SVEUILITE/UNIVERZITET VITEZ TRAVNIK FAKULTET POSLOVNE INFORMATIKE U TRAVNIKU TRAVNIK

SARI NIKOLA

MODUL 1-1.5 ZATITA

SEMINARSKI RAD

Travnik 2011 god.

SVEUILITE/UNIVERZITET VITEZ TRAVNIK FAKULTET POSLOVNE INFORMATIKE U TRAVNIKU

MODUL 1-1.5 ZATITA

SEMINARSKI RAD

Predmet: Poslovne aplikacije Profesor: Doc.dr.Nedim Smailovi Student: Sari Nikola Br.indexa: 0016-10/DIT Smijer studiranja: Informacijske Tehnologije

Travnik, april 2011 god.

Sadraj:
Uvod............................................................................................................................. 1 Razvoj interneta i njegova primjena ........................................................................ 2 Informacijski sistemi .................................................................................................. 4 Sigurnost informacijski resursa i ciljevi zatite....................................................... 6 1.1. I razina zatite ............................................................................................... 10 1.2. II razina zatite ............................................................................................ 11 1.3. III razina zatite ........................................................................................... 14 Rat protiv virusa ...................................................................................................... 15 Zakljuak .................................................................................................................. 20 Literatura .................................................................................................................. 21

UVOD O ovoj temi u prolome vemenu i nije toliko prie s obzirom da se sve donedavno koristila tehnika radio i tv prijemnika za informacije,tehnika oi u oi za trgovinu itd. Medjutim danas su informacijski sistemi prodrli u sve sfere ivota tako da danas moete i da ne izlazite iz stana a da ivite svoj ivot jer preko interneta moemo da naruimo sve potrebne resurse,a takodje moemo i da ostavarujemo profit i zaradu.Sa porastom primjene raunara poeli su se uvoditi i prvi standardi koji su se odnosili na siguran rad sa raunarima i podacima pohranjenim u informacijski sustav.U poetku je bop persudan znaaj fizike zatite sustava jer je raunarska oprema bila centralizirana, uglavnom u dobro uvanim prostorima ili objektima.Distribucijom opreme i podataka te ukljuivanjem na internet,potreba za zatitom informaciski resursa postala je jo vanijom i sloenijom.Prepoznavanje te potrebe ogleda se u izradi i primjeni razni uputa o zatiti podataka koji se primjenjuju u poduzeima.Unato tomu jos uvjek postoji veliki br. organizacija koje se razumiju u potencijalne opasnosti kojima su izloeni njihovi informacijski sustavi stoga ih nedovoljno tite. Pri tome je zapostavljena i uloga zaposlenika koji svojim djelovanjem mogu hotimice1 ali i nehotino nanijeti nemale tete u poduzeu u kojem rade. U Bosni i Hercegovini se za sada ne prikupljaju(ili barem nisu javno objavljeni) konkretni podatci o problemima sa sigurnou sustava no zacijelo nemalo br.poduzea i institucija ima svakodnevne probleme koji se za sada ili pomalo rijeavaju ili se zatakuju zbog mogueg negativnog uticaja na poslovanje. U ovome seminarskom radu ja u pokuati ukratko objasniti kako danas funkcioniu infomacijski sistemi, na koji nain oni tite svoje podatke,te koji su najvee opasnosti po informacijske sisteme te samim tim i njihove resurse.

Prema nekim istraivanjima ak do 80% ukupnih napada na sustav odnosi se na zlouporabe od zaposlenikatvrtke!

RAZVOJ INTERNETA I NJEGOVA PRIMJENA

Nemoemo poeti priati o zatiti resursa,programima,virusima,antivirusima a da se predhodno ne osvrnemo na to ta je ustvari internet i kako je on nastao kako se razvijao i kako je uopte postao toliko znaajan za ovjeanstvo pa cemo to naredni par stranica i pojasniti! Internetje: - "mrea nad mreama" kojom nitko ne upravlja, - "ope dobro ovjeanstva" poput zraka, vode, biljnog pokrova, rudnog bogatstva itd. koje nije ni u nijem vlasnitvu, - globalni gospodarski prostor kome moe pristupiti svatko tko ima tehnike mogunosti. Razvoj Interneta se je odvijao u fazama: 1. faza mjeovita vojno civilna mrea za razmjenu podataka 2. faza irenje javnog dijela mree i uvoenje elektronike pote 3. faza uvoenje World Wide Web-a (WWW-a) i elektronikog poslovanja Osnovne funkcije Interneta su: - prikupljanje, pohranjivanje i dohvat informacija, te razmjena podataka i programa sa svih podruja ljudskog djelovanja - veliki prostor oglaavanja (konferencija) preko kojeg korisnici razmjenjuju iskustva - elektronika pota za razmjenu poruka i prikljuenih elektronikih dokumenata - neposredne interaktivne komunikacije izmeu korisnika (govorne, video, telekonferencije) - obavljanje poslovnih aktivnosti putem Interneta poput elektronikog poslovanja, trgovine, elektronikog bankarstva i sl.
2

Elektroniko poslovanjeje suvremeni oblik organizacije poslovanja kojim se podrazumijeva intenzivnu primjenu informatike i posebno Internet tehnologije. Ono ukljuuje komuniciranje poslovnih partnera i izmjenu poslovne dokumentacije na daljinu, naruivanje i kupnju proizvoda i usluga putem mree, plaanje digitalnim novcem, koritenje pametnih kartica, virtualno bankarstvo itd. Upravo zbog svojih karakteristika Internet je izuzetno osjetljiv na ugroavanje sigurnostii moguih napada na svoje korisnike, odnosno njihova raunala i podatke. Intranetje privatna raunalna mrea jednog poslovnog sustava koja koristi komunikacijske standarde i protokole Interneta kako bi se zaposlenicima omoguila jednostavna komunikacija i suradnja, te pristup informacijama tvrtke. S obzirom da se temelji na Web tehnologiji intranet esto nazivaju i korporativnim Web-om. Osnovne funkcije intraneta su: - elektronika pota - zajedniko koritenje datoteka i pisaa - upravljanje pristupom informacijama - pretraivanje informacija - upravljanje mreom i prevoenje adresa Razlika izmeu Interneta i intraneta: - Intranet je privatna mrea u vlasnitvu neke organizacije, dok Internet nije u vlasnitvu nijedne tvrtke ili osobe. - Na Internet ima pravo pristupa svatko tko ima tehnike mogunosti za to, dok na intranet imaju pristup samo osobe koje su za to ovlatene. Intranet povezuje upravljaki i poslovni dio informacijskog sustava poduzea. Ponekad je nemogue odjednom povezati cjelokupan sustav jer su neke od aplikacija nepovezane, nekompatibilne i slino. U tom sluaju se uvoenje intraneta provodi u koracima, a aplikacije se razvijaju na Internet tehnologiji, kojaomoguava jedinstveni nain pristupa podacima i njihovu opu dostupnost. Ekstranet je oblik povezivanja raunalnih mrea dvaju ili vie poslovnih sustava koji ine odreenu poslovnu asocijaciju, a temelji se na otvorenim komunikacijskim standardima i protokolima Interneta. Primjer korisnika ekstraneta su holding kompanije i korporacije koje se sastoje od vie razliitih, uglavnom samostalnih poduzea, koja usko surauju. Tehnoloki, ekstranet ostvaruje povezanost vie intraneta u jedinstveni mreni sustav, te sigurni pristup udaljenih korisnika. Zbog svojih tehnikih i tehnolokih karakteristika, te veza sa Internetom i sa ostalim poslovnim dijelovima IS-a poduzea, sigurnosti intraneta i ekstraneta nuno je posvetiti posebnu pozornost.

INFORMACIJSKI SISTEMI

Danas postoje razliite definicije sistema. Jedna od definicija definira sistem kao skup meusobno povezanih elemenata koji zajedno objedinjuju odreeni proces. Vezu sistema i okoline predstavljaju ulazi koje sustav koristi kako bi okolini isporuio odreene izlaze (Slika 1.).

Organizacijski sistem jedan je takav sloeni sistem koji se sastoji od vie povezanih podsistema (ciljeva, tehnike, strukture, ljudi i informacija), a zadaa mu je ispunjenje nekog cilja. Tvrtka je jedan primjer organizacijskog sistema. Informacijski sistem je jedan od podsustava organizacijskog sistema, a svrha mu je prikupljanje, obrada, pohranjivanje i distribucija informacija, koje su potrebne za praenje rada i upravljanje tim organizacijskim sistemom ili nekim njegovim podsistemom. Moe se kazati da Informacijski sistem predstavlja skup svih resursa (kojih: podataka, metoda, organizacije, tehnikih sredstava) za pruanje informacija (na koji nain: prikupljanjem, arhiviranjem, obradom, komunikacijom) potrebnih za donoenje poslovnih odluka u cilju boljeg funkcioniranja organizacijskog sistema. Danas uglavnom postoje informacijski sistemi koji imaju raunalnu podrku. To znai da se informacijski sistem sastoji od programa, koji prihvaaju informacije o stanju sustava i upisuju ih u bazu podataka, i programa koji itaju podatke iz baze podataka i kreiraju izvjea. Moderni informacijski sistemi, osim to daju podatkovnu sliku realnog sistema, postaju i potpora odluivanju. Pomou tehnika, baziranih na umjetnoj inteligenciji, mogu se iz informacijskog sistema izvui informacije koje mogu pomoi, npr. vodstvu tvrtke u iduoj poslovnoj odluci.

Izgradnju informacijskih sistema moemo podijeliti u sljedee faze: Planiranje i definiranje zahtjeva za projektiranje i izgradnju informacijskog sistema (upoznavanje stvarnog sustava, itanje dokumentacije, razgovor sa korisnicima) Analiziranje postojeeg informacijskog sistema i projektiranja novog u okviru procesa, podataka i resursa (korisniki zahtjevi) Razvoj (programiranje, crtanje, prijavljivanje opisa sheme baze podataka, itd.) Testiranje Uvoenje Odravanje

Informacijski sistem prikazuje podatkovnu sliku realnog sustava. Podatkovna slika realnog sistema u informacijskom sistemu vri se modelom podataka, modelom procesa i modelom izvritelja. Model izvritelja definira sve koji su ukljueni u izvravanje procesa poslovnog sistema.

SIGURNOST INFORMACIJSKI RESURSA I CILJEVI ZATITE

Rizik koritenja informatike i Internet tehnologije je u opasnosti da njena primjena dovede do neeljenih posljedica (teta) u organizacijskom sistemu i njegovoj okolini. Do zloporabeuglavnom dolazi iz dva razloga: - radi ostvarivanja neopravdanih ili protupravnih koristi od strane pojedinaca ili organiziranih skupina - radi nanoenja materijalne ili nematerijalne tete pojedincu, skupini ili zajednici Najugroeniji su informacijski sistemi iz kojih se moe pristupiti Internetu, jer je i sam Internet izuzetno ugroen. Istraivanje tvrtke Computer Security Institute o razini kriminala samo u San Franciscu 2000. god. dalo je sljedee rezultate: - 273 poslovna sustava su 2000. godine prijavila napad na svoje baze podataka, gdje izravna teta iznosi 589 940 000$ - 90 % poslovnih subjekata i vladinih institucija smatrale su da je broj napada i provala sistema zatite povean tijekom posljednjih godinu dana - u 70 % to su bili napadi virusa, krae putem raunala ili pokuaj napada na podatke - u 74 % sluajeva prijavljen je i financijski gubitak kao posljedica prodora u raunalni sustav - u 42 % sluajeva bilo je mogue kvantificirati financijski gubitak. Ranijih godina najvei financijski gubici ostvareni su kraom informacija odnosno u 66 sluajeva prijavljena je teta od 708 000 $, a u 55 sluaja financijske prevare izvedene raunalom prouzroile su tetu od 996 000 $. Ukupni financijski gubici znaajno su porasli, posebno vezano uz primjenu Interneta, te i dalje rastu. Statistiki
6

pokazatelji pokazuju da su tete u prva tri kvartala 2002. godine ve vee od ukupnih za 2001. godinu. Istraivanje o elektronskom poslovanju koritenjem Interneta u Evropi u 2000. godini pokazalo je da 93 % tvrtki ima web stranice, a 43 % koristi neki oblik elektronikog poslovanja. Od njih: -19 % ima problema s uoavanjem i otklanjanjem neovlatenog pristupa, -u 32 % tvrtki nisu upoznati s ogranienjima u smislu neautoriziranog pristupa, -u 35 % sluajeva utvren je identitet napadaa, ali je procesuirano svega 2-5 incidenata, -u 19 % tvrtki prijavljeno je 10 ili vie incidenata, -64 % tvrtki pretrpjelo je tete od napada na web stranice ili preko web stranica, -u 60 % prijava navedena je nemogunost rada i koritenja posluiteljem zbog posljedica napada na informacijski sustav itd. Analiza odnosa izmeu otkrivenih i procijenjenih neotkrivenih napada pokazala je da se vjerojatno vie od 85 % kraa putem raunala nikada ne otkrije. tete koje nastaju samo na temelju otkrivenih napada u bankama i osiguravajuim drutvima procjenjuju se na stotine milijuna dolara. Poslovodstva banaka takve krae esto zataje, prosuujui da tako izbjegavaju rizik gubitka poslovnog ugleda. Najei oblici zloporabe informacijske tehnologijeu praksi su: -zloporaba inae legalnih ovlasti korisnika opreme, -napadi tzv. hakera, -raunalni virusi, -ilegalni fiziki pristup opremi i podacima, -djelomino ili potpuno onesposobljavanje opreme, -kraa opreme, -modifikacija opreme, -ugroavanje privatnosti korisnika informacijskog sustava, -ometanje normalnog rada opreme, -neovlatena uporaba opreme, -kraa programa, odnosno neovlateno koritenje i distribucija raunalnih programa i povreda autorskih prava, -fiziki napadi na osoblje informacijskog sustava. Stoga se zatitu informacijskog sistema moe podijeliti na: -kontrolu nenamjernog i namjernog ugroavanja fizike imovine informacijskog sustava, -kontrolu zlonamjernog ugroavanja logike imovine informacijskog sustava, -zatitu fizike i logike imovine informacijskog sustava od poara, udara groma, poplave i ostalih opasnosti. Za razliite grupe opasnosti postupci provoenja sigurnosnih kontrola kao i organizacija zatite mogu se znaajno razlikovati, pa je uobiajena podjela na tri osnovne razine organizacije sigurnosti i zatite podataka: *I razina, na kojoj se uklanjaju rizici fizike naravi uvoenjem sljedeih postupaka: -kontrola fizikog pristupa opremi i prostorijama s raunalima -protupoarna, protupotresna, protupoplavna zatita opreme i podataka
7

-osiguranje neprekinutog napajanja raunala elektrinom energijom -zatita od prljavtine, praine, elektrostatikog naboja -redovita izrada zatitnih verzija podataka (engl. Backup) *II razina, na kojoj se uklanjaju rizici mogue zloporabe informacijskog sustava ili neovlatenog pristupa podacima, a temelji se na: -fizikoj i logikoj identifikaciji korisnika (kljuevi, kartice, lozinke) -dodatnim provjerama ovlatenja u pojedinim koracima obrade *III razina, koja je usmjerena na osobito vane i vrijedne podatke i informacije u sustavu, na ouvanje njihove tajnosti i sigurnosti, a temelji se na kriptografskim metodama. Svi korisnici sustava moraju biti upoznati sa pravilima i postupcima zatite informacijskog sustava, te sve aktivnosti moraju redovito provoditi. Primjerice, udio direktnih teta na medijima za elektroniku obradu podataka (podaci za Njemaku 1997. Godine)2 je: Kraa / provala 35 % Nemar 20 % Elektrino oteenje 16 % Indirektni grom 12 % Poar 7 % Voda 6 % Ostalo 4 % Oito je da se informacijski sustav moe zatititi i sklapanjem odgovarajue police osiguranja, ime je pokrivena uglavnom fizika imovina informacijskog sustava. Meutim, ozbiljni osiguravatelji zahtijevaju od svojih osiguranika planiranje zatite informacijskog sustava i provoenje sigurnosnih preventivnih mjera. Time se smanjuje mogunost nastanka tete, te podie opa razina informacijske kulture zaposlenika. Zatititi imovinu tvrtke u potpunosti nije mogue. Stoga se imovina tvrtke moe smatrati sigurnom onda, kada su gubici za koje se oekuje da e nastati u nekom odreenom vremenskom razdoblju, na nekoj prihvatljivoj razini. To znai da su temeljne pretpostavke koje poslovodstvo tvrtke mora razumjeti i usvojiti prije provoenja sigurnosnih kontrola: -Sigurno e doi do gubitaka nekog dijela imovine, jer je sve opasnosti koje mogu ugroavati sustav ili nemogue ili preskupo izbjei; -Tvrtka mora imati unaprijed odreenu razinu prihvatljivih gubitaka, odnosno mora se tono znati koliko je spremna potroiti na uspostavljanje i provoenje sigurnosnih kontrola; -Treba unaprijed odrediti kritino vremensko razdoblje kada se oekuju mogui gubici i samo za njega utvrdit ukupan mogui iznos prihvatljivih trokova.

Sunce osiguranje d.d.: Osiguranje elektronike opreme, Zagre b, 2000.

Prvi korak u tom poslu je odrediti to ini imovinu informacijskog sustava tvrtke. U tu svrhu koristi se kategorizacija prikazana slikom 1.

Tablicom 1. na primjerima je prikazano to ini pojedinu kategoriju. Kategorija Hardver Oprema Dokumentacija Tip imovine Fizika Fizika Fizika Primjeri Raunala, periferne jedinice, komunikacijska oprema i veze Namjetaj, energetska oprema, uredska oprema, skladina oprema Sistemska i programska dokumentacija, dokumentacija baze podataka, standardi, planovi, police osiguranja, ugovori Papir, diskete, CD, DVD, trake Aktivne, priuvne i arhivske datoteke Sve vrste aplikacijskih programa i alata

Zalihe materijala Podaci/informacije Aplikacijski softver Sistemski softver

Fizika Logika Logika Logika

Operacijski sustavi, sustavi za upravljanje bazom podataka, programi prevoditelji, pomoni programi *Izvor: Panian, .: Kontrola i revizija informacijskih sustava, Sinergija, 2001, str.59. Tablica 1.: Kategorije imovine informacijskog sistema 1.1.I razina zatite Fiziku zatitu informacijskog sistema ine sredstva i procedure koje se koriste za zatitu fizike imovine poduzea s ciljem prevencije i ograniavanja moguih teta, te za uspostavljanje sigurnog radnog okolia za zaposlenike. Rizici kojima je izloen informacijski sustav mogu biti vanjski i unutarnji3, a o izvorima opasnosti ovise i ciljevi fizike zatite. Fizikom zatitom bi trebalo smanjiti ili ak u potpunosti onemoguiti vanjske i unutarnje rizike kojima je izloen prormatrani informacijski sustav. To se postie: - odvraanjem potencijalnih provalnika jasnim demonstriranjem vidljivih zapreka (barijera), - oteavanjem prodora onima koji se ipak odlue za pokuaj provale i to duim zadravanjem na pojedinim uzastopnim zaprekama, - otkrivanjem i dojavom pokuaja nasilnog ili neovlatenog prolaska kroz zapreke, - aktivnostima kojima se spreava ili barem umanjuje teta koja moe nastati nakon to je izvren prodor u uvani prostor, - provoenjem mjera za zatitu od poara, poplava i ostalih prirodnih nepogoda. esto se dogaa da preotre mjere zatite ometaju redovan rad sustava, pa se onda od njih nakon nekog vremena u potpunosti odustaje. Zato postavljene zapreke moraju biti takve da ne ometaju druge mjere zatite i redovno poslovanje, te moraju biti transparentne za ovlatene osobe. Zatiti fizike imovine informacijskog sustava razliito se pristupa ako se radio o: - raunskom centru, - opremi koja se nalazi distribuirana u poslovnim prostorima poduzea.
10

Smanjenje veliine raunala i ostalog hardvera utjecalo je na razinu fizike zatite. Dok su postojali iskljuivo veliki raunski centri zatiti se pridavala odgovarajua pozornost. U raunskom centru koncentrirana je raunalna oprema (posebice u velikim sustavima kao to su vojska, policija, dravna uprava, banke, osiguravajua drutva), pa ga je esto lake zatiti. Fizika zatita raunala koja se nalaze u uredima, ponekad i u neadekvatnim prostorima uglavnom je zapostavljena. Oprema koja se nalazi na radnim stolovima zaposlenika titi se u sklopu ostalih sigurnosnih aktivnosti koje bi trebalo provoditi u poduzeu. U veim poslovnim sustavima zatita fizike imovine informacijskog sustava odreena je posebnim pravilnikom o zatiti IS. Ponekad su u nj ukljueni i elementi zatite logike imovine, no u tom podruju odredbe o postupanju propisuju i nadziru informatiari - specijalisti za sigurnost podataka i sustava. U pravilnik o fizikoj zatiti obino se ukljuuje i manipuliranje magnetskim medijima, to znai izrada, distribucija i pohrana magnetskih medija sa podacima. Preporuka je da se uvaju u vatrootpornim sefovima i ormarima, posebno sigurnosne kopije koje omoguuju rekonstrukciju sustava u sluaju zgode ili zlonamjernog napada. 1.2.II razina zatite Zatita podataka pohranjenih na magnetskom mediju raunalamora se provoditi na razliite naine, ovisno o odgovornosti djelatnika i organizaciji podataka: 1.zatita od neovlatenog pristupa podacima i njihova kopiranja ili krae, pri emu napada moe biti zaposlenik tvrtke ili haker koji pristupa putem Interneta. Stoga treba provoditi sljedee: - raunalo se ne smije iznositi iz tvrtke (primjerice na popravak u servis) bez da su obrisani poslovni podaci sa diska raunala - prijenosni magnetski mediji (diskete, CD, DVD, trake itd.) ne smiju se prenositi bez odgovarajue zatite podataka na njima (to se primjerice moe provesti kriptiranjem). - podaci koji se prenose komunikacijskim linijama takoer moraju biti zatieni od mogue krae i zloporabe, pri emu se koriste razliite metode za zatitu od vlastitih zaposlenika te za zatitu od upada izvana: Zatita intraneta i ekstraneta od upada hakera sa Interneta provodi se putem posebnih sigurnosnihstijenaili "vatrenih zidova"(engl. firewall).

11

Naelo otvorenosti intraneta i ekstraneta naruava se samo u sferi zatite od neovlatenog koritenja na sljedee naine: - sigurnosni zid doputa izlaz svim korisnicima intraneta na Internet, a sa Interneta doputa ulaz na intranet samo za to ovlatenim korisnicima

- ekstranet je zatien sigurnosnim zidom prema intranetu tvrtke koja vodi ekstranet, i drugim zidomprema Internetu ili prema intranetu tvrtke partnera

Glavni nedostatak ovog naina zatite je u nesrazmjeru izmeu prevelikih ogranienja vanjskih korisnika sustava i prevelikih ovlatenja internih korisnika sustava i informatikog osoblja (posebno zato to veina ozbiljnih prijetnji dolazi od strane poinitelja iz sustava). 2. zatita od neovlatene promjene sadraja podataka, pri emu takva promjena moe biti provedena: - uporabom aplikacijskog programa (zbog nenamjerne greke programera ili zbog namjerno izraenog zloudnog programskog koda),
12

- uporabom jezika baze podataka (standardni jezik za relacijske baze podataka je SQL (Structured Query Language) i jednostavan je za koritenje) za direktno mijenjanje sadraja u bazi, te - zbog nemarnosti zaposlenika koji nepaljivim koritenjem doputenih operacija nad podacima u bazi podataka moe namjerno ili nenamjerno izmijeniti sadraj podataka. 3. zatita od neovlatenog pristupa arhivama podataka koje se nalaze na magnetskom mediju, pri emu se takva zatita provodi posebnim postupcima: - odlaganjem u vlastitoj arhivi, to je uglavnom nepouzdano - odlaganjem u podzemnim bunkerima, zakopavanjem zapeaenih kontejnera ili odlaganjem u zatvorenim vatrootpornim ormarima u uvanim prostorima, to nije potpuno pouzdano - brisanjem informacija snanim magnetskim poljem, primjenom ureaja za demagnetiziranje 4. zatita od gubitka podataka u sluaju unitenja magnetskog medija, pri emu se moraju provoditi: - izrada dnevnih, tjednih i mjesenih i godinjih sigurnosnih kopija podataka (engl. Backup) - izrada i redovno auriranje jasnih procedura za rekonstrukciju i obnovu podataka iz pohranjenih sigurnosnih kopija 5. zatita izlaznih podataka Prilikom izgradnje informacijskog sustava i definiranja potrebnih podataka potrebno je unaprijed im tonije predvidjeti sve potrebne izlazne podatke. Time se smanjuje mogunost greke odnosno kasniji nedostatak odgovarajueg podatka. Pri tomu izlazni podatak treba biti jednoznaan i jednostavno i brzo dostupan. Provjera valjanosti podataka osim ulaznih obuhvaa i provjeru ispravnosti podataka koji se ve nalaze u informacijskom sustavu: - Testiranje prihvatljivih vrijednosti za svako polje (logika kontrola) Pohranjeni podatak moe sadravati netonu vrijednost koju sustav ne moe dalje obraditi, a moe biti i krivo naveden a da lei unutar ispravnog raspona vrijednosti - Testiranje potpunosti podataka - Kontrola pogrenog koritenja podataka (iz pogrene datoteke) u izlaznim listama Kontrola se provodi kroz uporabu kontrolnih datuma i provjere ukupnih iznosa. - Provjera netonog auriranja podataka u sustavu Provjera ispravnosti podataka ujedno znai i provjeru da nije netko neovlaten mijenjao ili brisao sadraj baze podataka. Izlazni podaci mogu se prikazati na: - papiru, - zaslonu raunala, - magnetskom mediju, - u obliku elektronike pote.

13

Za svaki od navedenih medija potrebno je provoditi kontrolu distribucije, kao i propisati nain odlaganja, pohranjivanja, uvanja i brisanja (unitavanja) izlaznih podataka. 1.3.III razina zatite Jedna od najpouzdanijih metoda kontrole pristupa IS-u kao i zatite od neovlatene uporabe resursa je kriptografija odnosno znanost o prikrivanju informacijskih sadraja i onemoguivanju njihova razumijevanja, modificiranja i uporabe od strane neovlatenih (neautoriziranih) objekata. Informacijski sadraj u izvornom obliku je otvoren, odnosno razumljiv svima kojima je dostupan. Da bi se sadraj poruka informacija koje se javno prenose zatitio od onih kojima one nisu namijenjene (dakle od neovlatenih korisnika), primjenom kriptografskih metoda nastoji se poruke uiniti nerazumljivom, odnosno tajnim.

14

RAT PROTIV VIRUSA

Rizik zloporabe nije mogue u potpunosti sprijeiti, ali ga je mogue svesti na razumnu mjeru poduzimanjem opih preventivnih mjera: -tititi tajnost podataka pohranjenih na raunalnim memorijskim medijima koritenjem ifriranja, odnosno postupkom izmjene digitalne poruke iz tzv. otvorenog teksta u ifrat, tako da ga mogu itati samo ovlateni korisnici; -tititi tajnost podataka u njihovu prijenosu na daljinu uz primjenu ifriranja u sigurnosnim sustavima s javnim kljuemi sigurnosnim sustavima s tajnim kljuem -tititi tajnost ifarskih i identifikacijskih kljueva - posebno kod koritenja kartica za plaanja; -kontrolirati tipove ostvarivanih veza s ostalim subjektima na Internetu; -tititi se od obasipanja neeljenim porukama - preusmjerivai pote, alternativne mail adrese, programi za filtriranje poruka; -provjeravati ne postoji li u programima koji se obrauju neka vrst "zloudnog" koda (raunalni virus ili crv) koji se u pravilu lijepi na raunalni program ili poruku kako bi preuzeo kontrolu nad raunalom pri njegovom izvoenju; -u tvrtkama razviti odgovarajuu sigurnosnu politiku i primorati sve djelatnike da se pridravaju njezinih odrednica.
15

Daljinski prijenos podataka izloen je rizicima koji su posljedica: -pogreaka u prijenosu podataka, pri emu se javlja razlika izmeu podataka poiljatelja i primatelja, -pogreaka u radu mrenih komponenti, koje mogu uzrokovati gubitak ili oteenje prenoenih podataka, -subverzivnih napada hakera. Iako se koriste razliite podjele i razliiti nazivi za mogue poinitelje zloporaba, najea je podjela na: -hakere(engl. hackers)odnosno osobe koje iz radoznalosti i neznanja (ponekad i nesvjesno) upadaju u tue sustave bez namjere da nanesu tetu; -krakere(engl. crackers)odnosno posebno opasne osobe s veim stupnjem tehnikih znanja koji svjesno i namjerno provaljuju u tue informacijske sustave, najee iz koristoljublja; -frikere(engl. phreaking = phone + breaking)odnosno osobe koje raspolau sa tehnikim znanjima kojima koriste razne telefonske sustave za neogranieno i besplatno koritenje njihovih usluga. U pravilu se hakerskim radnjama ne smatraju one kojima se onesposobljava fizika imovina informacijskog sustava ili sredstva telekomunikacije (sabotaa), zatim radnje zaposlenika kojima se informacijski sustavi koriste za vlastite potrebe ("kraa vremena" ili "kraa usluga"), kao ni one do kojih je dolo sluajno, aktiviranjem nekog od programa za koji korisnik nije znao da moe nanijeti tetu. Agenti FBI jedinice za borbu protiv kompjuterskog kriminala (Computer Crime Squad) razlikuju pet grupa takvih napadaa na informacijske sustave: -iste hakere- osobe koje nastoje privui panju javnosti te stoga najee uz pomo jeftinije informatike i telekomunikacijske opreme stvaraju probleme poslovnim informacijskim sustavima -Unutranje hakere- najopasnija grupa hakera motivirana koristoljubljem, koji su u pravilu zaposlenici tvrtki ovlateni za pristup sustavu i koje je stoga najtee otkriti -Hakere kriminalce- koji koriste mogunosti Interneta za ostvarenje svojih nezakonitih aktivnosti, a to su uglavnom trgovina narkoticima, te ostali meunarodni kriminal -Hakere industrijske pijune- koriste informacije iz sustava brojnih tvrtki koje nude na tritu -Hakere u funkciji stranih obavjetajnih slubi- posebno tehniki educirani strunjaci koji su sposobni koritenjem komunikacijskih mrea prodrijeti i u najstroe uvane informacijske sustave od interesa njihovih nalogodavaca Napadi hakera mogu se klasificirati kao pasivni i aktivni. Kod pasivnih napadahakeri se trude "proitati" podatke koji se prenose i time ugroziti njihovuprivatnost, iako ih pri tomu ne mijenjaju. Kod aktivnih napadahakeri mijenjaju podatke koje se prenose i to: -umetanjem stranih poruka u prenoeni niz poruka, -brisanjem nekih ili svih prenoenih poruka,
16

-modificiranjem prenoenih poruka, -izmjenom redoslijeda prenoenih poruka, -kopiranjem prenoenih poruka u memoriju raunala hakera, -onemoguavanjem prometa poruka izmeu poiljatelja i primatelja slanjem velikog broja istih ili razliitih poruka s ciljem da se zagui raunalo, -uspostavljanjem lanih veza (maskiranjem), pri emu se hakeri predstavljaju kao ovlateni korisnici sustava. esto se pri takvim napadima koriste posebni programi, u koje spadaju raunalni virusi, crvi i trojanski konji (esto ih zovu jednim imenom virusi). Raunalni crv(engl. Worm) je raunalni program koji se nakon pokretanja sam umnoava (replicira) na raunalu korisnika ili irom raunalne mree s ciljem da iskoristi resurse (memoriju) sustava odnosne mree tako da sustav ne moe dalje funkcionirati. Crvi uglavnom ne ugroavaju integritet podatkovne ili programske osnovice, ali zato uzrokuju velike tete zbog nemogunosti sustava da obavlja svoje funkcije (uskraivanje usluga). Raunalni virusje raunalni program koji se nakon aktiviranja programa samostalno razmnoava na zaraenom raunalu, te pri tomu obavljaju neke aktivnosti poput unitenja podataka, brisanja programa, ili nekodljivih vizualnih i zvunih efekata. U pravilu se virusi ire putem elektronike pote koju alje korisnik sa zaraenog raunala, a mogu se iriti i uporabom zaraenog magnetskog medija. Virusi ponekad imaju svojstvo crva da se repliciraju i samostalno ire po mrei. Primjer je virus W97M - Melissa koji je bez znanja vlasnik slao njegove dokumente na raunala pedeset korisnika Interneta ije adrese je pronaao u adresaru zaraenog raunala, a koji su ujedno korisnici programa Word 97 ili Word 2000. Virusi mogu nakon aktiviranja ostati rezidentni (dakle stalno smjeteni u memoriji raunala) a mogu se i samounititi nakon zavretka rada zaraenim raunalom. Postoji golem broj raunalnih virusa (svaki antivirusni program ima pregled postojeih virusa od kojih titi raunalo, pa primjerice Norton antivirusni program navodi na dan 22.11.2003. godine ak 64.568 poznatih virusa). Kako se mjeseno pojavljuje najmanje stotinjak novih, od virusa je vrlo teko kvalitetno se zatititi. Postoje razliite podjele virusa, a i sve je manja razlika u funkcioniranju izmeu pojedinih vrsta zloudnih programa. Prema nainu djelovanja virusi se dijele na: -boot sector viruse, koji se aktiviraju samim pokretanjem operativnog sustava, -parazitske viruse, koji se aktiviraju pokretanjem programa koji su zarazili, -multi-partite viruse, koji su kombinacija dviju prethodnih vrsta, -macro viruse, koji se aktiviraju pokretanjem makroa odnosno sastavnog dijela nekih programa koji najee rade pod Windowsima. Udio pojedinih vrsta varira no uglavnom je najvie macro virusa te boot sector virusa. Virus se moe aktivirati na u odreeno vrijeme, na odreen datum (primjer je poznati Michelangelo, koji na petak i 13. uniti podatke i/ili programe na raunalu), nakon to je kopiran odreen broj puta. Posebno opasni su tzv. polimorfni virusi koji mijenjaju svoj oblik kako bi zavarali antivirusni program, pa se ak koriste i enkripcijom kako bi prikrili svoje postojanje. Primjerice, isti Nortonov antivirusni
17

program navodi i druge podjele virusa, te za svaki virus opisuje njegove karakteristike. Tako boot sector virusa na dan 21.11.2003. ima 1.039, polimorfnih virusa 1.372, multi partite 434, macro virusa 4.769, virusa koji na neki nain utjeu programe 24.029, virusa koji rade iskljuivo u Windows okruenju 1.523, zloudnih programa za koje se uope ne zna tono to sve mogu raditi 355 itd. Zapravo, prilino je nejasan razlog zato hakeri proizvode viruse i ostale m aliciozne programe jer osim zle namjere i vjerojatno zluradosti, njima ne postiu vlastitu korist. Tako je u novinama objavljena vijest o zavretku sudskog postupka u SAD, kojim je autor virusa "Melissa" David Smith osuen na 20 mjeseci zatvora i 5.000 $ kazne. Za sada je "Melissa" virus s najveom brzinom irenja u povijesti, pa je u prosincu 1999. godine na vie od milijun raunala uzrokovao tetu od 1,2 milijarde dolara. Prema podacima tvrtke Computer Economics koja se bavi ocjenjivanjem financijskih posljedica sigurnosnih prijetnji i incidenata, virus "I Love You" je u 2000. godini nanio tetu od 8,75 milijardi dolara, a slijedi ga "Code Red" u 2001. s 2,62 milijarde dolara. Pri tomu je vaan i komentar autora "Melisse" da nije mogao zamisliti kakvu tetu moe napraviti virus. Trojanski konjje raunalni program koji osim svoje vidljive namjene ima i neku svoju, korisniku skrivenu funkciju. Trojanski konj je program ili dio programa koji je svjesno umetnut u neki drugi program, ali ne i nehotina sluajna greka programera (bug). Oni se najee ne razmnoavaju odnosno ne prenose se udruge programe i na druga raunala. Trojanskim konjem esto se slue hakeri koji eleneovlateno pristupiti informacijskom sustavu na nain da davanjem neogranienih ovlatenja nad sustavom njime otvaraju tzv. "stranja vrata". Takoer trojanski konji slue za otkrivanje korisnikih lozinki, za neovlateno daljinsko preuzimanje kontrole nad sustavom, kao i za skrivanje tragova nakon to je izvrena nezakonita djelatnost kako bi se otealo istragu ili ju ak onemoguilo (primjerice Letei holandez). U skupinu trojanskih konja spadaju: -softverske bombekoje se aktiviraju samim pokretanjem programa, -logike bombekoje se ispunjavaju kada su zadovoljeni neki uvjeti, primjerice dosegnuta odreena veliina baze podataka, -vremenske bombekoje se aktiviraju u odreeno vrijeme ili nakon isteka odreenog vremena. Hakeri se trude izraditi programe koji imaju istovremeno karakteristike i crva i virusa i trojanskog konja. Primjer je nedavna zaraza raunala sa W32.badtrans B virusom, koji se bez ikakvog upozorenja prvo sakrio u kernel (jezgru) Windows operativnih sustava (Win95, Win98, Win NT). Navedeni virus se potom aktivirao kao crv, ali tek nakon ponovnog poetka rada raunala (kroz start operativnog sustava), te samostalno sastavljao poruke i sam sebe slao korisnicima raunala navedenim u adresaru zaraenog raunala ili na bilo koju drugu e-mail adresu koju je pronaao negdje u sustavu. W32.badtrans B se takoer ponaao i kao trojanski konj jer je povremeno slao i lozinke koje je pronaao bilo gdje na raunalu, na vie razliitih email adresa te time omoguavao da se te lozinke moda iskoriste za neovlateni ulaz u neka raunala. Programi koji se koriste za zatitu od virusa zovu se antivirusni programi, a mogue ih je nabaviti i putem Interneta. Potrebno ih je koristiti jer tite
18

od veine poznatih virusa, iako ne mogu zatititi od novih koje hakeri veoma brzo proizvode. Stoga je opravdana opreznost kojom se zaposlenicima dodjeljuju prava na koritenje Interneta, strogo kontrolira pristup informacijskom sustavu te primjenjuju sigurnosni zidovi (firewalls) za zatitu sustava od upada izvana. Raunalo se moe zaraziti virusom ili crvom na razliite naine. Dakle, mogui naini zaraze su: -Mediji za pohranu podatakaodnosno diskete koje korisnici izmjenjuju, CD-ovi s driverima razliitih ureaja ponekad i s originalnim softverima -Internetzbog zastarjelih verzija antivirusnih programa jer korisnici ne znaju da ih moraju aurirati bar dva puta tjedno, kao i ignoriranja zakrpa za poznate propuste proizvoaa softvera -E-mail dodatak (attachment)koji je danas najraireniji oblik irenja malicioznih programa. Zastarjele verzije Outlook Expressa imaju sigurnosni propust koji omoguava da se virus aktivira iako attachment nije bio niti otvoren. -Razmjena programa ili glazbejer uz popularnu glazbu, piratsku kopiju najnovijeg filma ili goliave fotografije popularne glumice ili pjevaice esto se skine i trojanski konj koji i bez znanja korisnika moe nekome omoguiti kontrolu nad raunalom -Obilazak Web stranicauglavnom se odnosi na web stranice s polulegalnim ili pornografskim sadrajima, pri emu te stranice sadravaju i kod za aktivaciju crva ili trojanskog konja (zapravo korisnik sam inicira zarazu svojeg raunala) -Nezatieni komunikacijski kanali (portovi). Budui da svako raunalo ima vei broj komunikacijskih kanala za prihvat i slanje podataka, loe konfigurirane aplikacije koje koriste Internet i operativni sustav mogu biti iskoriteni za pokuaj upada u sustav. Za zatitu se koristi vatrozid koji kontrolira podatke koji odlaze i pristiu, te dojavljuje sve sumnjive situacije. Stoga se esto daju preporuke3 kako se zatititi: 1. Preispitati stupanj rizika kojem se svakodnevno poduzee izlae poslujui putem Interneta. Budui da za sada ne postoji mogunost potpune zatite, odreeni stupanj rizika mora se prihvatiti. 2. Neka raunala u tvrtki slue jedino i iskljuivo za obavljanje poslovnih zadataka. To smanjuje mogunost zaraze putem Interneta ili obilaska Web stranica s neprimjerenim sadrajem. 3. Potrebno je pratiti tko se sve eli povezati linkom na Web stranicu poduzea. To je est nain izvedbe prijevara kojim se slue varalice. 4. Treba esto raditi sigurnosnu provjeru elektronike infrastrukture, i hardvera i softvera. Tako se odrava visoka razina zatite i bre se prilagoava novim nainima poslovanja. 5. Eliminirati sve slabosti koje su utvrene ili na koje upuuju razliita istraivanja 6. Nikako se ne smije kupovati nesiguran softver. Na alost, i danas postoje programi s sigurnosnom nedostacima koji su utvreni jo prije desetak godina.
3

Preuzeto iz Pavi Z.: Razmiljajte poput cyber kriminalca

19

7. Ako je poslovanje tvrtke ugroeno zato to softver koji koristi nije dovoljno zatien, treba tuitiproizvoaa softvera da nadoknadi tetu (odnosno onog koji je odgovoran za proizvodnju takvogproizvoda). 8. Treba pokuati razmiljati poput cyber kriminalca, jer gotovo sve ono to poduzee smatra prednou Interneta (manji trokovi, vea brzina, ira distribucija, bra zarada, sloboda poduzetnitva) moe biti zloupotrijebljeno.

ZAKLJUAK
Nakon svih provedenih istraivanja dolazim do zakljuka da danas nemoemo 100% zatiti svoje informacijske resurse, ali moemo bar uiniti pristup naim podatcima zatienijim: samom naom odgovornou, sigurnim i ogranienim pristupom internetu te uenjem sve naprednije informacijske strukture.Takodje sam zakljuio istraivanjem na internetu da je naa drava kao i na narod veoma informatiki neosvjeten i neupuen, a samim tim i najranjiviji u ovome podruiju.

20

LITERATURA
1. http://dl.unvi.edu.ba 2. http://en.wikipedia.org/wiki/Main_Page 3. http://www.scribd.com/doc/49487845/SIGURNOST-INFORMACIJSKIHSUSTAVA 4. Peltier R.T., Information Security Risk Analysis, Auerbach, CRC press, 2000. 5. Prof dr Alempije Veljovi, Menadment informacioni sistemi 6. Draen Dragievi, Kompjutorski kriminalitet i informacijski sustavi 7. Gradska biblioteka Zenica 8. http://www.google.ba/firefox?client=firefox-a&rls=org.mozilla:enUS:official 9. http://www.foi.hr/pmsp/kolegiji/sis/index.html 10. http://www.poslovni-software.com/proizvod/gosoft-2000-integralni-poslovniinformacijski-sustav/40/32/ 11. http://www.ebooklibs.com/za%C5%A1tita_sigurnost_informacijskih_sustava .html

21