti prioriteti ispitivanja i održavanja.
A.14.1.5 Ispitivanje, održavanje i ponovno procjenjivanje planova kontinuiteta poslovanja
Kontrola Potrebno je redovito ispitivati i obnavljati planove kontinuiteta poslovanja kako bi uvijek bili suvremeni i učinkoviti.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
329
2. Aktivnosti za izvođenje BC programa Glavne aktivnosti izvođenja BC programa mogu se podijeliti u dvije glavne skupine:
Upravljanje s BC programom (BCP upravljanje) i Izvođenje BCP procesa (BCP proces)
Kreiranje politike kontinuiranog
poslovanja
Uspostava upravljačke
skupine
Uspostava BCP projekta
Uspostva programa za obuku i podizanje
svijesti
Koordinacija BCP sa zakonom, propisima i
standardima
Koordinacija s drugim unutarnjim/vanjskim
agencijama
Projekt razvoja BC plana
Održavanje spremnosti na
prekid
Izvođenje BC plana
Upravljanje rizicima
Utjecaj na poslovanje
BIA
Razvoj BC strategije
Razvoj BC plana
Testiranje BC plana
Održavanje i redovito
testiranaje BC plana
BC
P U
prav
ljanj
eB
CP
Pro
ces
Početak BCP
Završetak BC Plana
Prekid poslovanja
Upravljanje s programom kontinuiranog poslovanja (BCP upravljanje)
Uspostava i donošenje politike kontinuiranog poslovanja na razini cijele organizacije Uspostava tijela za upravljanje i nadzor provođenja BC programa Formalno inicirati projekt za razvoj BC plana Osigurati da je osoblje koje je uključeno u razvoj BC plana odgovarajuće obučeno. Osgurati da je BC program usklađen sa relevantnim zakonima i propisima i
industrijskim standardima Koordinirati aktivnosti s relevantnim agencija za oporavak od katastrofa i održavanje
kontinuiteta poslovanja (vladinim ili lokanim) Osigurati i voditi brigu daje BC plan uvijek u stanju spremnosti Upravljati i nadzirati izvođenje BC plana u slučaju pojave prekidnog događaja
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
330
BCM politika
Identifikacija pojma kontinuiteta poslovanja Identifikacija relevantnih standarda, propisa, i zakona koje politika treba uključiti Identifikacija BCM politika drugih organizacija koje će poslu�iti za benchmark Pregled i provođenje "gap" analize postojeće politike prema drugim politikama ili
novim zahtjevima Razvoj novog dokumenta BCM politike Pregled dokumenta politike u prema postojećim standardima organizacije i drugim
politikama u organizaciji (npr. Politika informacijske sigurnosti i dr.) Izvršiti konzultacije za dokument politike Uključiti usvojene primjedbe i dopune na dokument kao rezultat konzultacija Odobrenje uprave za BCM politiku i strategiju njene implementacije (BC plan) Publiciranje BCM politike
Opseg BC programa
Vi�e lokacija preko �irokog geografskog područja Različiti odjeli na svakoj lokaciji Poslovni procesi koji zahvaćaju više odjelsku suradnju Sutave od stolnih računala do LAN-ova, sigurnih mreža do više Data centara sa više
servrea , itd. Telekomunikacije (podatake, glas, video, multimedija) koje poslužuju interne i
klijentskae potrebe Pretpostavke za BC program (primjeri)
BC plan će biti a�uran i dr�at će se na sigurnom mjestu Backupovi aplikacijskih programa i datoteka podataka potrebnih za oporavak bit će
raspoloživi na udaljenim lokacijama za uskladištenje Kopije BC plana bit će raspolo�ive na lokacijama ili kod djelatnika poimenično Dogodilo se totalno uništenje Data centra Vi�e od jedne zgrade neće biti pogođeno katastrofom Telekomunikacijske potrebe već su ugovorene unaprijed Minimalni broj osoba bit će raspolo�iv za provođenje kritičnih funkcija BC plana Katastrofa mo�e nastupiti za vrijeme vr�nog opterećenja Odjel za upravljanje rizicima će provoditi slijedeće zadatke: Katastrofe će se deklarirati i obrada će biti prebačena na lokaciju za oporavak kada se
očekuje prekid du�i od 48 sati BCP proces Aktivnost BCP procesa su:
1) Upravljanje rizikom 2) Analiza posljedica na poslovanje (BIA – Business Impact Analysis) 3) Razvoj strategije kontinuiranog poslovanja 4) Razvoj BC plana
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
331
5) Testiranje BC plana 6) Održavanje BC plana
Upravljanje rizikom Različite prijetnje mogu dovesti do prijetnji poslovanju sa značajnim posljedicama, gubitak �ivota, uni�tenje uređaja, financijski gubitci i dr. iako je često jako te�ko ukloniti te rizike u potpunosti, organizacija može smanjiti te rizike na prihvatljivu razinu kroz primjenu metoda za učinkovito upravljanje rizicima. Analiza posljedica za poslovanje - BIA BIA identificira slijedeće informacije:
Kritična područja poslovanja i njihove procese Veličine potencijalnih financijskih i operativnih rizika za organizaciju Zahtjeve na oporavak prekinutih poslovnih procesa
Zahtjevi na vrijeme oporavka
Okvir vremena pojave prekida i oporavka
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
332
Vremenski periodi:
MTD je dužina vremena za koju poslovni proces može biti neraspoloživ prije nego organizacija pretrpi značajne gubitke. MTD odgovara vremenskom periodu između prekidnog događaja i početka normalnog poslovanja.
RTO je povezan sa oporavkom resursa kao �to su računalni sustavi, uređaji za
proizvodnju, komunikacijski uređaji, zgrade, radni prostor i dr. RTO odgovara dužini vremena između prekidnog događaja i oporavka sustava/resursa. To pokazje na vrijeme raspoloživo za oporavak onesposobljenih sustava/resursa.
RPO se odnosi na toleranciju gubitka podataka mjereno kroz vremeske jedinice, tj kao
vrijeme između posljednjeg backupa i prekidnog događaja. RPO je indikator koliko mnogo podataka se može oporaviti jednom kada su sustavi oporavljeni i ažurirani sa backupiranim podatcima .
WRT se mjeri kao vrijeme između opravljenih sustava/resursa i početka normalnog
poslovanja. WRT pokazuje na vrijeme potrebno za oporavak izgubljenih podataka, backloga, i ručno uhvaćenih podtaka jednom kada su sustavi/resursi oporavljeni/popravljeni.
Strategija razvoja kontinuiteta poslovanja Područja oporavka:
Radni prostori IT sustavi i infrastruktura Proizvodna Podatci i kritični/vitalni zapisi
Primjeri zahtjeva za oporavak za navedena područja oporavka su:
Radni prostori: o Priprema alternativnog radnog prostora za Tim za krizne situacije o Priprema alternativnog uredskog prostora za osoblje
IT sustavi i infrastruktura o Priprema alternativne lokacije za oporavak IT sustava o Oporavak o�tećenih sustava
Proizvodnja i obrada o Oporavak o�tećenih uređaja za proizvodnju
Podatci i kritični/vitalni zapisi: o Obnova o�tećenih kritičnih zapisa o Obnova izgubljenih podataka
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
333
Optimalna strategija
Strateška rješenja
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
334
Razvoj BC plana (BCP) Izvođenje BC plana:
1. Početni odgovor i obavijest (rezultira u preliminarnom izvje�ću o problemu) 2. Procjena problema i eskalacija (rezultira u detaljnom izvje�ću o problemu) 3. Izjava o katastrofi/prekidnom događaju (rezultira u proglašenju
katastrofe/prekidnog događaja) 4. Implementacija plana logistike (rezultira u mobilizaciji timova, backup medija,
kritičnih resursa i uređaja) 5. Oporavak i nastavak poslovanja (rezultira u oporavku kritičnih IT i ne-IT resursa i
nastavak procesa) 6. Normalizacija (rezultira u operativnom statusu koji je bio prije pojave prekida)
Izvođenje ERP
StabilizacijaUpravljanje BCP
Početni odgovor i obavješći
vanje
Prekid Vrijeme
1. faza
2. faza3. faza
4. faza
5. faza
6. faza
Procjena problema i eskalacija Deklaracija
prekidaLogistika
implementacije plana
Oporavak i nastavak poslovanja
Normalizacija
Primarna lokacija
Centar za upravljanje
krizom
Alternativna IT lokacija, radni prostor
i proizvodnja Cold Site ili originalna lokacija
Normalno stanje
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
335
Arhitektura sustava na kojem se provodi izvođenje BC plana
Primarna lokacija
Lokacija za Centar za kriznu situaciju
Nova ili stara primarna lokacija
Udaljena lokacija za smještaj backup
podataka
Udaljena lokacija za smještaj kritičnih
zapisa
BC Upravljački tim
BC koordinator
BC timoviBC timovi
Alternativna lokacija za IT
oporavak
Alternativni za radni prostor
Alternativna lokacija za proizvodnju
Normalno stanje Krizno stanje Normalizacija
Tranzicija
Udaljena lokacija za smještaj
backup podataka
Udaljena lokacija za smještaj
kritičnih zapisa
BC Upravljački tim
BC koordinator
BC timovi
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
336
Uloge i odgovornosti za izvođenje BC plana
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
337
Testiranje BC plana
Održavanje BC plana
Upravljanje promjenama BC plana Testiranje BC plana Obuku i trening za izvođenje BC plana Revizije (audit) BC plana
Raspored testiranja BC plana
Definiranje intervala testiranja: mjesečno, kvartalno, polugodi�nje i godi�nje Odabir metode testiranja za svaki interval tetsiranja Pridruživanje vremenskog intervala test metodi koje treba uzeti u obzir složenost test
metode, tj nezin opseg, potreban napor, resurse, troškove i dr.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
338
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
339
16. ZAKONSKI I ETIČKI ASPEKTI SIGURNOSTI
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
340
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA Zavod za primijenjeno računarstvo Prof. dr. sc. Nikola Hadjina
Zbirka zadataka iz kolegija “Zaštita i sigurnost
informacijskih sustava”
1. U uvjetima gdje nekoliko korisnika dijeli pristup jednoj bazi podataka, kako se može dogoditi neograničeno odlaganje pristupa (zastoj) ? Opišite scenarij u kojem dva korisnika mogu dovesti do neograničenog odlaganja svojih zahtjeva. 2. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog sustava primjenom napada Trojanskog konja ? Navedite i mjeru zaštite od takvog napada. 3. Objasnite razliku između implicitnih i eksplicitnih tokova podataka. Koje relacije između sigurnosnih klasa objekata (varijabli) moraju biti ispunjene da bi tokovi bili sigurni ? Koji problemi mogu nastupiti kod implicitnih tokova ? 4. Koja najniža klasa (grupa) prema DoD kriterijima zadovoljava zahtjeve mandatne kontrole pristupa ? Koja je to funkcija koja se mora realizirati da bi se zadovoljili sigurnosni kriteriji za tu klasu? 5. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu primijeniti na sve ciljeve ? Ako da, kako i gdje ? 6. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2. 7. Navedite slučajeve i uzroke vi�epojavnosti kod vi�erazinskih baza podataka. Prikažite barem dva primjera višepojavnosti na razini n-torke unutar relacije, te na razini elementa (atributa) unutar n-torke. 8. Navedite i objasnite glavne korake u analizi rizika sigurnosti informacijskog sustava. 10. Koja svojstva treba zadovoljiti protokol izvođenja digitalnog potpisa ? Kako se to rješava? 11. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te �to znači kvaliteta virusa? 12. Koja svojstva mora zadovoljiti sigurnosna jezgra operacijskog sustava ? Koje su funkcije podržane unutar sigurnosne jezgre, te koje su prednosti takvog rješenja izgradnje povjerljivog operacijskog sustava ? 13. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
341
14. Koji su glavni sigurnosni zahtjevi koji se postavljaju na sustav za upravljanje sa bazom podataka (DBMS). Koji su principi integriteta prema Sandhu i Jajodia ? 15. Opišite metodologiju projektiranja sigurne baze podataka. Navedite neke od važnih smjernica u odabiru i implementaciji sigurnosnih mehanizama. 16. Usporedite svojstva enkripcije u očuvanju sigurnosti računalnih mre�a (enkripcija veze i enkripcija sa kraja na kraja) za sigurnost unutar računala u mre�i, prema ulozi korisnika, te prema načinu implementacije. 17. Koji sigurnosni problemi proizlaze iz praćenja prometa na mre�i te kako se oni rje�avaju? 18. Koji su prijetnje sigurnosti i zahtjevi na za�titu elektroničke po�te? Kako se to rješava primjenom PEM (Privacy Enhanced (Electronic) Mail) elektroničke po�te ? Koji su nedostatci ove primjene i kako se oni rješavaju ? 19. Opi�ite svojstva i rad za�tićenih usmjerivača (screening routers) te navedite arhitekturu i primjer primjene. 20. �to je sadr�aj plana sigurnosti (taktičkog plana izvedbe) , �to plan razrađuje, �to je potpora planu, te kakav je sastav tima za izradu plana? 21. �to znači očuvanje integriteta na mre�i računala te kako se on posti�e ? 22. Zašto Clipper protokol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod ključem familije F ? 23. Navedite i obrazložite Shanon-ova svojstva dobrog šifriranja ? 24. Opišite svojstva i rad sigurnosne brane (firewall-a) tipa opunomoćenog prospojnika (Proxy Gateway), te nevedite primjer primjene. 25. Opi�ite razliku između ranjivosti, prijetnje i kontrole sigurnosti informacijskog sustava. Navedite odgovarajuće primjere koji su međusobno povezani kroz sve tri razine. 26. Navedite barem tri primjera štete koju podnosi tvrtka koja prolazi kroz napad na integritet programa ili podataka tvrtke. 27. Očuvanje tajnosti, integritetea i raspolo�ivosti podataka je ukazivanje na brigu i opasnosti koje dolaze od prekida, prihvata, izmjena i produkcije postakaka(prijetnje). Kako se prva tri koncepta odnose na posljednja četri? To znači, da li je jedan od četri ekvivalentan jednom ili vi�e od tri ? Da li se jedan od tri obuhvaća jedan ili vi�e od četri ? 28. Koja svojstva čine postupak kriptiranja podataka potpuno "neprobojnim" (za�tićenim) ? 29. Zašto je bolje koristiti neregularne permutacije (u postupku kriptiranja) u odnosu na permutacije koje slijede neki uzorak kao na primjer: i) = i + 3.
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
342
30. Objasnite zašto produkt dvije relativno jednostavne šifre, kao što su supstitucija i transpozicija mo�e postići veći stupanj sigurnosti. 31. Kod enkripcije javnog ključa, pretpostavimo da A �eli poslati poruku B. Neka su APUB i APRIV javni i privatni ključ od A; slično vrijedi i za B. Pretpostavimo da C zna oba javna ključa, ali niti jedan privatni. Ako A šalje poruku na B, koju enkripciju treba A upotrijebiti kako bi samo B mogao dekriptirati poruku ? (to je svojstvo tajnosti). Može li A kriptirati poruku tako da bilo tko primi poruku bude siguran da je poruka stigla samo od A ? (to je svojstvo autentičnosti). Mo�e li A postići i autentičnost i tajnost za jednu poruku ? Kako, ili zašto ne ? 32. Prva predlo�ena kriptografska funkcija plombiranja (zbroj numeričkih vrijednosti svih bytova poruke) imala je ozbiljne sigurnosnu rupu: izmjena pozicije dva bajta poruke neće se detektirati ovom funkcijom. Predlo�ite alternativnu funkciju koja neće imati tu slabost. 33. Objasnite zašto protokol digitalnog potpisa koji koristi kriptiranje upotrebom javnog ključa sprečava primaoca od krivotvorenja poruke po�iljaoca , koristeći javni ključ po�iljaoca. 34. Za�to Clipper protocol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod ključem familije F ? 35. Koristeći potvrdu u dva koraka (two-step commit), opišite kako izbjegnuti pridruživanje jednog sjedala (npr. u rezrvaciji sjedala zrakoplova). To jest, navedite precizno korake koje treba provesti sustav za upravljanje sa bazom podataka (DBMS) u dodjeli sjedala putnicima. 36. UNDO je operacija oporavka za baze podataka. To je naredba kojom se dobiva informacija iz transakcijskog dnevnika i restauracijom elemenata baze podataka na njihove vrijednosti koje su bile prije nego je izvedena određena transakcija. Opi�ite situaciju u kojoj bi UNDO naredba bila korisna. 37. Odgovor “osjetljiva veličina ; odgovor obustavljen” je sam po sebi otkrivanje informacije. Predlo�ite način kako sustav za upravljnje bazom podataka (DBMS) mo�e obustaviti odgovor koji otkriva osjetljivu informaciju , bez odgovora koji otkriva da je tražena informacija osjetljiva. 38. Objasnite nedostatke particioniranja kao načina uvođenja vi�erazinske sigurnosti za baze podataka. 39. Koja je svrha kriptiranja u sustavu za upravljanje višerazinskim bazama podataka? 40. Korisnik želi uspostaviti tajni kanal sa kontrolom i analizom ukupnog prometa na mreži. Na kojoj razini OSI protokola se ta analiza treba provesti i zašto ? 41. Pro�irljivost je prednost kori�tenja mre�a: novi čvorovi se mogu lako dodavati u mre�u. Na koje sigurnosne nedostake to ukazuje ? 42. Gdje (i koliko puta za vrijeme prijenosa) je poruka izložena otkrivanju ako je ona za�tićena kori�tenjem enkripcije veze ? Gdje je poruka izlo�ena otkrivanju ako se koristi enkripcija sa kraja na kraj ?
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
343
43. Koja su pitanja sigurnosti komunikacija važna u razmatranju lokalnih računalnih mre�a (LAN) ? Koja su važna u konvencionalnim globalnim mrežama (WAN) ? Koja su pitanja sigurnosti važna za komunikacije striktno unutar jedne zgrade ? 44. Da li je enkripcija djelotvorna kontrola protiv pasivnog prisluškivanja ? Da li je djelotvorna protiv aktivnog prisluškivanja ? Zašto da, ili zašto ne ? 45. Objasnite kako se jednostavno svojstvo (ss) i *svojstvo Bell-La Padula sigurnosnog modela odnose prema sigurnosti komunikacija. 46. Objasnite zašto je zapis o događajima (audit trail) nesiguran na osobnim računalima bez upotrebe privilegiranog moda izvođenja. 47 .Objasnite prednosti i mane postupaka implementacije pristupne matrice A prema Harrisonu za operacijske sustave. Koji od postupaka implementacije daje najbolju podršku postupcima ažuriranja pristupne matrice A ? 48. Koji se mehanizmi koriste za kontrolu toka podataka za vrijeme izvođenja, programa, te koje relacije moraju zadovoljiti sigurnosne klase objekata u instrukcijama pridruženja te u kondicionalnim instrukcijama. Da li su implicitni tokovi uvijek sigurni ? Zašto da , ili zašto ne? 49. Obrazložite mane diskrecionog modela sigurnosti (HRU) u realizaciji diskrecionih politika sigurnosti i navedite primjer. 50. Kako se dijele matemtički modeli sigurnosti , te koji su im osnovi elementi ? Koji od modela je najprimjereniji za uvođenje sigurnosti relacionih baza podataka sa vi�erazinskim pristupom i zašto ? 51.Koristeći primitivne operacije Harrison modela matrice pristupa napi�te naredbe za kreiranje novog procesa (subjekta) s1 koji kreira (vlasnik) datoteke f1, te dodjelu prava pisanja u datoteku f1 za proces(subjket) s2 , ukoliko proces s2 ima pravo čitanja čitanja datoteke f2 kojoj je vlasnik proces (subjekt) s3. Pravo za pisanje je W, za čitanje je R, a vlasništvo je O. 52. Da li je moguće u diskrecionom modelu sigurnosti (Harrison-Ruzzo-Ullman – model) prenositi pravo vlasništva nad objektom ? Zašto da , ili zašto ne ? Da li subjekt može dodjeliti pravo drugom subjektu ako ga on ne posjeduje ? Ako da, u kojim slučajevima ? 53. Kako se propagacija prava realizira u Harrison-Ruzzo-Ullman modelu matrice pristupa ? Koji su nedostaci i prednosti takve propagacije prava ? 54. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog sustava primjenom napada Trojanskog konja. Navedite i mjeru zaštite od takvog napada. 55. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu primjeniti na sve ciljeve ? Ako da, kako i gdje ?
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
344
56. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2. 57. Nacrtajte sigurnosnu rešetku za Bell-La Padula model sigurnosti za klasifikaciju (TS-Vrlo tajno, T- tajno, C- povjeljivo, U-neklasificirano), te za skup kategorija (a, b). Odredite najmanju gornju granicu (H) , te naveću donju granicu (L) sigurnosnih klasa. 58. Koji su kritički faktori uspjeha izgradnje sigurnosti informacijskih sustava ? 59. Opišite kako radi Sigurni hash algoritam (SHA). Koje su njegove primjene ? 60. Opi�ite rad Clipper programa, postupka zalo�nog ključa. Koje su njegove prednosti i mane? 61. Što je protokol kriptiranja ? Koja su glavna svojstva dobrog protokola kriptiranja ? 62. Prika�ite protokol asimetrične izmjene ključa preko poslu�itelj računala ? Koji su nedostaci takvog protokola, te kako se mogu riješiti ? 63. Koja svojstva treba zadovoliti protokol izvođenja digitalnog potpisa ? Kako se to rje�ava? 64. Navedite vrste programskih gre�aka, te razloge zbog kojih ne mo�emo izbjeći sve programske greške . 65. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te �to znači kvaliteta virusa? 66. Navedite i obrazložite funkcije operacijskih sustava koje su orjentirane na podršku sigurnosti. Da li su one dostatne za sigurnost informacijskih sustava ? Ako ne zašto ? 67. Navedite i opi�ite sustave za korisničku identifikaciju/autentifikaciju. Koji su osnovni kriteriji koji trebaju biti zadovoljeni kod autentifikacije koja je zasnovana na lozinkama ? 68. Navedite i opišite skup kategorija zahtjeva koji su postavljeni "DoD" kriterijima. 69. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ? 70. Koje su moguće politike kontrole pristupa objektima baze podataka , te koja je razlika između otvorenih i zatvorenih sustava ? 71. Objasnite kako je moguće očuvati integritet transakcija u vi�ekorisničkom informacijskom sustavu koji realiziran bazom podataka, u slučaju konkurentnog pristupa istim podatcima. 72. Objasnite �to je to osjetljivost, koji su faktori koji podatake čine osjetljivim, te koje su vrste otkrivanja takovih podataka. Kakav je odnos sigurnosti, preciznosti i osjetljivosti ? 73. Koje su vrste napada vezanih na zaključivanje o podatcima? Koje su za�titne mjere(kontrole) koje se primjenjuju na njihovom suzbijanju ?
Zaštita i sigurnost informacijskih sustava
07/2009 FER - Zavod za primijenjeno računarstvo
345
74. Koje su metode zaštite sigurnosti višerazinskih baza podataka ? Koje su njihove prednosti i mane ? 75. Opišite upotrebu komutativnih filtera u zaštiti višerazinskih baza podataka, te navedite primjer jednog upita koji se time regulira. 76. Koje su razlike između operacijskih sustava i sutava za upravljanje bazom podatataka (DBMS) u pogledu sigurnosnih problema i njihovog rješavanja ? Navedite i opišite barem četiri. 77. Opišite zaštitu objekata baze podataka primjenom autorizacijskog modela (Sistem R). Kako se provodi postupak opoziva prava ? Kako je provedena implementacija, te koja su proširenja modela ? 78. Navedite i objasnite koji su sigurnosni problemi, prijetnje te kategorije prijetnji sigurnosti računalnih mre�a i distribuiranih sustava. 79. Navedite i objasnite probleme autentifikacije u distribuiranim sustavima , te koji su postojeći mehanizmi za njihovo rje�avanje . 80. Opišite rad Kerberos sustava za autentifikaciju u distribuiranim sustavima. Koje su njegove prednosti i mane ? 81. �to znači očuvanje integriteta na mre�i računala, te kako se on posti�e ? 82. Opišite Walker-ov dizajn sigurnosne arhitekture višerazinske mreže. Kako se provodi komunikacija sa nepovjerljivim hostom ? Navedite primjere sigurne komunikacije prema Bell-La Padula-ovom modelu. 83. Objasnite što je sigurnosna brana (firewall). Koje su strategije implementacije, koje su vrste, te njihova usporedna svojstva? 84. Što sigurnosna brana (firewall) može, a što ne može blokirati ? 85. Predložite arhitekturu mre�e (računala sa pripadnim IP adresama) sa sigurnosnim branama koja povezuje tri odvojena LAN-a koja omogućuje slanje kriptirane elektroničke po�te (PEM) kroz WAN mrežu. Objasnite svojstva takove arhitekture. 86. �to je sadr�aj plana sigurnosti (taktičkog plana izvedbe) , �to plan razrađuje, �to je potpora planu, te kakv je sastav tima za izradu plana? 87. Navedite barem četri stavke sigurnosne politike za Internet. .