SkriptaZaStudente2009 12

Zaštita i sigurnost informacijskih sustava
SVEUČILITE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Zavod za primijenjeno računarstvo
Prof. dr. sc. Nikola Hadjina
ZAŠTITA I SIGURNOST INFORMACIJSKIH

SUSTAVA
(nastavni materijali sa zbirkom zadataka)
Zagreb, srpanj, 2009.
07/2009 FER - Zavod za primijenjeno računarstvo 1

Predavač: prof. dr. sc. Nikola Hadjina

Sadržaj kolegija
Sadržaj po tematskim cjelinama:
1. Definiranje sigurnosti, problemi, ciljevi, načela i politika sigurnosti.

2. Analiza, upravljanje i nadzor rizika.
3. Kontrola pristupa i tokova - Matematički modeli sigurnosti
4. Osnove kriptografije. Protokoli, tehnike i algoritmi.
5. Arhitektura sigurnosnog sustava-osnovni moduli.
6. Postupci digitalne identifikacije i autentifikacije.
7. Sustavi za sigurnosno upravljanje i nadzor radnih tokova (WFMS).
8. Sigurnost i zaštita programa i operacijskih sustava. Povjerljivi sustavi.
9. Standardi i kriteriji vrednovanja sigurnosti i povjerljivosti sustava.
10. Sigurnost baza podataka.
11. Sigurnost računalnih mrea i distribuiranih sustava.
12. Transakcijska obrada u višerazinskim sigurnosnim bazama podataka.
13. Sustavi za detekciju sigurnosnih proboja (IDS).
14. Upravljanje i nadzor sigurnosnog sustava (ISMS ).
15. Upravljanje sigurnosnim incidentima i kontinuitet poslovanja (BCMS)
16. Zakonski i etički aspekti sigurnosti.
LITERATURA ZA KOLEGIJ:
1. Charles P. Pfleger, “Security in Computing”, Prentice Hall PTR, 1997
2. Schneier, B., “Applied Cryptography”, (2nd ed.), Wiley 1996.
3. S. Castano, M. G. Fugini, G. Martella, P. Samarati, "Database Security", ACM Press, 1995
4. Harold F. Tipton, Micki Krause, "Information Security Management", Handbook, 4th edition,
CRC Press LLC, 2000
5. Menzies, A.J., von Oorschot, P.C., and Vanstone, S.A. “Handbook of Applied Cryptography”,
CRC Press, NY, 1996.
6. Douglas R. Stinson, “Cryptography: Theory and practice”, CRC Press, 1995.
7. Deborah Russell, G.T. Gangemi Sr., “Computer Security Basic, O’Reilly & Associates, Inc.,
1991
8. Steven L. Shaffer, Alan R. Simon, “Network Security”, Academic Press, Inc, 1994
9. Glen Bruce, Rob Dempsey, “Security in Distributed Computing”, Prentice Hall PTR, 1997
10. Simson Garfinkel, Gene Spafford, “Web Security & Commerce”, O’Reilly & Associates, Inc.,
1997.
11. Richard Barkserville, “Designing Information System Security”, John Wiley & Sons, 1988
12. Sushil Jajodia, "Data Base Security XII", Status and Prospects, Kluwer Academic Publisher,
1999
13. V. Atluri, S. Jajodia, B. George, "Multilevel Secure Transaction Processing", Kluwer Academic
Publisher, 2000.

1. DEFINIRANJE SIGURNOSTI, PROBLEMI, CILJEVI, NAČELA I

POLITIKA SIGURNOSTI
Stanje i problemi:
 Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih

prijevara, špijunaže, sabotaže, vandalizma, požara, poplave i sl.
 Šteta nanesena organizaciji u obliku zloćudnog koda, računalnog hakiranja i
uskraćivanja usluge je sve prisutnija pojava.
 Financijski gubici vezani na sigurnosne upade povećavaju se iz godine u godinu i
iznose bilione dolara.
 Oko 60% napada se događa izvana( kroz Internet), a oko 40% napada dolazi iznutra.
 U vrijeme globalne ekonomije, stalnih promjena rizika kojima su izložene tvrtke,
uspostave suradnje među tvrtkama, on-line trgovine informacijska sigurnost postaje
sve vie poslovni problem koji treba omogućiti i unaprijediti poslovanje.
 Tvrtke se bore sa zahtjevima regulatora (banke, telekom operatori,..), ekonomskim
uvjetima te upravljanjem rizicima.
 Uloga informacijske sigurnosti nažalost još nije dovoljno definirana u mnogim
tvrtkama.
 Iako mnogi vide informacijsku sigurnost kao mjesto troška može se pokazati i
dokazati da tvrtke koje ispravno upravljaju s informacijskom sigurnoću postiu
kvalitetno, racionalno i učinkovito svoje poslovne ciljeve.
 Sigurnosti informacijskih sustava može biti od presudne važnosti kako bi se ostvarila
i zadržala konkurentnost, osigurao dotok novca i profitabilnost, kako bi se zadovoljile
zakonske norme i osigurao poslovni ugled, te konačno kako bi organizacija preivjela
na tržištu.
 Informacijska sigurnost pored ovih navedenih ciljeva treba svoriti i priliku za
planiranje i ostavrenje novih poslovnih ciljeva, te kao takva mora biti integralni dio
korporativnog upravljanja i poslovnog planiranja.
Informacijska sigurnost i sigurnost informacijskih sustava
Osnovni pojmovi
 Podatak
 Informacija
 Računalni sustav
 Informacijski sustav
Informacija je poslovna imovina
Atributi:
 Povjerljivost (tajnost) .
 Točnost
 Raspoloživost
Faktori koji imaju utjecaj, odnosno ugrožavaju, informacijsku sigurnost:

 Prekid
 Presretanje
 Izmjene
 Produkcija
Informacijska sigurnost u kontekstu
Sigurnost je poslovni proces
Sigurnost je proces smanjenja rizika ili vjerojatnosti nastajanja štete.
Neki od aspekata informacijske sigurnosti o kojima treba voditi računa ovaj poslovni proces
su:
 Pristup
 Identifikacija
 Autentifikacija
 Autorizacija
Informacijska sigurnost je poslovni zahtjev
Dodatni aspekti informacijske sigurnosti:
 Odgovornost
 Podizanje svijesti
 Administracija (upravljanje)
Izgradnja plana informacijske sigurnosti
Pet glavnih faza svakog Plana informacijske sigurnosti su:
 Inspekcija
 Zaštita
 Detekcija
 Reakcija
 Refleksija
Informacijska imovina
Informacijska imovina su sva ona sredstva koja uskladićuju informaciju, prenose

informaciju, kreiraju informaciju, koriste informaciju ili su informacija sama za sebe. Takvu
imovinu predstavljaju i informacijski sustavi.
Sredstva organizacije se mogu stoga grupirati u slijedeće kategorije:
 Ljudi
 Posjed
 Informacija
 Infrastruktura
 Reputacija
Odnos sigurnosti računarskih sustava i informacijskih sustava
Sigurnost računarskih sustava najčeće podrazumjeva sigurnost u okviru tehničke

arhitekture, računala, mree i komunikacije, dok sigurnost informacijskih sustava
obuhvaća puno ire područje, koje uključuje izgradnju, implementaciju i koritenje
informacijskih sustava, što je direktno povezano sa poslovnim procesima i
organizaciojom tvrtke, osobljem , zakonima i cjelokupnim društvom.
Prema tome razvoj je iao od tehničkih rjeenja (IT orijentacije ) prema poslovnim potrebama
i zahtjevima organizcija i ostvarenju njihovih poslovnih ciljeva :
 Sigurnost računala (Computer Security -1970)

 Sigurnost podataka (Data Security - 1980)
 Sigurnost informacija, Informacijska sigurnost (Information Security - 1983)
 Sigurnost informacijskih sustava (IS Security - 1988)
 Sigurnost poslovanja (Enterprise protection – Enterprise Security Architecture,
Industrial Security - 1995)
Osnovne grupe razvoja sigurnosti mogu se podijeliti na:

 IT orjentirana sigurnost
 Poslovno orjentirana sigurnost
(informacijska sigurnost je poslovni problem, čije rjeenje unapređuje poslovanje)
Računlna sigurnost, informacijska sigurnost i sigurnost informacijskih

sustava
to je računalna sigurnost ?
 privatnost,
 ograničenje fizičkog pristupa,
 raspoloživost aplikacija,
 mrežna povjerljivost,
 integritet sadržaja (podataka i programa)
 politika pristupa.
Sigurnost je u biti upravljanje rizicima.
Što je i što nije informacijska sigurnost ?
Pogledi na sigurnost (informacijske operacije, zaštitu informacija i ostavrenje ciljeva

poslovanja)
→Informacijska sigurnost se ponekad povezuje sa informacijskim operacijama koje štite i

brane informacijski sustav kako bi osigurale njegovu raspoloživost, integritet,
autentifikaciju, povjerljivost (tajnost) i neporecivost. Informacijska sigurnost također
uključuje oporavak informacijskih sustava kroz uključene sposobnosti za zatitu, detekciju i
reakciju.
→Informacijska sigurnost je zaštita informacija od velikog broja prijetnji radi osiguranja

kontinuiteta poslovanja, smanjenja poslovnog rizika i povećanja prihoda od investicija i
poslovnih prilika. Informacijska sigurnost postie se primjenom odgovarajućeg skupa
kontrola, uključujući politike, procese, procedure, organizacijske strukture i softverske i
hardverske funkcije
→ Omogućiti ostvarenje ciljeva poslovanja na siguran način, u kojem su zadovoljeni

regulatorni i sigurnosni zahtjevi kroz ugradnju odgovarajućih kontrola, upravljanje
rizicima, te kroz podizanje sigurnosne kulture i svijesti u organizaciji.
Stoga je informacijska sigurnost:
• Način razmiljanja
• Beskonačan proces
• Upravljanje rizikom
• Jamstvo poslovnog uspjeha
• Odgovornost svakog zaposlenika
Informacijska sigurnost nije:

• Odgovornost samo IT-a

• Problem koji se rješava samo tehnologijom
• Konačno odredite – 100% sigurnost nije moguća
Filozofija informacijske sigurnosti je dakle sadrana u slijedećem:
• Vanost i kritičnost informacija se stvara u glavama poslovnih ljudi a ne u njihovim

sustavima
• Sveopći pristup (holistički) sigurnosti je preduvjet za informacijksu sigurnost
• Sama tehnologija i alati ne mogu osigurati kompletno rješenje sigurnosti
• Ljudi su najveći problem u implemetaciji informacijske sigurnosti
• To je proces , a ne proizvod, koji nikada ne završava.
Što je sigurnost informacijskih sustava ?
Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u

obradi, ili su pohranjeni, ili je u tijeku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i
raspoloivosti, te radi sprječavanja gubitaka cjelovitosti ili raspoloivosti samih sustava.
“Jedini informacijski sustav koji je zaista siguran je onaj koji je ugaen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okruen nervnim
plinom i dobro plaćenima naoruanim čuvarima. Čak ni tad, ne bih se ba kladio na
njega.”
Eugene Spafford
Direktor Computer Operations, Audit and Security Technology (COAST)
Purdue University
Glavni ciljevi u istraivanju računalne sigurnosti su:
 ispitivanje sigurnosnih rizika u računarstvu

 razmatranje raspoloživih zaštitnih mjera i kontrola
 stimuliranje razmišljana o neotkrivenim ranjivostima i prijetnjama
 identifikacija područja u kojima se zahtjeva više rada na postizanju bolje sigurnosti.
Ranjivost, prijetnja i rizik
Ranjivost (engl. vulnerability) – stanje, nedostatak ili slabost u sigurnosnim procedurama,

tehničkim kontrolama, fizičkim ili drugim kontrolama sustava, dizajnu i implementaciji tih
kontrola i procedura koja se moe iskoristiti, slučajno ili namjerno aktivirati i eksploatirati,
što može rezultirati povredom sigurnosti i/ili sigurnosne politike, koja prouzrokuje operativne
i financijske gubitke za organizaciju.
Prijetnja (engl. threat) - mogućnost izvora prijetnje da iskoristi neku ranjivost slučajnim ili
namjernim aktiviranjem i eksploatacijom.

Rizik se prepostavlja od strane vlasnika ili administratora sustava, a to je vjerojatnost da

sustav neće biti u mogućnosti provoditi sigurnosnu politiku., uključujući i kontinuiranost
kritičnih operacija u toku izvođenja napada.
Rješenja:
 izbjegavanje
 upravljanje
 prihvaćanje
 transfer
Rizik = F(prijetnji,ranjivosti, vrijednosti informacijske imovine, sigurnosne kontrole)
Svojstva računarskih upada
Princip najlakšeg upada
Vrste sigurnosnih proboja (upada)
 prekid,
 presretanje,
 izmjene i
 produkcija.
Ciljevi sigurnosti računarskog/informacijksog sustava
 Autentifikacija (Autentification)
 Kontrola pristupa (Access control
 Nadzorni zapisi (Audit trail)
 Povjerljivost (Confidentiality)
 Cjelovitost (Integrity)
 Raspoloživost (Availability
 Neporecivost (Nonrepudtaion)
Računarska sigurnost u uem smislu, općenito, sastoji se od odravanja tri sigurnosna

svojstava:
 povjerljivost (tajnost/privatnost),
 cjelovitost i
 raspoloživost.
Povjerljivost
Povjerljivost zvuči prilično jasno; samo ovlateno osoblje moe vidjeti zatićene podatke.

Cjelovitost
Neka značenja cjelovitosti su:
 Točnost (precise)
 Ispravnost (accurate)
 Neizmjenivost
 Izmjenjivost samo na prihvatljiv način
 Izmjenjivost samo od starne ovlaštenih osoba
 Izmjenjivost samo od ovlaštenih procesa
 Konzistentnost
 Unutarnja konzistennost
 Značajni i ispravni rezultati
Raspoloživost
Očekivanja:
 prisutnost objekta ili usluge u upotrebljivom obliku

 kapacitet koji zadovoljava potrebnu uslugu
 napredak: ograničeno vrijeme čekanja
 odgovarajuće vrijeme izvrenja usluge
Ciljevi raspoloživosti su:
 vremenski odziv
 prihvatljiva dodjela veličine sistemskog resursa
 neosjetlivost na greške
 korisnost ili upotrebljivost ( može se koristi kao namjeravana)
 nadzirana paralelnost-konkurentnost: potpora istovremenim pristupima, kontrola
potpunog zastoja, ekskluzivni pristup ( ako se zahtjeva).
Odnos između povjerljivosti, cjelovitosti i raspoloivosti
Povjerljivost
Cjelovitost Raspoloživost

Ranjivosti računarskog/informacijskog sustava
 Za računalne kriminalce ranjivosti informacijskih sustava i mreža su skriven, ali vrlo

vrijedan podatak i imovina.
 Nove ranjivosti pojavljuju se svakodnevno zbog grešaka u softveru, hardveru, u
konfiguriranju aplikacija i IT-a te zbog grešaka ljudi.
 Svaki poslovni sustav povezan na Internet je izložen riziku zbog mrežne ranjivosti.
Od kuda dolaze ranjivosti ?
 Greke u programiranju uzrokuju mnoge ranjivosti u softveru. Uobičajena greka je ne

provjeravanje veličine spremnika podataka (eng. data buffers).
 Javno dostupni i publicirani programi
 Kvaliteta programskog koda
 Implementacija nerobustnih Internetskih protokola
 Nepravilno konfigurirane sigurnosne aplikacije (sigurnosna stijena),
 Neadekvatno koritenje mobilnih uređaja (bez VPN-a,..)
Ranjivosti računarskog sustava
Prekid HARDWARE
(Sprečavanje usluga) Presretanje
(krađa)
Prekid
Prekid (gubitak)
(Brisanje)
Presretanje
Presretanje
PROGRAMI PODACI
Izmjene
Izmjene
Produkcija
Princip adekvatne zaštite: Računarska sredstva (informacijska imovina) moraju se

zaštiti samo do vremena do kada one gube vrijednost. Ona se moraju zaštiti sukladno s
njihovom vrijednosću.

Ostala izloena sredstva računarkog/informacijskog sustava
 Medij za uskladištenje podataka

 Mreže
 Ključno osoblje
Prijetnje informacijskoj sigurnosti - Identifikacija prijetnji
Vrste prijetnji
Postoje četri opće vrste prijetnji u uvjetima računalnih/informacijksih sustava:
1. Prirodne prijetnje
2. Nenamjerne prijetnje (nesreća)
3. Namjerni (ljudski) aktivni napadi
4. Namjerni (ljudski) pasivni napadi
Prirodne prijetnje
Vrsta prijetnje Individualna Usputne (posredne) Učinci prijetnje

prijetnja (izvor prijetnje (događaj prijetnje)
prijetnje)
Geofizička nesreća Potres, vulkanske Požar, pomicanje tla, Unitenje uređaja ili
aktivnosti, poplave ispuštanje plina ili kem. otećenje (prekid)
tekućina, ispad napajanja
Vremenski ovisne Hariken, tornado, Polave, poari, nesreće, Gubitak ili
nesreće tajfun ispuštanje plina i kem. degradacija mreže i
tekućina, ispad napajanja komunikacija,
unitenje uređaja i
informacija (prekid)
Meteroloke nesreće Atmosferske Poplave, nesreće, ispad Gubitak ili
neprilike, snijeg, napajanja, degradacija
vjetar, oluja, elektromagnetski impulsi komunikacija,
grmljavina, visoke unitenje uređaja i
ili niske temperature informacija (prekid)
Sezonski fenomeni Vremenski Poplave, poari, nesreće, Gubitak ili
ekstremi, šumski ispad napajanja degradacija mrežnih
požari komunikacija,
unitenje uređaja i
informacija (prekid)
Astrofizički Sunčani fenomen, Gubitak ili
fenomeni (sunčane rupe) degradacija satelitske
veze (prekid)
Biološki fenomeni Bolesti i divljaštvo Nesreće Otećenja na
uređajima i osoblju
(prekid)

Nenamjerne prijetnje
 Korisničke pogreke
 Operaterske pogreške
 Pogreške administriranja (specijalnih komponenti ili programa konfiguracije )
 Greške pripreme podataka
 Greške izlaza
 Greke računalnih sustava
 Komunikacijske pogreške
 Greške aplikacijskih programa
Druge nenamjerne prijetnje mogu uključiti slijedeće:
Vrsta prijetnje Individualna Učinci prijetnje

prijetnja (izvor prijetnje) (događaj prijetnje)
Transport Avionska, eljeznička, Unitenje uređaja i
kamionska i automibilska informacija (prekid)
nesreća
Industrija Ispuštanje plina, kem. Otećenje ili unitenje
izlijevi, radioaktivno mrenih uređaja i
zračenje, poari, eksplozije, informacija, te gubitak
prekidi u snabdjevanju mogućnosti obrade (prekid)
energijom
Okolina Šumski požari, poplave, Degradacija i uništenje
onečićenje zraka, uređaja, usluga i
epidemija informacija (prekid)
Uređaji Greke mrenih uređaja, Degradacija i destrukcija
greške u podršci mrenih uređaja, usluga i
softwarea/hardwarea informacija
Namjerni aktivni ljudski napadi
Vrsta prijetnje Individualne prijetnje (izvor Učinci prijetnji (događaj

prijetnji) prijetnje)
Građanska neposlunost Protesti, neredi, sindikalne Onemogućavanje dolaska
demonstracije na posao, otećenja uređaja
i osoblja (prekid)
Neovlašteni pristup Povjerljivi personal, Gubitak, manipulacija,
neovlašteni personal, otećenje ili otkrivanje
korisnička njukala podataka (prekid,
presretanje, izmjene)
Sabotaža Terorizam, bombardiranje, Destrukcija ili otećenje
modifikacija programa, ciljanog uređaja i osoblja
vandalizam na uređajima rezultira u gubitku usluga
(prekid)
Gomilanje prometa Uvođenje lanog prometa Gubitak ili degradacija

na mrei, povećana veze/mreže i gubitak

frekvencija dodjele na usluga/podataka, DoS
mrei, uvođenje up-link i napad (prekid)
down-link gomilanja
Namjerni pasivni ljudski napadi
Vrsta prijetnje Individualne prijetnje Učinci prijetnje (događaj

(izvor prijetnji) prijetnje)
Elektromagnetsko zračenje Kablovi, zemaljske linije, Neovlateno oslobađanje
mikrovalovi, računala, informacija ( presretanje)
mrežne komponente
Priključak na liniju ili Kablovi, zemaljske linije, Neovlateno oslobađanje
prisluškivanje mikrovalne veze informacija ( presretanje)
Otkrivanje osjetljivih Gubitak prozveden od Neovlateno oslobađanje
informacija strane personala, nepravilno informacija ( presretanje)
označavanje informacija,
nepravilno rukovanje
informacijama, zloupotreba
mrežnih sredstava
Kategorije prijetnji
 Odbacivanje usluga (DoS - Denial of Service)

o Fizičko unitenje mrenog segmenta ili podmree
o Neoperabilnost mrežnih segmenata ili podmrea zbog greke uređaja,
greške programa ili sabotaže
o Degradacija performansi zbog zasićenja sustava, zbog greaka na liniji, ili
zbog vanjskih faktora (vremenske prilike)
o Ovlateni korisnici sprečavaju fizički pristup mrenim uređajima i
uslugama IS-a
o Svi drugi uvjeti koji izazivaju neraspoloživost IS-a ovlaštenim korisnicima
 Neovlašteno otkrivanje
o Nenamjerno otkrivanje može biti izazvano od korisnika, operatera, kod
pripreme podataka, grešaka izlaza, grešaka sustava ili grešaka u
komunikaciji
o Kršenje postavljenih procedura za kontrolu pristupa (ovlaštenja)
o Zlonamjerne akcije personala
o Aktivni pokušaji (napadi) ovlaštenog personala da pristupe osjetljivim
informacijama
 Neovlaštene modifikacije
o Osoblja (djelatnici - insideri) koje aktivno rade na sabotaži ili prekidu rada
mrežnih operacija ili usluga IS-a.

o Osoblje (djelatnici - insideri) koje nenamjerno interferira sa IS-om,

mrežnim operacijama i uslugama
o Vanjsko osoblje - outsideri (hakeri, krekeri, računalni kriminalci,..)
 Prijetne na LAN komunikacije

 Prijetnje na WAN komunikacije
 Uključeno osoblje
o Amateri
o Krekeri/hakeri
o Računlni kriminalci
Model sustava informacijske sigurnosti
Poslovni model
Programi informacijske sigurnosti trebaju uzeti u obzir kako su tvrtka, njezino osoblje,
procesi i tehnologija međusobno povezani i kako međusobno djeluju , te kako vođenje i
upravljanje tvrtkom (governance), kultura, ljudski faktor i arhitektura podupiru ili
oteavaju mogućnost tvrtke da zatiti svoje informacije i upravlja rizikom koji dovodi do
kršenja informacijske sigurnosti i sigurnosti IS-a
Struktura modela
Model je orijentiran prema poslovnom rjeenju upravljanja informacijskom sigurnoću.

Njegova potpunost i dinamičnost čini ga da informacijska sigurnost bude predvidiva i
proaktivna.
Struktura modela dana je na donjoj slici:
USC - University of Sothern California

Kao to slika prikazuje to je trodimezionalni oblik piramide koji se sastoji od četiri elementa i
i est dinamičkih međuveza. Svi aspekti modela međusobno su povezani. Ukoliko se bilo koji
dio modela mijenja ili se upravlja na neodgovarajući način to izaziva neravnotežu modela
koja predstavlja potencijalni rizik..
Elementi modela
1. Dizajn tvrtke i strategija

2. Ljudi
3. Proces
4. Tehnologija
Dinamičke međuveze
1. Vođenje i upravljanje (Governing)

2. Kultura
3. Omogućavanje i podrka
4. Nastanak (Emergence)
5. Ljudski faktori
6. Arhitektura
Upotreba modela
 Zakonski i regulatorni zahtjevi

 Globalizacija
 Rast i proširenja
 Organizacijske sinergije
 Pojava i razvoj novih tehnologija
 Ekonomija tržišta
 Ljudski resursi
 Sve prisutne izmjene prijetnji i ranjivosti
 Inovacije
Konceptualni model - sigurnosna arhitektura ( razrada poslovnog modela-
Potpuni model sigurnosnog sustava sastoji od pet cjelina:
 Poslovne i sigurnosne strategije

 Organizacijskog sustava
 Sustava upravljanja
 Tehnološkog sustava
 Vrednovanja sigurnosnog sustava
Ovaj model dan je na slijedećoj slici.

Poslovna strategija i ciljevi

Sigurnosni zahtjevi
Sigurnosna strategija i ciljevi
Organizacijaska struktura
Podjela posla - role Organizacijski sustav
Edukacija korisnika
Upravljanje propisima
Upravljanje sredstvima Sustav upravljanja
Upravljanje rizikom
Upravljanjem tehnologijom
Ocjena funkcionalnosti
Validacija i autentifikacija
Kontrola pristupa
Integritet podataka Zaštitna funkcionalnost
Povjerljivost podataka (Sigurnosni servisi i sigurnosni Tehnološki sustav
Anti DoS mehanizmi)
Funkcionalnost detekcije sigurnosnih incidenta
Funkcionalnost odgovora na sigurnosne incidente
Funkcionalnost oporavaka od sigurnosnih incidenata
Vrednovanje sigurnosnog sustava
Principi sigurnosti informacijskih sustava

Organizacija za ekonomsku suradnju i razvoj (engl. The Organisation for Economic
Cooperation and Development - OECD ) je ustanovila 9 principa sigurnosti informacijskih
sustava:
 Svijest o informacijskoj sigurnosti

 Odgovornost
 Odziv
 Etika
 Demokracija
 Procjena rizika
 Dizajn i implementacija sigurnosnih mjera
 Upravljanje sigurnoću
 Procjenjivanje
Sigurnosni principi (načela) za izgradnju sigurnosnih mjera
 Odgovornost i nadzor (Accountability)
 Namanje privilegije
 Minimiziranje raznoličnosti, veličine i sloenosti povjerljivih komponenti

 Podrazumjevana sigurnost (default )
 Obrana po dubini

Metode obrane (zaštite) / Kontrole - Sigurnosni mehanizmi-mjere

U projektiranju i izgradnji sigurnosnih mehanizama potrebno je rukovoditi se nekim
osnovnim principima i operacijama koje su svojstvene za većinu sigurnosnih
mehanizama:
 Definiranje domena
 Povezivanje korisnika s domenama
 Ovlaštene (autorizirane) operacije
 Operacije nadzora i upravljanja(Auditinig)
 Kriptografija (enkripcija/dekripcija)
Kontrole
U nastavku dat ćemo pregled kontrola ili kontrolnih mjera koje će pokuati spriječiti
koritenje ranjivosti računarski/informacijskih sutava.
Enkripcija
Programske kontrole
 Unutarnje programske kontrole: dijelovi programa koji provode restrikcije glede

sigurnosti, kao to je ograničenje pristupa u program za upravljanje bazom
podataka
 Kontrole operativnog sustava: ograničenja koja provodi operacijski sustav kako bi
zaštitio jednog korisnika od drugog
 Kontrole razvoja: standardi kvalitete pod kojima treba provesti projektiranje,
kodiranje, testiranje i održavanje
Sklopovske kontrole
Politike
Fizičke kontrole
Učinkovitost kontrola
Briga o problemu (engl. Awerness)
Vjerojatnost upotrebe

Princip djelotvornosti (učinkovitosti): Kontrola se mora koristiti da bi bila

učinkovita. Ona mora biti djelotvorna, laka za upotrebu i adekvtana.
Preklapanje kontrola
PRISTUP
PROGRAMIMA
FIZIČKI PODATCI
PRISTUP
PRISTUP
DATOTEKAMA
FIZIČKI
PRISTUP LOGIČKI
PRISTUP
HARDWARE PROGRAMI
PRISTUP
DATOTEKAMA
Periodički pregledi sigurnosti i učinkovitosti kontrola
Principi koji djeluju na istraivanja u području računarske/informacijske sigurnosti:
 princip najlakšeg upada

 princip vremenskog ograničenja
 princip učinkovitosti kontrole
Implemetacija plana informacijske sigurnosti

Ta implementacija se obavlja primjenom najbolje prakse kroz upotrebu normi za sigurnost
informacija i informacijksih sustava a ti su: ISO 27001 i ISO 17799 /ISO 27002 , ISO 2700X,
BS 25999 i dr. Oni definiraju njegove glavne elelmente:
 Cilj normi

 Što je sigurnost informacija?
 Zašto je potrebna sigurnost informacija?
 Kako utvrditi sigurnosne zahtjeve?
 Procjena sigurnosnih rizika
 Odabir kontrolnih mjera i sredstava
 Polazište sigurnosti informacija
 Kritički faktori uspjeha
 Razvoj vlastitih niti vodilja
Sigurnosna politika
Politika sigurnosti informacija
Cilj je osigurati upute i podršku rukovodstva glede sigurnosti informacija.

Rukovodstvo mora postaviti jasno usmjerenje, podršku i predanost u vezi sigurnosti
informacija utvrđivanjem i provođenjem politike sigurnosti informacija u čitavoj
organizaciji.
Dokument politike sigurnosti informacije
Minimum koji treba biti uključen je slijedeći:
a. definicija sigurnosti informacija, sveukupni ciljevi i svrha, te važnost sigurnosti kod

zajedničkih informacija;
b. iznošenje namjere rukovodstva u svrhu podupiranja ciljeva i principa sigurnosti
informacija;
c. kratki opis sigurnosne politike, principa, standarda i zahtjeva u pogledu usklađenosti
od osobite važnosti za organizaciju, npr.:
1. usklađenost sa zakonskim i ugovornim zahtjevima
2. zahtjevi glede sigurnosti obrazovanja
3. prevencija i otkrivanje virusa i ostalog zlonamjernog software-a
4. vođenje poslovnog kontinuiteta
5. posljedice kršenja sigurnosne politike
b. definicija općih i posebnih odgovornosti glede upravljanja sigurnoću
informacija,uključujući izvjeća o sigurnosnim incidentima;
c. referentna dokumentacija koja podupire ovu politiku tj.razrađena sigurnosna politika i
procedura za specifične informacijske sustave ili sigurnosna pravila prema kojima
moraju postupati korisnici.

Revizija i vrednovanje
to se tiče politike, treba postojati osoba odgovorna za odravanje i reviziju prema
definiranim revizijskim procesima. Taj proces mora osigurati reviziju kao odgovor na sve
promjene koje utječu na primarnu procjenu rizika, npr. značajni sigurnosni incidenti, nove
povrede ili promjene organizacijske ili tehničke infrastrukture. Također treba planirati
periodičke preglede slijedećeg:
a. učinkovitost politike to će se ogledati u broju i učinku zabiljeenih sigurnosnih

incidenata;
b. troak i učinak kontrole na efikasnost poslovanja;
c. djelovanje promjena u tehnologiji
Sigurnosna politika
 Sigurnost, privatnost i povjeljivost (tajnost)
 Komercijalne, vojne i druge politike
Tok donošenja sigurnosne politike
Načela poduzeća Poslovni kod ponašanja Sigurnosne politike Vodič
Da li je sigurnosna politika potrebna ?
Radni okvir sigurnosne politike
 Naredbe(iskaze) politike - Formalna naredba politike poduzeća. to poduzeće zahtjeva da

se učini a to ne ? Naredba treba biti specifična i jasna.
 Svrha - Zašto je politika potrebna. Koje probleme ona rješava ? Koje su komponente
politike. Da li postoje kakve definicije u području koje ona pokriva ?
 Djelokrug - Koje su granice primjene politike ? Kako se daleko sigurnosna politika
prostire.
 Podudarnost sa politikom - Što se posebno zahtjeva da bude sukladno sa politikom ? Da
li postoji bilo koja dozvoljena devijacija od politike, te koji su to procesi koji trebaju
autorizirati devijaciju ?
 Penali/Posljedice - Koji su penali i/ili posljedice ne pridržavanja sigurnosne politike? Oni
mogu definirati formalne sankcije i/ili posebne posljedice u slučaju krenja sigurnosne
politike.

Osnovni sigurnosni elementi
 Identifikacija
 Autentifikacija
 Autorizacija
 Lozinke
 Informacijski integritet
Specifične politike sigurnosti
 Politika odnosa prema podatcima

o Klasifikacija podataka
o Čuvar podataka/vlasnik podataka
o Nadzornik sigurnosti podataka i IS-a (upravljanje)
o Cjelovitost/integritet podataka
 Politika u odnosu na osobno korištenje

o Osobno korištenje
o Korištenje informacijskog sustava
o Privatnost
 Politika upravljanja sigurnoću sustava / Politika ISMS-a

o Odgovornosti rukovodstva (Uprave)
o Upravljanje zapisima
o Sigurnosna administracija
o Razdvajanje dužnosti
o Procjena rizika
o Nadzor podudarnosti sa sigurnosnom politikom (revizija sigurnosti)
o Odstupanje od politike
o Administracija sustava
o Klasifikacija sustava
o Kontinuitet poslovanja
 Mrežne politike
o Vanjski pristup mreži
o Udaljeni pristup mreži
o Privatnost komunikacija
 Politike za korisnike
o Briga korisnika
o Korisnička odgovornost
 Programske politike
o Prava kopiranja
o Zaštita od virusa
 Ostale politike
o Razvoj aplikacija
o Vanjske obrade
o Fizička sigurnost
o Korištenje standarda
Proces kreiranja politika
 Odgovornosti
 Priručnik o sigurnosnoj politici (Vodič)
 Briga o sigurnosti i izobrazba
 Proces implementacije sigurnosne politike

2. ANALIZA, UPRAVLJANJE I NADZOR RIZIKA
Planiranje sigurnosti informacijskog sustava uvijek počinje s analizom rizika
Scenario poslovnog rizika koji je vezan na snježnu oluju koja izaziva prekid eleketrične
mreže Data centra koji je nužan za obavljanje poslovne funkcije :
Prijetnja:
 Vjerojatnost : 25% da nastupi prekid električne mreekao posljedica oluje
 Izvor prijetnje: snježna oluja
 Događaj prijetnje: prekid električne mree
Posljedice:
 Očekivani gubitak prihoda kao rezultat nerada Data centra i ureda: 2.5 M$
Mjerenje veličine rizika:

 Kvantitativno (numeričke veličine – novčani iznos)
 Kvalitatitvno (skala veličina: Low, Medium , High)
Upravljanje rizikom
Donošenje odluke o :
 prihvaćanju rizika
 smanjenje rizika
 prijenosu rizika

Ključna pitanja u vezi s procesom upravljanja rizikom:
1. Što se može dogoditi (događaj prijetnje) ?

2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ?
3. Kako se često ona moe dogoditi (frekvencija pojave prijetnje, godišnje) ?
4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?
Proces smanjenja rizika
Kvantitativna procjena rizika- pojmovi i definicije
Godinji očekivani gubitak (GOG)
JOG * GUP = GOG gdje je,
JOG – jednostruki godišnji gubitak uz pojavu jedne prijetnje godišnje.

GUP – učestalost pojave prijetnje u toku jedne godine
Uspostavlja osnova za analizu trošak/dobiti.
Godinja učestalost pojave prijetnje (GUP)
To je veličina koja daje frekvenciju pojave prijetnji koja se očekuje kroz godinu.

Faktor izlaganja (kompromitacije) (FI)
Ovaj faktor predstavlja mjeru veličine gubitka ili utjecaja prijetnje na vrijednost
informatičkog sredstva.. Taj faktor se koristi u računaju JOG veličine.
Informacijsko sredstvo
Informacijsko sredstvo je dio informacijskog sustava koje organizacija mora imati kako bi
obavila svoju poslovnu misiju.
Kvalitativnost/Kvantitativnost
Tehnike analiza rizika i procjene ne mogu se promatrati binarno, kao kvantitativne ili
kvalitativne, nego prema stupnju u kojem se neki elementarni faktori kao vrijednost sredstva,
faktor izlaganja (kompromitiranja sredstva) i frekvencija prijetnja mogu imati pridružene
kvantitativne vrijednosti.
Vjerojatnost
Ovaj pojam opisuje ansu ili mogućnost da se dogodi neki događaj, odnosno da se dogodi
gubitak ako se taj događaj desi.
Rizik
Potencijal za pojavu štete ili gubitka, koji se najbolje izražava kao odgovor na četiri pitanja :
1. Što se može dogoditi (događaj prijetnje) ?

2. Ukoliko se prijetnja realizira, koliko ona može biti štetna (utjecaj prijetnje) ?
3. Kako se često ona moe dogoditi (frekvencija pojave prijetnje, godišnje) ?
4. Koliko su izvjesni odgovori na gornja pitanja ( prepoznavanje neizvjesnosti) ?
Analiza rizika
Analiza treba identificirati prijetnju ranjivosti, povezujuću prijetnju sa sredstvom,

identificirati potencijal i prirodu neželjenog rezultata, te identificirati i vrednovati sigurnosne
mjere koje smanjuju rizik.
Procjena rizika
Ovaj pojam podrazumijeva pridruživanje vrijednosti informacijskom sredstvu, učestalost

prijetnji kroz godinu, posljedice (tj. faktor izlaganja-FI), jednostruki godišnji gubitak i dr.
Upravljanje rizikom
Ovaj pojam podrazumijeva cjelokupni proces, analizu rizika i procjenu rizika, te samo
upravljanje to uključuje proces pridruivanja prioriteta, financiranja, implementiranja i
održavanja sigurnosnih mjera.

Sigurnosne mjere (zaštitni mehanizmi)
Ovaj pojam podrazumijeva mjere i mehanizme koji smanjuju rizik a djeluju kroz detekciju,
prevenciju ili minimizaciju gubitaka koji su povezani sa specifičnom pojavom prijetnje ili
cijele kategorije prijetnji. Sigurnosne mjere se ponekad zovu i kontrole, zaštitne mjere.
Učinkovitost sigurnosnih mjera (zatitnih mjera)
Ovaj pojam predstavlja stupanj, izražen u postocima 0 do 100 %, prema kojem sigurnosna
mjera smanjuje ranjivost.
Jednostruki očekivani gubitak (JOG) ili izlaganje (kompromitiranje sredstva)
JOG = VS * FI gdje je,
VS - vrijednost sredstva
FI - faktor izlaganja
JOG - jednostruki očekivani gubitak
Prijetnja
Definira događaj (poar, krađu, računalni virus i dr) čija pojava ima neeljene rezultate.
Neizvjesnost
Neizvjesnost je tipično mjera inverzna u odnosu na povjerljivost, a to znači ako je

povjerljivost (uvjerenje) nisko, neizvjesnost je visoka.
Ranjivost
Ovaj pojam podrazumijeva nepostojanje ili slabost sigurnosnih mjera koje smanjuju rizik
Razlozi za provođenje analize rizika
 Poboljšana briga o sigurnosti..

 Identificira sredstva, ranjivost i kontrolu. Poboljšana osnova za donošenje odluka.
 Opravdanje troškova za sigurnost.
Koraci analize rizika
 Identifikacija računarskih (informatičkih) sredstava.

 Određivanje ranjivosti.
 Procjena vjerojatnosti pojave i eksploatacije ranjivosti.
 Izračunavanje očekivanog godinjeg gubitka.
 Pregled primjenjivih kontrola i njihovih cijena koštanja.
 Projekcija godinjih uteda prouzrokovanih uvođenjem kontrola.
Identifikacija sredstava - Registar sredstava informacijskog sustava

 Sklopovi (hardware)
 Programi (software)
 Podaci
 Ljudi
 Dokumentacija
 Pomoćni i potroni materijal
Identifikacija ranjivosti sredstava i prijetnji
Pitanja koja treba razmatrati:

 Koji su učinci od nenamjernih grešaka ?.
 Koji su učinci tvrdoglavih zlonamjernih korisnika unutar organizacije (insiders) ?
 Koji su učinci vanjskih korisnika (outsiders) ?
 Koji su učinci prirodnih i fizičkih nepogoda ?
Sredstva i sigurnosna svojstva
Sredstvo Tajnost Integritet Raspoloživost

Sklopovi (HW) Preopterećenost Greška
Uništenje Krađa
Uplitanje (provala) Uništenje
Neraspoloživost
Programi (SW) Krađa Trojanski konj Brisanje
Kopiranje Modifikacije Preseljenje
Piratstvo Uplitanje (provala) Korištenje isteklo
Podaci Otkrivanje Otećenje Izbrisani
Pristup izvana - programska Preseljeni
Izvedeni greška Uništenje
- sklopovska
greška
- korisnička greka
Ljudi Otišli
U mirovini
Završili posao
Na dopustu
Dokumentacija Izgubljena
Ukradena
Uništena
Pomoćna oprema i Izgubljeno
materijal Ukradeno
Otećeno
Predviđanje vjerojatnosti pojave
 Vjerojatnost, iz promatranja podataka opće populacije.

 Vjerojatnost, iz promatranih podataka za specifični sustav

 Procjena broja pojava u danom vremenskom intervalu.
 Procjena vjerojatnosti iz tabele..
 Delphi pristup.
Rangiranje vjerojatnosti pojave
Frekvencija Iznos
Više od jednom dnevno 10
Jednom dnevno 9
Jednom u svaka tri dana 8
Jednom tjedno 7
Jednom u dva tjedna 6
Jednom mjesečno 5
Jednom svaka četiri mjeseca 4
Jednom godišnje 3
Jednom u tri godine 2
Manje od jednom u tri godine 1
Izračunavanje nepokrivenih godinjih trokova (Očekivani godinji gubitak)
Slijedeća pitanja pomau u identifikaciji izvora dokučivosti i nedokučivosti cijene kotanja:
 Koje su zakonske obaveze da se sačuva tajnost ili integritet podataka ?

 Da li oslobađanje tih podataka uzrokuje tetu osobi ili organizaciji? Da li postoji
mogućnost zakonske akcije?
 Da li neovlateni pristup tim podacima moe ugroziti buduće poslovne mogućnosti ?
Može li dati konkurentu neku nezasluženu prednost ? Kakav bi bio gubitak u prodaji ?
 Koji je psiholoki utjecaj na nedostatak računalnog servisa ? Sramota ?, Gubitak
kredibiliteta ? Gubitak posla ? Na koliko kupaca će to imati utjecaja ? Kolika je to
vrijednost ?
 Kolika je vrijednost pristupa podacima ili programima ? Da li bi se ta obrada mogla
odložiti ? Da li se ta obrada može izvesti negdje drugdje ? Koliko bi koštalo da imamo
mogućnost obrade negdje drugdje ?
 Kolika je vrijednost za pristup podacima i programima od strane nekog drugog ? Koliko je
konkurent spreman platiti za taj pristup ?
 Koji problemi mogu proizaći iz gubitka podataka ? Da li mogu biti nadomjeteni ? Da li
se mogu rekonstruirati ? Sa koliko potrebnog rada ?
Pregled novih kontrola

 kriptografske kontrole
 sigurnosni protokoli
 kontrola razvoja programa
 kontrola uvjeta izvođenja programa
 mogućnosti zatite operacijskih sustava
 identifikacija

 autentifikacija/ovjera
 izgradnja i uvođenje sigurnih operacijskih sustava
 kontrola pristupa bazama podataka
 kontrola raspoloživosti baza podataka
 kontrola i nadzor zaključivanja o podacima u bazi
 višerazinske kontrole za podatke, baze podatka, mreže i operacijske sustave
 kontrola osobnih računala, proceduralne, fizičke, sklopovske i programske
 kontrola pristupa mreži
 kontrola cjelovitosti mreže
 fizičke kontrole i dr.
Utede kroz uvođenje projekta sigurnosti (Return of Investment - ROI)

Tablica: Opravdanost nabave programa za sigurnost pristupa
___________________________________________________________________________
Stavka Iznos
Rizik: otkrivanje povjerljivih podataka
tvrtke, izračun na temelju krivih (izmjenjenih) podataka
Cijena obnove ispravnosti podataka: 1000 000 $ (VS)
10 % vjerojatnost na godinu (1 u 10 god. - GUP = 0.1) $100 000 (GOG)
Učinkovitost programa kontrole: 60 % -$60 000 (FI = 40 %)
Troškovi nabve programa +$25 000
Očekivani godinji trokovi zbog gubitka i kontrole
$100 000-$60 000+$25000 $65 000
Ušteda: $100 000 - $65 000 $35 000
Tablica: Analiza troškovi/dobit za nadomjestak mrežnog pristupa
Stavka Iznos
Rizik
Novlašteni pristup podatcima na kom. liniji):
$100 000 (VS) uz 2% vjerojatnosti na godinu $2 000
Neovlateno koritenje rač. sredstava (aplikacije)
$10 000 (VS) uz 40% vjerojatnost na godinu $4 000
Godinji očekivani gubitak (GOG) $6 000
Učinkovitost mrene kontrole: 100 % (FI = 0%) -$6 000
Troškovi kontrole
Hardware ($50 000 uz 5 godišnju amortizaciju) +10 000
Programi ($20 000 uz 5 godina amortizacije) + 4 000
Podrška(ljudi) (svaku godinu) +40 000
Godišnji troškovi $54 000
Očekivani godinji trokovi:
6 000-6 000+54 000 $54 000
Ušteda: $6 000 - $54 000 (gubitak) -48 000

Kvalitativna procjena rizika
Matrica vrijednosti imovine i vrijednosti prijetnji i ranjivosti:
Vrijednost Razina prijetnje

imovine Mala Srednja Velika
Razina ranjivosti
M S V M S V M S V
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
Veličina rizika izraena je u skali od 0 do 8, gdje je 8 veličina najvećeg rizika koji se moe
promatrati u skali :
Low (M) : 1-2

Midle( S): 3-5
High (V) : 6-8
RAZINA
SIGURNOSTI
100%razina
sigurnosti
(nije moguća)
100%
Malo napora
(velika
učinkovitost)
TROŠKOVI
Odnos troškova i dobiti

Dobit
postignuta
sigurnosnim Cilj djelotvornog upravljanja IT rizika mora biti
mjerama optimalna sigurrnost glede poslovnog upravljanja , a
ne u pogledu tehničkih mogućnosti
Trokovi uvođenja sigurnosnih

mjera
DOBIT OSTVARENA SIGURNOSNIM MJERAMA
Ušteda
zbog
sigurnosnih
mjera
Dobit zbog
sgurnosnih mjera

Prosječni gubici zbog Trokovi zbog uvođenja

sigurnosnih incidenata sigurnosnih mjera
Odnos organaizacijskih i tehničkih mjera/kontrola

Argumenti protiv analize rizika
 Netočnost/nepreciznost
 Pogrean osjećaj preciznosti
 Nepromjenjivost
 Nema znanstvene podloge
Metode izgradnje sigurnosti informacijskog sustava

Sigurnosni plan
 Plan vitalnih zapisa

 Plan kontrole pristupa
 Plan akcija u slučaju opasnosti (plan upravljanja incidentima)
 Plan privremene obrade (plan kontinuiranog poslovanja)
 Program klasifikacije podataka

Politika osiguranja sredstava – sigurnosna

politika
Identifikacij Procje Izgradnja Analiza

Definiranje na kontrola učinkovitosti
a izlaganja rizika troškova
popisa
sustava
Predloženi sigurnosni
sustav
Fischerova metoda izgradnje sigurnosti sustava

(Model životnog ciklusa)
Fischerovu metodu sačinjavaju slijedeći koraci:

 Popis i definiranje informacijkse imovine (podataka, programa,..)

 Identifikacija izlaganja (ranjivosti) sustava
 Analiza rizika
 Izgradnja i uspostava kontrola (sigurnosnih mjera)
 Analiza utroška i djelotvornosti
Postojeći modeli sigurnosti informacijskih sustava (konceptualni)
 prstenasti model
 matrični model
 model životnog ciklusa. (Fischerova metoda, PDCA,..)

Prijetnje i obrana prema prstenastom modelu (AFIPS)
Zakonski i socijalno
Raspoloživost sustava zahtijevano
ovlaštenje
DOBRO IZVRŠENJE OPERACIJA

Uhođenje
OSOBLJE I Prijevara
OPERACIJSKI SUSTAV
KONTROLA
Štrajk PRISTUPA
INPUT/
PROGRAMI
OUTPUT BAZA
Sabotaža PODATAKA
KOMUNIK
ACIJE
SPREMIŠTE
Krađa
Oluja Razuzdanost
Zemljotres Štrajkovi
Vatra Industrijske nesreće
Potop Gubitak opksrbe
Svjetlo

Matrični model (Parkerove sigurnosne dimenzije)
Kontrola skladišta
Primljeni računi
Time Sharing
Upravljanje
Operacijski
Nadzor
Plaće
.
.
.
Ispravak APLIKACIJE Sustavsko
planiranje &
Standardi
Oporavake
DATA PROCESSING ACTIVITIES

Sustavsko
programiranje
Otkrivanje
FUNKCIJE
Sigurnosne
Dimenzije
Programiranje
aplikacija
Sprečavanje
Operacije
(obrada)
Zastrašivanje
Odvraćanje
STRUČNE EXPERTIZE
Operativne
Fizičke
Tehničke
Personalne
Proceduralne
Upravljačke

Problemi sigurnosnih modela
Ono što su:

 pasivni atributi.
 statički modeli,
 kategorijski
 topološki.
 slikoviti modeli.
Ono što treba:
 logički modeli,
 dinamičniji,
 fluidni
 aktivni;
 modeli koji dozvoljavaju razmatranje različitih informacijskih
sustava.
Statički modeli sigurnosti :
SIGURNOST = ANALIZA RIZIKA +
SIGURNOSNA POLITIKA +
DIREKTNE TEHNIČKE MJERE SIGURNOSTI +
NADZOR/AUDIT
Dinamički modeli sigurnosti (često se nazivaju adaptivni modeli ):
SIGURNOST = ANALIZA RIZIKA +

SIGURNOSNA POLITIKA +
PROVEDBA +
PRAĆENJE PRIJETNJI/RANJIVOSTI +
ODGOVOR NA PRIJETNJE/RANJIVOST

Kružni model upravljanja rizikom

Plan-Do-Check-Act (PDCA) model
#1.
#4. Provođenje ocjene Formiranje osnove
za sigurnosni
Redefiniranje rizika program i zahtjeve
ako je potrebno (Planiranje)
Provođenje Implementacija i
ocjene stanja provođenje
rizika sigurnosnih mjera
 Procedure
 Tehničke mjere
#3. #2.
Mjerenje učinkovitosti Implemetacija sigurnosnog
(Pregledi i nadzor) programa i upravljanje
Osnovni principi upravljanja rizikom

 Ocjena rizika i određivanje potreba
 Uspostava točke centralnog upravljanja
 Implementacija odgovarajućih politika i odgovarajućih kontrola
 Promocija brige o sigurnosti
 Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola)
Nakon ocjene rizika njihovih poslovnih operacija, organizacija treba:
 Uspostaviti (donijeti) sigurnosne politike i odabrati sigurnosne mjere

 Povećati brigu korisnika za politike i sigurnosne mjere
 Nadgledati učinkovitost politika i kontrola
 Upotrebiti dobivene rezultate kako bi se modificirale politike i kontrole koje su potrebne.

Primjeri uspješne prakse
1. Princip: Ocjena rizika i određivanje potreba
 Praksa 1. Prepoznavanje informacijskih sredstava i važnijih vrijednosti organizacije

koja se mora zaštititi:
 Praksa 2. Razviti praktične procedure ocjene rizika koje povezuju zatitu i sigurnost
informacija sa poslovnim potrebama: na primjer: organizacija može koristiti automatizirane
liste za kontrolu (check list) za ocjenu rizika.
 Praksa 3. Održavanje odgovornosti za rukovoditelje programa i poslovnih funkcija:
 Praksa 4. Upravljanje rizicima na kontinuiranoj osnovi:
2. Princip: Uspostava točke centralnog upravljanja
 Praksa 5. Određivanje centralne grupe koja provodi ključne aktivnosti:

 Praksa 6. Organizacija treba omogućiti centralnoj grupi nezavisan pristup izvrnim
direktorima.
 Praksa 7. Određivanje(uspostava) namjenskog financijskog fonda i osoblja.
 Praksa 8. Poboljšanje profesionalnosti i tehničkih vjetina osoblja
3.Princip: Implementacija odgovarajućih politika i odgovarajućih kontrola
 Praksa 9. Povezivanje politika sa poslovnim rizicima.

 Praksa 10. Razlikovanje politika od vodiča.
 Praksa 11. Potpora politikama kroz centralnu grupu za sigurnost informacija.
4. Princip: Promocija brige o sigurnosti
 Praksa 12. Kontinuirana izobrazba korisnika i drugih o rizicima i njima pripadajućim

politikama.
 Praksa 13. Upotreba tehnika koje potiču panju i koje su «user friendly».
5. Princip. Nadzor i vrednovanje politike i učinkovitosti sigurnosnih mjera (kontrola)
 Praksa 14. Nadzor faktora koji utječu na rizik i koji pokazuju učinkovitost informacijske
sigurnosti (IA).
 Praksa 15. Upotreba dobivenih rezultata za usmjeravanje budućih napora i odravanje
odgovornosti rukovoditelja.
 Praksa 16. Potrebno je konstanto biti u potrazi za novim alatima i tehnikama za nadzor
(monitoring).
Zaključak
Proces upravljanja rizikom je integralni dio svakog programa sigurnosti (IA). Potrebno je započeti sa
identifikacijom postojećih prijetnji na informacijske sustave te povezati te prijetnje sa ranjivoću
informacijskih sustava. Tada kroz proces ocjene rizika, moguće je početi razvijati isplativi sigurnosni
(IA) program.

3. KONTROLA PRISTUPA i TOKA - MATEMATIČKI MODELI

SIGURNOSTI
Kontrola pristupa
Računalni sustavi upravljaju pristupom podatcima i dijeljenim resursima kao što su memorija,
tampači, diskovi i dr. Oni moraju osigurati pristup tim resursima primarno zbog očuvanja
integriteta informacijske sigurnosti, a ne toliko za očuvanje njegove povjerljivosti.
Subjekti i objekti
Možemo specificirati:
 Što je dozvoljeno subjektu da radi, ili

 to moemo učiniti sa pojedinim objektom.
Operacije pristupa
Modovi pristupa
Na osnovnoj razini subjekti mogu pregledavati ili mijenjati objekte. Prema tome definiramo
dva moda pristupa:
 Pregled – gleda se samo sadržaj objekta

 Izmjena – mijenja se sadržaj objekta.
Pristupna prava i atributi
Mod/prava Izvedi Dodaj Pročitaj Zapiši

pristupa
Pregled X X
Izmjena X X
Prava pristupa u Bell-LaPadula modelu

Odnosi između pristupnih prava i pristupnih atributa za Multics.
Data segmenti Segmenti direktorija

Čitaj r Status r
Izvedi e Status, promjeni w
Čitaj, pii w Dodaj a
Piši a Pretraži e
Unix
Politika pristupne kontrole je izražena kroz tri operacije :
 Čitaj – čitanje datoteke

 Piši – pisanje u datoteku
 Izvedi – izvedi (program) datoteku
Ove operacije se razlikuju od BLP modela. Na primjer, operacija pisanja UNIX-a ne uključuje
pristup za čitanje.
Kada se primjenjuju prava pristupa na direktorij, tada ta prava imaju slijedeće značenje:
 Čitaj – ispis sadržaja direktorija

 Piši – kreiraj ili promjeni ime datoteke u direktoriju
 Izvedi – pretraži direktorij
Vlasništvo
Odgovornost za postavljanje te politike pristupa::
 Vlasnik resursa određuje kome se dozvoljava da ima pristup. Takva se politika naziva
diskreciona budući je upravljanje pristupom u nadlenosti vlasnika.
 Politika na razini sustava određuje tko ima pravo na pristup. Iz jasnih razloga takva
politika se naziva obvezatna (mandatory).
Struktura kontrole pristupa
 S kao skup subjekta

 O kao skup objekta
 A kao skup pristupnih operacija
Matrica kontrole pristupa
M = (Mso)s S, oO i Mso podskup od A

Primjer takve matrice je dan u donjoj tablici:
Subjekti/objekti Bill.doc Edit.exe Fun.com

Ana izvedi Izvedi, čitaj
Bojan Čitaj, pii Izvedi Izvedi, čitaj, pii
Sposobnosti
Svakom subjektu se pridjeljuju sposobnosti , čime se definiraju pristupna prava subjekta.
Potekoće:
 Teko je doći do spoznaje tko ima dozvolu pristupa za dani objekt

 Vrlo je teško opozvati sposobnosti, budući treba odravati zapise (trag) o svakoj
dodjeli sposobnosti drugim subjektima (trećim stranama).
Liste za kontrolu pristupa (ACL)
ACL spremaju pristupna prava na objekte sa samim objektima.
Pristupne liste su pogodne za operacijske sustave koji upravljaju objektima (resursima)

računalnog sustava.

Sustavi za kontrolu pristupa
Funkcijski, oni se sastoje od dviju komponenti:
1. Skup politika i pravila pristupa: informacija smještena u sustavu, za koju postoje

pravila pristupnih modova koja se moraju poštivati kad subjekti pristupaju
objektima.
2. Skup kontrolnih procedura (sigurnosnih mehanizama) koji provjeravaju upit (zahtjeve
za pristup) prema postavljenim pravilima ( proces validacije upita); upiti tada mogu
biti odobreni, odbačeni ili modificirani, filtrirani za neovlatene podatake.
Sigurnosne politike
Osnovne politike su:
1. Politika minimalnih privilegija

2. Politika maksimalnih privilegija
U zatvorenim sustavima dozvoljavaju se samo eksplicitno ovlašteni (autorizirani)

pristupi.
U otvorenim sustavima zahtjevi koji nisu eksplicitno zabranjeni su dozvoljeni.

Sigurnosna politika:
 Centralizirana
 Decentrlizirana
Moguće su i među politike:
 Hierarhijski decentralizirana autorizacija,

 Vlasništvo.
 Kooperativna autorizacija.

Politike kontrole pristupa
 Mandatna (MAC)
 Diskreciona (DAC)
Mandatna politika
. Klasifikacijske razine su napr.:
0 = Neklasificirano
1 = Povjerljivo
2 = Tajno
3 =Vrlo tajno
Kategorije :
Nuclear – Nato – Inteliligence
Production – Personnel – Engineering _ Administration
SC = (A,C)
A je klasifikacijska razina, a C je kategorija.

SC = (A,C) i SC’ = (A’, C’) :
SC  SC’
onda i samo kao su ispunjeni slijedeći uvjeti:
A  A’ i C’  C
Tako je realcija:

(2, Nuclear)  (3, (Nuclear, nato)
ispravana, verificirana, dok
(2, (Nuclear, nato))  (3, Nato)
nije .
Diskrecione politike
Opoziv propagiranih prava
Mandatne i diskrecione politike nisu međusobno isključive.

Autorizacijska pravila (pravila ovlaštenja)
 Matrica autorizacije.
Ulaz u matrici A[i,j]
Primjer matrice autorizacijedan je u tablici 1.1.
Kontrole pristupa:
 pristup ovisan o imenu (tablica 1.1)
 kontrole koja zavisi od sadržaja.
Sigurnosno pravilo :
(s, o, t, p)
 kontrola na bazi ovisnosti konteksta

 Dodjela ili opoziv pristupnih prva zahtjevan od nekoliko opunomoćenika ,

sigurnosna pravila mogu biti šestorke :
(a,s,o, t,, p, f)
gdje je a opunomoćenik (subjekt) koji dodjeljuje s prava (o,t,p), dok je f

zastavica kopiranja koja opisuje mogućnost da s dalje prenosi prava (o,t,p) na
druge subjekte.
 Pridruenje pomoćnih procedura (AP) sigurnosnim pravilima,
Potpuniji oblik autorizacijskih pravila je :
(a,s,t,o,p,f,{Ci,APi})

Kontrola pristupa temeljena na ulogama (RBAC-Role Based Access

Control)
Matrica pristupa direktno radi sa pristupnim pravima i dodjelom ili opozivom pristupa
resursima (objektima IS-a) prema pojedinačnim dozvolama za subjekte:
 Fino podešavanje
 Veliki trošak upravljanja i administriranja za velik broj korisnika i resursa
 Djelomično rjeenje - korisničke grupe
RBAC - Koncept grupiranja korisnika ,gdje korisnici dijele slične pristupne sposobnosti :
 Lakše administriranje
 Reprezentacija upravljanja pristupom u stvarnom svijetu.
 Generalizirani oblik modela za kontrolu pristupa (simulacije DAC i MAC politika).
Osnove RBAC-a su:
 Dozvole (prava) su pridružene ulogama,

 Korisnicima se pridružuju uloge i
 Odluka o pristupu se donosi na temelju članstva korisnika u primjenjivoj ulozi.
Slika: Osnovni odnosi između uloga, korisnika, dozvola i operacija.
RBAC kao općeniti model kontrole pristupa podrava dva dobro poznata sigurnosna principa:
 Razdvajanje dužnosti (separation of duty)

 Najmanjih prava (least privilege).
Veze korisnika, uloga i dozvola
Konceptualno, ova pridruženja mogu se sjediniti sa dvije Bool-ove matrice - UR {korisnici,

uloge} i PR {dozvole, uloge} definirane kao :

Gdje  simbolizira operator pridruživanja njegove lijeve strane na desni operand, a u, r i p

su skupovi korisnika, uloga i dozvola kojima upravljamo.
Slika 8.2 Pridruženje korisnik-uloga i dozvola-uloga kroz matrični prikaz

Pregled odnosa u RBAC modelu
Formalno, pregledi korisnik-uloga mogu se prikazati preslikavanjem ur i njegog inverza ur-1

što je definirano kao
ur:USERS →2ROLES
ur−1:ROLES →2USERS
Skup uloga koje su pridružene danom korisniku definiran je kao
user_assigned_roles{u) = {r∊ ROLES | UR[u, r] = true}.
Pregledi dozvole-uloge mogu se prikazati preslikavanje pr i njegove inverzije pr-1 što je

definirano kao
pr−1: PERMISSIONS → 2, ROLES
pr−1: ROLES → 2.{PERMISSION}
Skup uloga kojima je pridijeljena pojedina dozvola dan je
permission_assigned_roles(p) = {r ∊ ROLES | PR[p, r] = true}.
Skup dozvola pridruženih pojedinoj ulozi dan je sa
role_assigned_permissions(r) = {p ∊ PERMISSIONS | PR[p, r] = true}.

Hijerarhijski RBAC
Matematički gledano hijerarhija uloga predstavlja parcijalno uređen odnos između uloga
(ROLES x ROLES) to se označava simbolom ≥. Svaki par vezanih uloga (tj. r1, r2 ∊
ROLES) takav da je r1 ≥ r2 opisan slijedećim svojstvima:
 r1 je pridružena seniorska ulogu u odnosu na r2

 r2 je pridružena juniorska uloga u odnosu na r1
 r1 usvaja dozvole od r2 pored svojih vlastitih dozvola. To uključuje da su korisnici sa
seniorskom ulogom r1 automatski podskup korisnika sa juniorskom ulogom r2 .
Odnosi korisnika i njihovih dozvola u seniorskim i juniorskim ulogama
Relacija parcijalnog uređenja ≥ definirana na skupu hijerarhijskih uloga također je opisana

realcijom naslijeđivanja.

SIGURNOSNI MEHANIZMI
Odvajanje politike od mehanizama:

 Diskusija o pravilima pristupa neovisno od mehanizama implementacije.
 Uspoređivanje različitih politika kontrole pristupa ili različitih mehanizama
implementacije iste politike.
 Izgradanja mehanizama sa mogućnoću implementacije različitih politika.
Neispravne implementacije :
1. Odbacivanje dozvoljenih pristupa.
2. Dodjela zabranjenih pristupa.
Vanjski mehanizmi
Cilj :
 Minimizirati moguće prekraje;
 Minimizirati moguće naknadne tete;
 Osigurati procedure oporavka.
Interni mehanizmi
1. Autentifikacija.
 Nešto što korisnikzna (lozinke, kod )
 Nešto što je vlasništvo korisnika (mad. kartice, bađ, i dr)
 Fizičke karakteristike korisnika (otisci , potpis, glas, i dr.)
2. Kontrole pristupa .
3. Mehanizmi nadzora.:
 Faza zapisivanja, gdje su zapisani svi upiti o pristupu i njihovi odgovori (kako
ovlateni tako i odbačeni);
 Faza izvjećivanja, gdje se provjeravaju izvjeća iz predhoden faze kako bi se
detektirali mogući prekraji ili napadi.

MATEMATIČKI MODELI SIGURNOSTI

Zadaća modeliranja sigurnosti je proizvesti visoku razinu, programski neovisnog
konceptualnog modela počevši od specifikacija zahtjeva koji opisuju potrebnu zaštitu
informacijskog sustava.
Sigurnosni modeli zasnovani na teoriji konačnih automata
Ukoliko elimo govoriti o specifičnom svojstvu sustava, kao to je sigurnost, koristeći model
konačnog automata, moramo:
 Identificirati sva stanja koja zadovoljavaju to svojstvo (sigurnost računalnog sustava)

 Provjeriti da li sva stanja tranzicije zadržavaju i dalje to svojstvo.
 Ako su ispunjene gore navedene stavke, i ako je sustav počeo iz inicijalnog stanja koje
je bilo sigurno, tada možemo indukcijom dokazati da se svojstvo sigurnosti sustava
zadržava zauvijek.
Matematički modeli
Podjela:
 diskrecioni
 nediskrecioni (mandatni) modeli.
Diskrecioni modeli upravljaju pristupom korisnika informacijama na osnovi korisničkog

identiteta i specificiranih pravila, za svakog korisnika i svaki objekt, te dozvoljenog načina
pristupa korisnika objektu.
Nediskrecioni (mandatni) sigurnosni modeli upravljaju pristupom pojedinaca informacijama
na osnovu klasifikacija subjekata i objekata u informacijskom sustavu.
Modeli OS DB Diskreciona Mandatna Mandatna Kontrola Kontrola

sigurnost sigurnost politika politika politika toka pristupa
(tajnost) (cjelovitost) informacija
Matrica * * * *
pristupa
Take- * * * *
Grant
Aktivnost- * * * *
Entitet
Wood i * * *
dr.
Bell- * * * * *
LaPadula
Biba * * * * *
Dion * * * * *
Sea View * * * * * *
Jajodia- * * * *
Sandhu
Smith- * * * *
Winslett
Rešetka * *
(Denning)

Ostale podjele:
 Ciljani sustav: na primjer, modeli za zaštitu OS-a, modeli za zaštitu baza podataka ili
oboje
 Vrsta politike: mandatna ili diskreciona.
 Adresirani pogledi na sigurnost: tajnost ili cjelovitost
 Vrste kontrola: neki modeli su orijentirani na kontrolu direktnog pristupa, indirektnog
pristupa ili kontrolu toka informacija.
U opisu modela sigurnosti bit će razmatrani slijedeći aspekti:
 Subjekti.
 Objekti.
 Načini pristupa.
 Politike.
 Autorizacije/ovlaštenja.
 Administrativn prava.
 Axiomi.

Subjekti
Korisnici Administratori sigurnosti
Zahtjevi za
operacijama admin.
Administrativna
Procesi Kontrola prava
operacija
administriranja
Zahtjevi za
pristupom
Zahtjev
Kontrola Zahtjev autoriziran
pristupa odbačen
Autorizacija
Načini Zahtjev
pristupa odbačen Aksiomi i
politike
Zahtjev
autoriziran
Objekti
Elementi modela sigurnosti u sigurnosnom sustavu

Harrison-Ruzzo-Ullman (HRU) model matrice pristupa
.
Stanje autorizacije/ovlaštenja
Q = (S,O,A), gje je:
 S je skup subjekata, koji predstavljaju aktivne entitete koji koriste sredstva sustava, te od
kojih se sustav mora zaštititi.
 O je skup objekata, koji predstavljaju entitete koji se moraju zaštititi. Takav skup se
sastoji i od pasivnih entiteta(sredstva sustava) i od aktivnih entiteta (subjekata).
 A je matrica pristupa. Redovi matrice odgovaraju subjektima, a stupci objektima. Element
matrice A[s,o] sadri podatke o načinu pristupa za koje je ovlaten subjekt s kad pristupa
objeku o.
Subjekti/Obje O1 ... Oj ... Om

kti
S1 A[s1,o1] A[s1,oj] A[s1,om]
.
.
Si A[si,o1] A[si,oj] A[si,om]
.
.
Sn A[sn,o1] A[sn,oj] A[sn,om]
Matrica pristupa
Načini/modovi pristupa
 čitaj,
 piši,
 dodaj,
 izvedi,
 “vlastitost” privilegija (pokazuje na vlasništvo).

Operacije
Operacije Rezultirajuće stanje Q=(S,O,A)

Uvjeti
Unesi r u A[si,oj] si   S S‘=S
oj  O’ = O
A’[si,oj] = A[si,,oj] U {r}
A’[sm,ok] = A[sm,,ok] k  j, m  i,

Izbriši r iz A[si,oj] si   S S‘=S
oj  O’ = O
A’[si,oj] = A[si,,oj] - {r}
A’[sm,ok] = A[sm,,ok] k  j, m  i,
Kreiraj subjekt si si  S S' =S  { si}

O' = O  { si}
A'[s,o] = A[s,o] s  S, o 
A’[si,o] =  o  '
A’[s,oj] =  s  S'
Kreiraj objekt oj oj  O S‘=S

O' = O  {oj}
A'[s,o] = A[s,o] s  S, o 
A’[si,oj] =  s  S'
Uništi subjekt si si  S
S' = S - { si}
O' = O - { si}
A'[s,o] = A[s,o] s  S', o  '
Uništi objekt oj oj  S‘=S

oj  S O' = O - {oj}
A'[s,o] = A[s,o] s  S', o  '
Primitivne operacije nad matricom pristupa

Naredbe
Command c(x1, ... , xk)

if r1 u A[xs1, xo1] and
r2 u A[xs2, xo2] and .
.
rm u A[xsm, xom] and
then op1
op2
.
.pn
end
Q = Q0  op1* Q1  op2* …  opn* Qn = Q'
command CREATE(process, file)

create object file
enter O into A(process, file)
end.
command CONFERread(owner,friend,file)
if O in A[owner,file]
then enter R into A[friend, file]
end.
command REVOKEread (owner, friend, file)

if O in A[owner,file]
then delete R from A[exfriend, file]
end.
command NEWCREATE(process,file)
create object file
enter O into A[process, file]
enter R into A[process,file]
enter W into A[process, file]
end.
Administriranje ovlaštenja/autorizacije
Neka m bude generički mod pristupa:
 Ovlaštenje m* u A[s,o] matrice pokazuje da je s ovlašten za dodjelu privilegije m na

objekt o drugim subjektima.
comand TRANSFERread (subjekt1, subjekt2, file)

if R* in A[subjekt1,file]
then enter R into A[subjekt2, file]
end.

 Ovlaštenje m+ u A[s,o] matrice pristupa ukazuje da s može prenijeti drugim

subjektima privilegije na objektu o, ali time gubi privilegiju i mogućnost za daljnju
dodjelu.:
Command TRANSFER-ONLYread(subjekt1, subjekt2, file)

if R+ in A[subjekt1,file]
then delete R+ from A[subjekt1,file]
enter R+ into A[subjekt2 ,file]
end.
Primjena modela
A[s,o]
S O
P1 F1 Own, R, W
P1 F2 E, R+
P1 M1 R, W, E
P1 P2 Ctrl
P2 F1 R, W
P2 M1 W
P3 F1 R, W, E+
P3 F2 Own, E
P3 M2 W, E
a)
F1 Own,R,W
+
F2 E, R
P1 M1 R,W,E
P2 P2 Ctrl
F1 R,W
P3
M1 W
+
F1 R,W,E
F2 Own, E
M2 W, E
M1 W
b)

P1 Own,R,W
P2 E, R+
F1
P3 R,W,E
P4 Ctrl
F2
P1 R,W
M1
P2 W
P1 R,W,E+
P2 Own, E
P3 W, E
P4 W
c)
Alternativne metode spremanja matrice pristupa a) tablica s poljima (S,O,A), b) lista

sposobnosti, c) ACL lista

Problemi s diskrecionim modelima
Program P
(a)
.........
.........
read f1
write f2
Datoteka f1 Datoteka f2
A
B
C
D
vlasnik y
vlasnik x (x, write, f2)
P rogram P
(b)
.....
.....
read f1
w rite f2
datoteka f1 datoteka f2
A A
B B
C C
D D
vlasnik x vlasnik y
(x, w rite, f2)
Primjer Trojanskog konja: (a) program P sadrži skriveni kod za pristup datoteci f1 i f2; y
može dodjeliti pravo pisanja na f2; (b) nakon to korisnik x započne program, korisnik y ima
pristup informaciji koja je prenesena iz datoteke f1(na koju korisnik y nema pravo čitanja) u
f2 (koju on moe čitati).
.

Nediskrecioni (mandatni) modeli sigurnosti

Bell-LaPadula model (BLP)
.
Sigurnosna razina :
 klasifikacija
 skup kategorija.
Klasifikacija je element skupa koji se sastoji od četiri elementa: Vrlo tajno(TS); Tajno(S);
Povjerljivo(C); Neklasificirano(U). To je potpuno uređen skup za koji vrijedi:
TS > S > C > U.
Skup kategorija je podskup nehierarhijskog skupa elemenata ( područja primjene

informacija ili područja pripadnosti podataka). Primjeri kategorija mogu biti Nato, Nuklearni
odjel, Kripto zavod i dr.
Skup sigurnosnih razina formira rešetku , koja je parcijalno uređena prema relaciji
dominacije ().
Sigurnosna razina L1=(C1,S1) je viša ili jednaka (dominira) nad sigurnosnom razinom
L2=(C2,S2) onda i samo ako vrijede slijedeće relacije:
C1C2 i S1S2, gdje C odgovara klasifikaciji, S skupu

kategorija.
Za dvije sigurnosne razine L1 i L2 za koje ne vrijedi da je L1L2 niti L2L1 kažemo da nisu
usporedive.
Sigurnosna razina korisnika(subjekta) koja se naziva čistoća(clearance) korisnika.
Sigurnosna razina objekta odražava osjetljivost informacija koju on sadrži.
Modovi pristupa:
 Samo za čitanje
 Dodavanje
 Izvođenje: izvedi objekt (program)
 Čitaj-piši : piši u objekt.
Stanje sustava
Stanje sustava je opisano četvorkom (b,M,f,H) gdje su :

 b je trenutni skup prava.
 M je matrica pristupa koja opisuje prava subjekta na svakom objektu.
 f je funkcija razine koja svakom subjektu i objektu pridružuje njegovu razinu
sigurnosti.
 H je hijerarhija trenutnih objekata.
Operacije
 dobiti pravo : mijenja se b – dodjeljuje se odgovarajuća trojka u b

 oduzeti pravo: mijenja se b - ukida se odgovarajuća trojka u b
 dati pravo: prijenos prava sa jednog objekta na drugi
 povući pravo: oduzeti dana prava
 kreirati objekt: aktiviranje neaktivnog objekta i uključivanje u hijerarhiju H kao
čvora
 brisanje objekta: brisanje čvora iz H, a to povlači i brisanje svih prava po objektu
 mijenjanje nivoa sigurnosti subjekta
 mijenjanje nivoa sigurnosti objekt
Aksiomi
 Svojstvo jednostavne sigurnosti ili svojstvo “ne-čitaj-od-gore”

o (ss property– simple security)
 Svojstvo zvijezde (*-property) ili svojstvo “ne-piši-na-dolje”
 Princip neuznemiravanja
 Svojstvo diskrecijske sigurnosti (ds-property )
Proširena verzija Bell-LaPadula modela:
 nedostupnost neaktivnih objekata

 prepisivanje neaktivnih objekata
.
Ova svojstva (pravila) mogu se prikazati slikovito prema sigurnosnom dijagramu toka koji je
dan na slici 12.1.

Biba model
Razina cjelovitosti:
 klasifikacija
 skup kategorija.
Klasifikacija je element uređenog tročlanog skupa : krucijalno (C), vrlo važno (VI) i važno
(I) uz C>VI>I.
Skup kategorija odgovara skupu kategorija u Bell-LaPadula modelu.
Dion model
U ovom se modelu kombinira kontrola tajnosti iz Bell-LaPadula modela i principi striktnih
prava integriteta iz Biba modela podataka. Razine sigurnosti i razine integriteta se koriste
kako su definirani u modelu Bell-LaPadula i Biba modelu

Clark-Wilson model
Clark-Wilson model koristi se kod sigurnosnih zahtjeva komercijalnih aplikacija koji se
uglavnom odnose na integritet podataka, a to znači sprečavanje neovlaštene izmjene
podataka, prijevare i greške.
Zahtjevi na integritet dijele se na dva dijela:
 Internu konzistentnost: koja se odnosi na interno stanje sustava koje se održava

samim računalnim sustavom
 Eksternu konzistentnost: koja je usmjerena na odnos internog stanja sustava prema
stvarnom svijetu te koja se treba provoditi izvan računalnog sustava na primjer preko
nadzora (auditing).
Opći mehanizmi za provođenje i očuvanje integriteta su:
 Dobro formirane transakcije : podatcima se moe manipulirati od strane specifičnog

skupa programa, korisnika koji imaju pristup programima radije nego samim
podatcima
 Razdvajanje dužnosti : korisnici trebaju surađivati kako bi manipulirali s podatcima,
te se moraju tajno dogovarati kako bi penetrirali u sustav.
Kod primjene Clark-Wilson modela integritet znači:
Biti ovlašten koristiti program za pristup podatcima kojima se može pristupiti samo
preko tog programa.
U Clark-Wilson-ovom modelu gleda se na slijedeće korake:
1. Subjekti se moraju identificirati i autentificirati.

2. Na objektima moe raditi samo ograničeni skup programa.
3. Subjekti mogu izvoditi samo ograničeni skup programa.
4. Potrebno je održavati adekvatan zapis (log) o aktivnostima.
5. Sustav treba certificirati kako bi bili sigurni da dobro radi.
U formalizaciji ovog modela, podatci kojima se upravlja kroz sigurnosnu politiku nazivaju se
ograničeni podatci (CDI-constrained data items). Ulazni podatci u sustav uključeni su kao
neograničeni podatci (UDI - unconstrained data items) .
Sa CDI podatcima mogu raditi samo transformacijske procedure (TP). Integritet stanja tih
podataka se kontrolira kroz verifikacijske procedure za integritet (IVP).
Sigurnosna svojstva su definirana kroz pet certifikacijskih pravila:
1. IVP provjerava da li su svi CDI podatci u ispravnom stanju po svakom izvođenju TP-
a.
2. TP-ovi moraju biti certificirani da su ispravni, tj. valjani CDI mora biti transformiran
opet u valjani CDI podatak. Svaki TP je certificiran za pristup posebnom skupu CDI
podataka.
3. Pravila pristupa moraju zadovoljiti svaki zahtjev za razdvajanjem dužnosti.

4. Sve TP procedure moraju zapisivati svoje aktivnosti u dnevnik (log) na principu

dodavanja zapisa (append).
5. Svaki TP koji prihvati (uzima) UDI kao ulaz mora ga konvertirati u CDI ili ga mora
odbaciti te uopće ne provodi transformaciju.
Četiri pravila za provođenje opisuju sigurnosne mehanizme unutar računalnog sustava koji
provode sigurnosnu politiku. Ova pravila ukazuju na sličnost sa kontrolom pristupa u BLP
modelu.
1. Sustav mora održavati i zaštiti listu ulaza (TPi:CDIa, CDIb, …) koja daje popis CDI-a
za koje je TP certificiran za pristup.
2. Sustav mora održavati i zaštiti listu ulaza (UserID, TPi:CDIa, CDIb, …) koja daje
specifikaciju TP procedura koje mogu izvoditi korisnici.
3. Sustav mora autentificirati svakog korisnika koji zahtjeva izvođenje TP procedure.
4. Samo subjekt koji je certificiran za izmjenu pristupnih pravila TP-a može mijenjati
odgovarajuće ulaze u listi. Taj subjekt nema prava za izvođenje te TP procedure.
Zaključno moemo reći da je Clark-Wilson model prije svega okosnica i smjernica za

formalizaciju sigurnosne politike, a ne model određene sigurnosne politike.

Sea View Model (SEcure dAta VIEW model)

Matematička struktura reetke sigurnosnih razina
elimo imati jednoznačni odgovor na slijedeća dva pitanja:
 Za dva dana objekta na različitim sigurnosnim razinama koja je minimalna razina

sigurnosti koju mora imati subjekt kako bi mu bilo dozvoljeno da čita oba objekta ?
 Za dva dana subjekta na različitim sigurnosnim razinama koja je maksimalna
sigurnosna razina objekta da bi se taj objekt mogao čitati od oba subjekta ?
Definicija: Rešetka (L, ≤) se sastoji od skupa L sigurnosnih razina i parcijalnog uređenja ≤,

tako da za svaka dva elementa a,b є L postoji najmanja gornja granica u є L i najveća
donja granica l є L, tj.
a ≤ u, b ≤ u i za svaki v є L : (a ≤ v ۸ b ≤ v ) → (v ≤ u)
l ≤ a, l ≤ b i za svaki k є L : (k ≤ a ۸ k ≤ b ) → (l ≤ k)
U sigurnosti mi kaemo ˝a je podređeno b˝ ili ˝b je nadređeno a˝ ako je a ≤ b.
Tipičan primjer:
 L je P ({a, b, c}), skup svih podskupova (power set) od {a, b, c}.
 Parcijalno uređenje je relacija između podskupova, a to je relacija podskupa  .
A, B є P ({a, b, c}) postavljamo strelicu od A prema B ako i samo ako je A podskup od B i

ako je A ≠ B i ako ne postoji C є P ({a, b, c}) takav da je A < C < B i da je A ≠ C i B ≠ C.

Rešetka (P({a,b,c}),  )

Više razinske baze podataka (MLS DB)

Ukoliko želimo sakriti postojanje podataka veće osjetljivosti i da spriječimo aktiviranje tajnih
kanala pribjegavamo pojmu višepojavnosti podataka u bazi kako bi:
 sačuvali jedno od najvanijih svojstava baze a to je njen integritet,
 spriječili otkrivanje povjerljivih podataka putem tajnih kanala.
Za realizaciju tih kontrola pristupa koriste se mandatne politike (MAC) prema principima
BLP i Biba modela (Sea View model).
Označavanje objekata
Oznake su:
 Oznaka baze podataka: za odluku da li korisnik može pristupiti relacijama unutar
baze
 Oznaka relacije: za odluku da li je korisniku dozvoljeno da pristupa n-torkama unutar
relacije (tablice)
 Oznaka n-torke: za odlučivanje da li je korisniku dozvoljeno da pristupi svim
elementima unutar n-torke
 Oznaka elementa: za odlučivanje da li je korisniku dozvoljeno da pristupi elementu.
Sigurnosna politika treba biti:

 Potpuna: sva polja u bazi podataka su zatićena, i
 Konzistentna: da ne postoje konfliktna pravila koja upravljaju pristupom podacima.
Konzistentno adresiranje
 Bazu podataka D;
 Relaciju R unutar baze podataka D;
 Primarni ključ za n-torku r unutar relacije R
 Atribut i , koji identificira element ri unutar n-torke r.
Kako bi došli do elementa ri moramo zadovoljiti slijedeći odnos pristupnih klasa:
fo(D) ≤ fo(R) ≤ fo(r).
fo(ri) ≤ fo(r)
Višepojavnost (polyinstantiation)
U MLS DB modelu (˝low˝ korisnik), korisnik niske razine povjerenja ne zna za postojanje
podataka visoke razine.
Imamo tri opcije:
 Odbiti provođenje ažuriranja: no na taj način otkrivamo informaciju da postoji

podatak više osjetljivosti,
 Prepišemo staru vrijednost: time ne otkrivamo postojanje informacije više
osjetljivosti, ali je uništavamo,
 Izvodimo ažuriranje ali zadržavamo staru vrijednost: to se zove višepojavnost.

Višerazinske tablice mogu razmatrati kao trodimenzionalna struktura sa slijedećim

koordinatama:
 Originalni primarni ključ

 Atribut
 Pristupna klasa
Sada možemo definirati integritet višepojavnosti za MLS DB :
Ako dvije n-torke u relaciji imaju isti primarni ključ i odgovarajući ulazi za neke atribute
imaju istu pristupnu klasu tada su i vrijednosti podataka tih atributa iste. Ako dvije n-torke
relacije u bazi imaju isti primarni ključ i ako postoje neki atributi koji imaju različite
pristupne klase tada i vrijednosti podataka tih atributa moraju biti različite
Drugi dio pravila osigurava da trebamo samo jednu elementarnu operaciju kako bi došli do
podatka iz višepojavne relacije.

SEcure dAta VIEW model je model sigurnosti zaštite relacijskih baza.

Kontrola pristupa:
 diskrecijske i
 mandatne smjernice
Razine modela:
 Model kontrole mandatnog (obvezatnog) pristupa ( MAC – model, Mandatory
Access Control ) -Referentni monitor.
 Model povjerljive baze ( TCB – model, Trusted Computing Base )-diskrecijska
kontrola za višerazinske relacije.
Subjekti
Objekti
Diskreciona
politika
TCB Model Višerazinska baza
(MLS DB)
MAC objekti
Jednorazinska baza
(SL DB)
Obvezatna Referentni monitor

politika MAC Model BLP + Biba model
(mandatna)
Pristup subjekta
odbačen ili
odobren
SEcure dAta VIEW Model

(Sea View model)
MAC model
Obavezne smjernice kojima se sumiraju aksiomi Bell-LaPadula i Biba modela su

formalizirane preko subjekata, objekata i klasa pristupa.
Klase pristupa
 klasa tajnosti
 klasa integriteta.
Pristupne klase Sea View modela formiraju rešetku prema parcijalno uređenoj relaciji
dominacije ().

Za dvije klase C1 =(X1,Y1) i C2=(X2,Y2) vrijedi da je:

C1 C2
onda i samo ako je X1  X2 i Y1 Y2, gdje su X1,X2 klase tajnosti, a Y1,Y2 su
klase integriteta.
Na primjer:
Pristupna klasa {(TS,Nato), (I,Nato)} dominira nad klasom {(S,Nato), (VI,Nato)}; dok su
klase {(TS,Nato), (VI,Nato)} i {(S,Nato), (I,Nato)} neusporedive.
Objekti
Objekti u MAC modelu su kontejneri koji sadrže informacije, a pristup kojima se mora
kontrolirati.
Subjekti
Subjekti u MAC modelu su procesi pokrenuti na zahtjev korisnika.
 (mintajnost, maxintegritet) naziva se klasa pisanja subjekta.

 (maxtajnost, minintegritet) naziva se klasa čitanja subjekta.
Modovi pristupa
 čitanje
 pisanje
 izvođenje
Aksiomi
Izvođenje pristupnih modova nad objektima MAC modela provodi se koritenjem skupa
aksioma. Ti aksiomi sumiraju principe Bell-LaPadula i Biba modela.
(1) Svojstvo čitanja

readclass(s)  access class(o).
(2) Svojstvo pisanja

writeclass(s)  accessclass(o)
(3) Svojstvo izvođenja
Subjekt može izvesti neki objekt samo ako je njegov maxintegritet manji ili
jednak od klase integriteta objekta, ta ako je njegova maxtajnost veća ili
jednaka od klase tajnosti objekta koji se izvodi.

Kombinirana svojstva za povjerljive subjekte
TCB model
Ovaj model definira višerazinske relacije i formalizira pravila diskrecijske sigurnosti.
Višerazinske relacije
R(A1,C1, ... , An,Cn,Tc)
A1 C1 A2 C2 A3 C3
Ime CA1 Odjel CA2 zarada CA3 TC
Branimir U Odjel A U 10000 U TS
Ana TS Odjel A TS 10000 TS TS
Ana U Odjel B U 20000 U C
Stjepan S Odjel B S 20000 S S
Primjer relacije sa klasifikacijskom oznakom svakog atributa
Klasifikacija objekata u ovom modelu mora zadovoljiti slijedeća svojstva:
(1) integritet klase baze

Klasa pristupa relacijske sheme mora biti nadređena nazivnoj klasi baze kojoj
pripada
(2) Svojstvo vidljivosti podataka
Klasa pristupa relacijske sheme mora biti podređena najnižoj klasi pristupa
podataka koji se može pohraniti u neku relaciju. Najviša donja granica raspona
klasa pristupa danih za neki atribut mora biti nadređena klasi pristupa relacijske
sheme.
(3) Klasa integriteta za poglede

Klasa pristupa pogledu (view-u) mora biti nadređena klasi pristupa bilo koje
relacije ili pogleda imenovanog u definiciji pogleda.
Svojstva koja moraju biti zadovoljena u klasifikaciji višerazinskih relacija su:
(1) višerazinski integritet entiteta

(2) višerazinski referencijalni integritet

Branimir U Odjel A U 10000 U TS
 Ana TS Odjel A TS 10000 TS TS
 Ana U Odjel A U 20000 U S
Višepojavna n-torka uz PK=(Ime,Odjel))
Subjekt klasifikacije S će od gornje vierazinske relacije vidjeti slijedeće:

Ana U Odjel A U 20000 U S
.
Pristup višerazinskim relacijama
(1) čistoća subjekta je podređena klasi pristupa podacima (ili je

neusporediva)
 Višepojavna n-torka se pojavljuje kada subjekt umeće n-torku koja ima iste
vrijednosti za primarni ključ kao postojeća ali je za taj subjekt nevidljiva.
 Višepojavni element se pojavljuje uvijek kada subjekt ažurira ono što se
pojavljuje kao nul element u n-torki, što zapravo skriva podatak sa više (ili
neusporedive) pristupne klase.
Primjer:
Razmotrimo li vierazinsku relaciju sa slijedeće slike :
A1 C1 A2 C2 A3 C3
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Stjepan TS Odjel B TS 30000 TS TS
te pretpostavimo da S-subjekt zahtjeva slijedeću operaciju:

INSERT INTO Djelatnik

VALUES Stjepan, Odjel A, 10000
rezultirajuća relacija koja sadri vierazinske n-torke izgleda:
A1 C1 A2 C2 A3 C3
Stjepan S Odjel A S 10000 S S
Kao drugi primjer upotrebimo istu relaciju nad kojom S-subjekt izvodi slijedeću
operaciju:
UPDATE Djelatnik
SET zarada = “20000”
WHERE Ime = “Ana”
Rezultirajuća vierazinska relacija sadrži višepojavni element kako je prikazano :
A1 C1 A2 C2 A3 C3
Ana S Odjel B S 20000 S S
(2) čistoća subjekta je nadređena klasi pristupa podacima
 Višepojavnost n-torke pojavljuje se uvijek kada subjekt umeće n-torku koja

ima iste vrijednosti za primarni ključ kao već postojeća n-torka na nižoj razini.
 Viepojavnost elementa događa se uvijek kada subjekt aurira atribut koji ima
vrijednost klasificiranu na nižoj razini.
Za primjer razmotrimo gornju relaciju nad kojom TS-subjekt zahtjeva slijedeću

operaciju:
UPDATE Djelatnik
SET Odjel = “Odjel A”
WHERE Ime = “Ana”
Rezultirajuća relacija, gdje su dodane dvije n-torke, dana je na slijedećoj slici:

A1 C1 A2 C2 A3 C3
Ana S Odjel A TS 30000 TS TS
Ana S Odjel A TS 20000 S S
Kao drugi primjer, koristeći za ulaz istu relaciju kao u prethodnom primjeru, te
pretpostavimo da TS-subjekt zahtjeva slijedeću operaciju:
UPDATE Djelatnik
SET Odjel = “Odjel B”, zarada = “20000”
WHERE Ime = “Branimir”
Rezultirajuća relacija, sa tri dodane n-torke izgleda kao na slijedećoj slici:

A1 C1 A2 C2 A3 C3
Branimir S Odjel B TS 10000 S TS
Branimir S Odjel A S 20000 TS TS
Branimir S Odjel B TS 20000 Ts TS
Smjernice diskrecijske sigurnosti

(1) Modovi pristupa bazi:
null, list, create-mrelation, delete db, grant ,give grant
(2) Modovi diskrecijskog pristupa relaciji
null, select , insert , update(i) , delete-tuple, create-view,
delete-mrelation, reference, grant, give-grant
(3) Modovi pristupa MAC objektima
read, write, null, grant, give-grant
Kontrola pristupa
- Ako korisnik ima eksplicitnu zabranu pristupa objektu, ta zabrana
ima prednost pred pravima koja korisnik ima preko grupe ili
osobno
- Ako korisnik nema osobnu zabranu, a ima osobno pravo na neki mod
pristupa, tada ima samo to pravo pristupa i ne uzima se u obzir pravo
definirano na nivou grupe
- Ako na nivou korisnika nisu specificirana prava na objekt i ako je korisnik
član grupe kojoj pristup nije zabranjen, tada će korisnik imati prava
pristupa jednaka pravima grupe.

Predstavljanje višerazinskih relacija

 Sea View politika zahtjeva da sigurnosni mehanizmi sustava koji provodi
diskrecionu sigurnost i sve ostale politike budu podvrgnuti sigurnosnoj jezgri koja
provodi mandatnu (obvezatnu) sigurnost.
 Sve informacije koje se koriste od TCB moraju se smjestiti u objekte MAC
modela, a pristup njima se nadzire prema mandatnoj politici.To znači da svaka
višerazinska relacija mora biti pohranjena u objektu MAC modela.
 Kako su objekti u MAC modelu jednorazinski, svaka višerazinska relacija se
rastavlja, a podaci se pohranjuju u različite objekte, ovisno o klasi pristupa.
 Ovaj model pruža i način dekompozicije vierazinske relacije na standardne
jednorazinske osnovne relacije relacijskog modela. Pri dekompoziciji se svi
jednovrsno klasificirani atributi promatraju kao cjelina.
 Svaka višerazinska relacija se tada pridružuje na jedan ili više jednorazinskih
objekata (file ili particiju ) tićenih referentnim monitorom koji provodi mandatnu
politiku (MAC).
 Subjekt neće moći pristupiti bilo kom podatku u temeljnoj relaciji ( kako bi
pristupio vierazinskoj relaciji) ako klasa čitanja subjekta ne dominira klasi
objekta koji sadrži spremljene podatke.
Smith i Winslett model (Model uvjerenja subjekta)
Vierazinske baze izgledaju kao niz klasičnih relacijskih baza, po jedna baza za svaku razinu
sigurnosne rešetke.
 Sve baze dijele istu strukturu, a svakoj bazi je pridružena klasa ili nivo sigurnosti.
 Baza na nekom nivou sadrži uvjerenje korisnika tog nivoa o stanju kakvo se odražava u
toj relacijskoj shemi.
 Subjekt vjeruje stanju baze na tom nivou. Subjekt i svi subjekti nižeg nivoa vide ono što
vjeruju da vide.

MODELI ZA KONTROLU TOKA INFORMACIJA

U BLP modelu informacija moe teći s visoke razine osjetljivosti prema niskoj kroz tajne
kanale. Modeli informacijske sigurnosti razmatraju sve vrste toka informacija, ne samo
direktni tok informacija koji je kontroliran kroz operacije pristupa kao što je to modelirano u
BLP modelu. Neformalno, promjene stanja prouzrokuju tok informacija od objekta x na
objekt y, ako moemo doznati o x kroz promatranje objekta y. Ako već znamo x, nema toka
informacije iz x. Mi bi trebali razlikovati:
 Eksplicitni tok informacija : pregledavamo y nakon pridruženja y := x; što nam daje

vrijednost od x.
 Implicitni tok informacija: pregledavamo y nakon uvjetne naredbe
If x=0 then y:=1; što nam može pokazati neto o x čak i ako se pridruenje y := 1 nije
izvelo. Na primjer, ako je y = 2 mi znamo da je x ≠ 0.
Komponente modela toka informacija su:
 Rešetka (L, ≤) sigurnosnih oznaka

 Skup označenih objekta
 Sigurnosna politika: tok informacija od jednog objekta sa sigurnosnom oznakom c1 na
objekt sa sigurnosnom oznakom c2 je dozvoljen samo ako je
c1 ≤ c2 ; svaki tok informacija koji krši ovo pravilo je ilegalan.
Sustav se naziva sigurnim ako ne postoji ilegalnih tokova informacija. Prednost je ovih
modela što pokrivaju sve vrste tokova informacija. Nedostatak je što postaje sve teže
dizajnirati sigurnosni sustav.
Ne-interferentni modeli su alternativa modelima za siguran tok informacija. Oni koriste

različite formalizme kako bi opisali to subjekt zna o stanju sustava.
Subjekt s1 ne interferira (utječe) na subjekt s2 ako aktivnost od s1 ne utječe na pogled od s2
na sustav. To je kao i modeli toka informacija područje jakog istraivanja, jo daleko od
irokih praktičnih rjeenja.
Rešetkasti model za kontrolu toka informacije

Dosad razmatrani modeli bili su orijentirani na onemogućavanje direktnog pristupa
podacima i očuvanje integriteta pri direktnom pristupu. Pri tome se nije uzeo u obzir protok
podataka koji se dešava u objektno orijentiranim sustavima u kojima objekti međusobno
komuniciraju porukama .
Formalna definicija
Model protoka informacija FM je definiran 5-orkom
FM=( N , P , SC ,  ,  )
gdje je :
 N= { a, b, …. } skup objekata koji sadrže informacije.

 P={p, q, …. } je skup procesa koji izazivaju tok podataka.
 SC = { A, B ,…. } je skup sigurnosnih klasa pridruženih odvojenim klasama
informacija
 je binarni operator za kombinacije klasa koji zadovoljava svojstva asocijacije i
komutacije
 je relacija toka kojom se definira tok informacija iz jedne u drugu klasu
Definicija sigurnog modela

Model protoka FM je siguran ako i samo ako ne postoji niz operacija koje bi izazvale tok
koji narušava pravilo relacije “” .
Izvođenje reetkastog modela (rad modela)
Trojka (SC ,  ,  ) formira univerzalnu ograničenu reetku (UOR).

(SC ,  ) je reetka jer zadovoljava slijedeća svojstva:
(1) (SC ,  ) je parcijalno uređen skup jer relacije na SC zadovoljavaju slijedeće:

refleksivnost:  a  SC vrijedi a  a .
tranzitivnost:  a , b ,c  SC: a  b  b  c  a  c .
antisimetričnost:  a , b  SC : a  b  b  a  a = b
(2) SC je konačan.
(3) SC ima donju granicu L:LA  A  SC.
(4)  je operator najniže gornje granice na SC.
Klasifikacije vierazinskih modela mogu se također predstaviti pomoću reetke.

Na primjer , za dani skup nivoa sigurnosti, definiranih na skupu klasa sigurnosti C
Bell-LaPadula modela, te na skupu kategorija S, rešetka je opisana kao:
L1 = (C1,S1) , L2 = (C2,S2)
L1 <= L2  (C1, S1) <= (C2, S2)  C1 <= C2, S1  S2
(C1, S1)  (C2, S2) = (max (C1, C2), S1  S2 )
(C1, S1)  (C2, S2) = (min (C1, C2), S1  S2 )
L = ( Neklasificirano, {} )
H = ( Vrlo tajno, S )
Na donjim slikama su prikazana dva primjera rešetke u smislu opisa i predstavljanja, te

rešetka BLP modela.

OPIS: PRIKAZ:
SC = { a1, … ,an } An
Ai  Aj ako je i<=j An-1
Ai  Aj = amax(i,j)
…..
Ai  Aj = amin(i,j)
L=A1 A2
H=An A1
Uređena linearna reetka
OPIS: PRIKAZ:
{x, y, z} {y,z}
SC = Powerset(S)
AB iff AB

{x, y} {y}
AB=AB
AB=AB
L=, H=S
{x, z} {z}
{x} 
Rešetka podskupova od S={ x, y, z, }

Rešetka za Bell-LaPadula model, za klasifikaciju(S>C>U)

i skup kategorija (

(H = LUB, L = GLB)
Rešetka BLP modela

Implicitni i eksplicitni tok
Primjenom modela rešetke na kontrolu toka, analiza svih tokova u programu postaje vrlo
sloena, jer svi mogući tokovi nisu eksplicitno navedeni. Zbog toga se uvodi pojam
eksplicitnog i implicitnog toka.
 Tok u objekt b je eksplicitan kada je to rezultat bilo koje operacije koja direktno iz
operanada prenosi informaciju u b.
 Tok u objekt b je implicitan ako se dešava izvršavanjem (ili neizvršavanjem) uvjetne
instrukcije koja izaziva eksplicitni tok u b.
Sa ciljem specificiranja sigurnosnih zahtjeva na programe koji izazivaju implicitni tok, mora
se razmotriti apstraktno predstavljanje programa u kojem je sačuvan tok (ne nuno i
originalna struktura).
Diskusija o mandatnim modelima
 Modeli obvezne kontrole i modeli kontrole toka omogućuju praćenje toka informacija
referentnim monitorom koji će osigurati pridravanje obveznih pravila.
 Nedostatak primjene matematičkog modela obaveznih smjernica je strogost koja se u
određenim okolinama ne moe primijeniti.
 Korisnicima komercijalnih sustava nije uvijek moguće pridijeliti nivo razgraničenja ili
nivo osjetljivosti podataka. Sadašnji sustavi sigurnosti se baziraju na kombinaciji
uvjetnih i diskrecijskih kontrolnih pravila – npr. SEA View model.
 Proširenjem modela diskrecijske kontrole u cilju kontrole toka informacija:
o Obavezno poznavanje pravila za ograničenje toka informacija tijekom izvrenja
procesa u operacijskom sustavu.
o Drugim pristupom problemu pokušalo se osigurati pristup datotekama na bazi
nekih spoznaja o samoj datoteci.
o Bertino (1993) za prevladavanje osjetljivosti diskrecijskih kontrolnih prava
objektno orijentiranih sustava predlaže uporabu striktnih “treba-znati” prava.
o Pristup se sastoji u pridruživanju liste s pravima pristupa svakom objektu s
podacima . Pridružuju dvije liste zaštite – trenutni pristup i potencijalni pristup.

MODEL KINESKOG ZIDA (Chinese Wall Model)
Pravilo: Ne smije postojati tok informacija koji moe prouzročiti konflikt interesa.
Ta politika kreće od tri razine apstrakcije:
 Objekti. Na najnižoj razini su elementarni objekti, kao što su datoteke. Svaka

datoteka sadrži informacije koje se odnose samo na jednu tvrtku.
 Grupe tvrtki. Na slijedećoj razini, svi objekti koji se odnose na jednu tvrtku se
grupiraju zajedno.
 Konfliktne klase. Na najvišoj razini, sve grupe objekata za konkurentske tvrtke su
grupirane .
Stanje sustava kako je definirano BLP modelom mora se malo adaptirati kako bi zadovoljilo
ovoj sigurnosnoj politici:
 Skup kompanija se označava s C.

 Skup objekta O su stavke informacija koje se odnose na pojedinu kompaniju.
Razumljivo je da su analitičari subjekti i da je S skup subjekta.
 Svi objekti koji se odnose na jednu kompaniju su skupljeni u grupi podataka za tu
tvrtku. Funkcija y : O → C daje grupu tvrtke za svaki objekt.
 Klase konfliktnih interesa pokazuju koje su kompanije međusobni konkurenti.
Funkcija x : O → P(C) daje klasu konflikta za svaki objekt, tj. daje skup kompanija
koje ne bi trebale znati o sadržaju tog objekta. ( P (C) je skup od svih podskupova
(power set) od svih kompanija C1, .. Cn).
 Očićena informacija je informacija oslobođena osjetljivih detalja i nije predmet
ograničenja pristupa. Za očićeni objekt o vrijedi x(o) = Ø (nul skup).
Zbog potrebe indirektne kontrole toka informacija uvodimo Bool-ovu matricu N = S x O sa

vrijednostima:
Ns,o = 1, ako je subjekt s imao pristup objektu o.

Ns,o = 0, ako subjekt s nije nikad imao pristup objektu o.
Ako je Ns,o = 0 za svaki s є S i za svaki o є O tada imamo sigurno početno stanje.
Formalno možemo izraziti ss-svojstvo Bell-LaPadula modela kao:
Subjektu s se dozvoljava pristup objektu o samo ako za sve objekte o' sa Ns,o = 1
vrijedi da je y(o)  x(o') ili y(o) = y(o').
Zbog kontrole indirektnog toka informacija uvodimo * svojstvo BLP modela kako bi
kontrolirali pristup za pisanje.
Subjektu s se dozvoljava pristup pisanja u objekt o samo ako s nema pravo čitanja
objekta o' za koji vrijedi y(o) ≠ y(o') i x(o') ≠ Ø .

Primjer sigurnosne politike za šest kompanija i tri konfliktne klase.

4. OSNOVE KRIPTOGRAFIJE, PROTOKOLI, TEHNIKE I

ALGORITMI
Osnove kriptografije
 Kriptografija grčkog je porijekla i sastoji se od dvije riječi :
 KRIPTOS tajan, skriven

 GRAFIEN pisati
 Kriptoanaliza
 Kriptologija
Pojmovi i terminologija
 Prijenosni medij
 Izvorni tekst (plaintext)
 Kriptirani tekst (ciphertext)
 Enkripcija (E)
 Dekripcija(D)
 Ključ ifriranja (K, KE )
 Ključ deifriranja (K, KD )
C = E(P) i P = D(C)
Sustavi za enkripciju i dekripciju nazivaju se kriptosustavi.
Algoritmi enkripcije
 simetrična enkripcija
C = E(K,P).
P = D(K,E(K,P)).
 asimetrična enkripcija
P = D(KD, E(KE,P))
Izvorni Šifrirani Izvorni tekst

tekst tekst
Enkripcija Dekripcija
Enkripcija

Ključ
Izvorni
Šifrirani tekst
Izvorni tekst
tekst Enkripcija Dekripcija
(a) Simetrični kripto sustav
Ključ enkripcije
KE Ključ dekripcije
KD
Izvorni tekst Šifrirani tekst Izvorni tekst

(b) Asimetrični kripto sustav
Enkripcija sa ključevima
Kriptografski ključevi
Moderna kriptografija se ne oslanja na tajnost algoritma enkripcije. Ključ koji se koristi u

kriptografskoj transformaciji treba biti jedina stavka koja treba zaštitu. Taj princip je postuliran od
Kerckhoffs-a u prolom stoljeću.
Upravljanje ključevima (key management) ima najveće značenje u enkripciji. Stoga je potrebno
postaviti slijedeće pitanja:
 Gdje se ključevi generiraju ?

 Kako se ključevi generiraju ?
 Gdje su ključevi uskladiteni ?
 Kako su oni dospjeli tamo ?
 Gdje se ključevi stvarno koriste ?
 Kako se ključevi opozivaju i zamjenjuju ?
Kriptografija je vrlo rijetko potpuno rješenje za sigurnosni problem IS-a. Kriptografija je

translacioni mehanizam, koja obično pretvara sigurnosni problem u komunikaciji u problem
upravljanja ključevima, a samim time u problem računarske sigurnosti.

Prvi poznati sustavi kriptiranja:
 SKITALE kojeg su koristili Grci u 9. stoljeću p.n.e.

 Ceasar-ova šifra koja se bazira na translaciji slova abecede.
 "Vigner-ova šifra".
Osnovni pojmovi i primjene:
 Privatnost
 Autentifikacija
 Identifikacija
 Razmjena ključeva
 Digitalni potpisi
Kriptoanaliza
 pokušaj razbijanja jedne poruke

 pokušaj prepoznavanja uzorka u ifriranoj poruci, kako bi mogao razbiti slijedeće
poruke primjenjujući prethodno pronađeni algoritam dekripcije
 pokušaj da se pronađe opća slabost enkripcijskog algoritma, bez potrebe dohvata bilo
koje poruke
Probijena enkripcija
Enkripcijski algoritam može biti probijen, to znači da uz dosta vremena i podataka analitičar
može odrediti algoritam.
Predstavljanje znakova poruke izvornog teksta
SLOVO: A B C D E F G H I J K L M
KOD: 0 1 2 3 4 5 6 7 8 9 10 11 12
SLOVO: N O P Q R S T U V W X Y Z
KOD: 13 14 15 16 17 18 19 20 21 22 23 24 25
Vrste enkripcija:
 supstitucija,
 transpozicija.
Jednoabecedne šifre (Supstitucija)
 Caesar-ova šifra
ci = E(pi) = pi + 3

Puna transalcija Caesar-ove šifre je:
Izvorni tekst: A B C D E F G H I J K L M N O P R S T U V W X Y Z
Šifrirani tekst: d e f g h i j k l m n o p r s t u v w x y z a b c
Upotrebom ove enkripcije poruka
TREATY IMPOSSIBLE
postaje
wuhdwb lpsrvvleoh
Ostale jednoabecedne substitucije
ABCDEFGHIJKLMNOPQRSTUVWXYZ
key
Na primjer:
k e y a b cd f ghi j l mn op q r s t u v w xz
key = spectacular.
s p e c t a u l rbd f g h i j kn moq v w x yz
key = adgj
adgj
mod 26
a d g j mp s vybe h k n q twz c f i l o r ux
Šifre višeabecedne supstitucije
E1(T) = a i E2(T) = b dok E1(X) = b i E2(X) = a. dakle, E3 je prikazan kao prosjek od E1 i E2.

Višeabecedna
substitucija
Pretpostavimo dva enkripcijska algoritma kako je dole pokazano.
Tablica za neparne pozicije (mod 26)
ABCDEFGHIJK LMNOPQRSTUVWX YZ
a dg j nos vybe h k n q t w zc f i l o r ux
Tablica za parne pozicije (mod 26)
ABCDEFGHIJK LMNOPQRSTUVWX YZ
n s x c h m r w bg l q v a f k p u z e j o t y d i
TREAT YIMPO SSIBL E
fumnf dyvtv czysh h
Vigenere tablica
Želimo šifrirati poruku “but soft, what light through yonder window break koristeći ključ
juliet.
j uli e tju l i etjul iet ju l ie tj ul iet jul i e t juli

BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK
Vinegere tabela je skup od 26 permutacija.

j uli e tju l i etjul iet ju l ie tj ul iet jul i e t juli

BUTSO FTWHA TLIGH TTHRO UGHYO NDERW INDOW BREAK
k o ea s y c q s i ...
Perfektna šifra supstitucije
 One-Time Pad
 Dugi nizovi (slijedovi) slučajnih brojeva
 Vernam-ova šifra
Poruka: VERNAM CIPHER
Numerički ekvivalenti:
V E R N A M C I P H E R
21 4 17 13 0 12 2 8 15 7 4 17
Sekvenca dvoznamenkastih slučajnih brojeva:
76 48 16 82 44 03 58 11 60 05 48 88

Rezultat:
19 0 7 17 18 15 8 19 23 12 0 1
t a h r s p i t x m a b
...134549273
Ista serija brojeva
Duga, neponavljajuća
serija brojeva
Izvorni tekst
 kriptirani tekst  Izvorni tekst
XOR ili druga Kombinirajuća

kombinirajuća funkcija
funkcija
Binarna Vernam-ova šifra

Vernam-ova šifra
Na primjer, binarni broj:
101101100101011100101101011100101
Slučajnim binarni niz:
101111011110110101100100100110001
Kriptirani tekst:
000010111011101001001001111010100
Generatori slučajnih brojeva
 Linerni kongruencijski generator slučajnog broja
ri+1 = (a * ri + b) mod n
 Duge sekvence iz knjiga

 Korištenje dvostruke poruke
Kriptoanalitički alati:
 distribucija frekvencija
 indeksi koincidencije
 razmatranje visoko vjerojatnih pojava slova i riječi
 analiza ponovljivih uzoraka
 upornost, organizacija, genijalnost i sreća.
Transpozicije (permutacije)
 Stupčaste transpozicije
c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......
Rezultirajući ifarski tekst se dobije prolazom po stupcima
c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......
Dužina ove poruke je multipl od pet, tako da svi stupci izlaze jednake dužine. Ako poruka
nije multiple od duine redova, zadnji stupci bitće kraći. Slabo učestalo slovo X se koristi da
se ispune kratki stupci.
Složenost enkripcije/dekripcije
Grupe dva, tri slova i ostali uzorci (digram, trigram..)
Digrami Trigrami
_______ _______
EN ENT
RE ION
ER AND
NT ING
TH IVE
ON TIO
IN FOR
TF OUR
AN THI

OR ONE
___________________________
Algoritam dvostruke transpozicije
Rezultat prvi transpozicije:
tssoh oaniw haaso lrsto (i(m(g(h(w

(u(t(p(i(r s)e)e)o)a) m)r)o)o)k) istwc nasns
Rezultat druge transpozicije:
t n o (m (i m)t s s i l (g (r r) w x s w r (h s) o) c x o
h s (w e) o) n x h a t (u e) k) a x o a o (t o) i s x a s (i (p a) s n x
Šifriranje niza i bloka znakova (Stream & Block ciphers)
Šifriranje niza znakova (Stream cipher)
Prednosti enkripcije niza su:
 (+) Brzina transformacije

 (+) Niska propagacija greške.

Ključ
(Opcionalno)
ISSOPMI wdhuw
Y
Izvorni tekst Šifrirani tekst
Šifriranje niza
Nedostatci šifriranja niza su:
 (-) Niska difuzija.

 (-) Sumnjičavost na zloćudna umetanja i izmjene
Šifriranje bloka znakova (Block cipher)
Ključ
(Opcionalno)
XN
OI
TP
DF
ES
FG
HJ
KL po
IH
Izvorni Šifrirani
tekst tekst
ba
cd
fg
Šifriranje bloka hj
fr
Prednosti:
 (+) Difuzija.
 (+) Imunost na umetanja..
Nedostatci:
 (-) Sporost enkripcije.

 (-) Propagacija greške.
Svojstva dobrog šifriranja
 Shanon-ova svojstva
1. Iznos(veličina) potrebne tajnosti treba odrediti iznos odgovarajućeg rada za enkripciju

i dekripciju.
2. Skup ključeva i algoritam enkripcije ne smije biti složen (kompliciran).
3. Implementacija procesa mora biti što jednostavnija.
4. Greška u šifriranju ne smije propagirati i prouzročiti unitenje daljnje informacije,
poruke.
5. Veličina ifriranog teksta ne smije biti veća od teksta izvorne poruke.
 Konfuzija i difuzija
Sa čime i kako rade kriptoanalitčari ?
 Samo šifrirani tekst

 Potpuni ili djelomični izvorni tekst
 Šifrirani tekst bilo kojeg izvornog teksta
 Algoritam i šifrirani tekst

SIGURNI ENKRIPCIJSKI SUSTAVI
 Brute force attack

 Princip najmanjeg posla
 Teški problemi: Složenost
o NP-complete problemi,
o Galois-ova polja
o Faktorizacija velikih brojeva
Modularna aritmetika
Neka je m cijeli broj (integer). U nastavku ćemo m zvati modulom. Tada možemo definirati relaciju
ekvivalencije ≡ na skupu cijelih brojeva :
a ≡ b mod m ako i samo ako je a – b = λ * m za neki cijeli broj λ.
Kaemo da je ˝a je ekvivalentno b po modulu m ˝. Moemo provjeriti da je ≡ zaista relacija

ekvivalencije koja dijeli skup cijelih brojeva u m ekvivalentnih klasa:
(a)m = {b | a ≡ b mod m } , 0 ≤ a < m.
Mnogo je blie označiti klasu ekvivalencije sa a mod m i mi ćemo koristiti tu konvenciju.

Moguće je lako verificirati slijedeća korisna svojstva modularne aritmetike:
(a mod m) + (b mod m) ≡ (a + b) mod m.
(a mod b) * (b mod m) ≡ (a*b) mod m.
a mod n ≡ b  a ≡ b mod n (simetričnost)
Također, za svaki a ≠ 0 mod p, p je prosti broj, postoji cijeli broj a-1 tako da je a* a-1 ≡ 1 mod p.
Definicija : Neka je p prosti broj i neka je a cijeli broj. Mulitlipakativni red od a po modulu p
je najmanji cijeli broj n tako da vrijedi an ≡ 1 mod p.
Fermat Little teorem : Za svaki a ≠ 0 mod p, p je prosti broj vrijedi ap-1 ≡ 1 mod p.
Sigurnost ovih algoritama se često odnosi na tekoću u rjeavanju slijedećih problema iz teorije
brojeva:
 Problem diskretnih logaritama (DLP-Discrete logarithm problem) : za dani modul p, p je

prosti broj, na bazi a i vrijednosti y = ax mod p treba pronaći diskretni logaritam x od y.
 Problem n-tog korijena : Za dane cijele brojeve m, n i a, pronađi cijeli broj b tako da je
a = bn mod m. Rješenje za b je n-ti korijen od a po modulu m.
 Faktorizacije : Za dani cijeli broj n pronađi njegove proste faktore.

Sustavi za enkripciju upotrebom javnih ključeva

1976 Diffie i Hellman predložili su novu vrstu enkripcijskih sustava.
Motivacija
Konvencionalni sustavi:
n * (n-1)/2 ključeva.
B
C
A F
D
E
Novi ključevi koje treba

dodati
Kreiranje novih privatnih kanala
Svojstva sustava
Dva ključa: javni ključ i privatni ključ
P = D(kPRIV, E(kPUB, P)).
P = D(kPUB, E(kPRIV, P)).
Rivest-Shamir-Adelman (RSA) enkripcija
Uvod u RSA algoritam
Dva ključa, d i e se koriste za dekripciju i enkripciju. Izvorni tekst P se kriptira kao
Pe mod n.

Ključ za dekripciju je odabran tako da je
(Pe)d mod n = P.
Detaljni opis enkripcijskog algoritma
C = Pe mod n.
P = Cd mod n.
Enkripcija i dekripcija su međusobno inverzne i komutativne.
P = Cd mod n = (Pe)d mod n = (Pd)e mod n
Izbor ključeva
e * d  1 mod (p - 1) * (q - 1)
Matematička osnova RSA algoritma
Euler-ova funkcija (n) je broj pozitivnih cijelih brojeva manji od n, a koji su relativno prim
brojevi (relativno prosti) u odnosu na n. Ako p prim broj, tada je
(p) = (p-1)
Dalje, ako je n = p* q, gdju su p i q oboje prosti brojevi,
(n) = (p) * (q) = (p-1) * (q-1)
Fermat i Little su pokazali:
ap-1 mod p = 1  ap-1 = 1 mod p , gdje su a i p relativno prosti brojevi i a < p.
Euler i Fermat su dokazali da je
xn)  1 mod n
za svaki integer x ako su n i x relativno prosti.

Pretpostavimo, da kriptiramo izvornu poruku P sa RSA, Tako da je E(P) = Pe. Tada
moramo biti sigurni da mo`e vratiti poruku. Vrijednost e je odabrana tako da mo`emo odabrati
njen inverz d. Budu}i su e i d inverzi mod n),
e * d  1 mod (n)
ili

e * d = k * (n) + 1 (*)
za neki cijeli broj k. To je pretpostavka koju dokazujemo.
Zbog Euler/Fermat rezultata,
Pp-1  1 mod p
te budući je (p-1) faktor od (n)
Pk*n)
k*n)+1
 1 P
mod
mod
pp
Množenjem sa P daje
Pk*n)+1  P mod p
Isti argument vrijedi i za q, tako da je
Pk*n)+1  P mod q
Kombinirajući ta dva rezultata sa (*) daje
(Pe)d = Pe*d
= Pk*(n)+1
= P mod p
= P mod q
tako da je uz n = p*q
(Pe)d = P mod n  P = (Pe)d mod n (zbog simetričnosti mod.

aritmetike)
te da su e i d inverzne operacije, što i dokaz gore navedene pretpostavke.
Primjer
Neka su p = 11 i q = 13,
n = p * q = 143 ,
a (n) = (p-1) * (q-1) = 10 * 12 = 120.
e = 11. (relativno prost u odnossu na (p-1) * (q-1)).
Inverz od 11 mod 120 je također 11 budući je 11*11 = 121 = 1 mod 120.
e = d = 11
Poruka P = 7 se kriptira kako slijedi:

711 mod 143 = 106

E(7) = 106.
To je točno jer vrijedi:

D(106) = 10611 mod 143 = 7.
El Gamal i Algoritam digitalnih potpisa

Algoritam
p – prost broj
a,x – cijeli brojevi ( a < p i x<p)
x – privatni ključ
y - javni ključ
y = ax mod p.
k – slučajni cijeli bro (0<k<p-1 )
r = ak mod p
s = k-1 (m-xr) mod (p-1)
gdje je k –1 multiplikativni inverz od k mod (p-1), tako da je
k * k-1 = 1 mod (p-1)
Potpis poruke su r i s.
Algoritam digitalnog potpisa (DSA)
 2511 < p < 2512 (tako da je p grubo 170 decimalnih zanamenaka dug).
 2159 < q < 2160.
 Algoritam eksplicitno koristi H(m) hash vrijednost poruke m.
 Izračunavaju r i s po mod q.
Hash algoritmi
 Hash algoritam je kontrola koja titi podatke od različitih izmjena

 Hash funkcija proizvodi reducirani oblik tijela podataka.
 Sažetak (digest) ili kontrolna vrijednost.
Opis hash algoritama
 Kriptografska hash funkcija koristi kriptografsku funkciju kao dio hash funkcije.

Sigurni hash algoritam(SHA)
 ulazne podatke dužine koja je manja od 264 bitova reducira na 160 bitova(digest).
 W(0), W(1),.. W(15), su 32 bitne riječi (512 bitova)
 Svaki blok je ekspandiran od 16 riječi na 80 riječi sa
W(t) := W(t-3)  W(t-8)  W(t-14)  W(t-16) , za t := 16 do 79
 Inicijalizacija : H0 := 67452301, H1 := EFCDAB89, H2 := 98BADCFE,

H3 := 10325476 i H4 := C3D2E1F0 (izraženo heksadecimalno).
 Zadnji blok od 16 riječi, 160 bitni digest je pet riječi H0 H1 H2 H3 H4.
Sigurni sustavi koritenjem tajnog ključa (simetrični sustavi)
Simetrični sustavi imaju nekoliko potekoća:
 Kod svih kripto sustava sa ključevima, ako je ključ otkriven (ukraden, pogođen, kupljen
ili na drugi način kompromitiran) napadač moe neposredno dekriptirati informaciju koja
im je dostupna.
 Distribucija ključeva postaje problem.
 Broj ključeva se povećava sa kvadratom korisnika koji izmjenjuju tajnu informaciju.
 Simetrični sustavi, opisani kao konvencionalni, prije pojave javnog ključa, su relativno
slabi, ranjivi na različite kriptoanalitičke napade.

Data Encryption Standard (DES)
Pregled DES algoritma
 Koristi supstitucije i permutacije (transpozicije) (repetitivno kroz 16 ciklusa).

 Izvorni tekst se kriptira kao blok od 64 bita.
 Ključ je dug 64 bita, stvarni ključ 56-bitova.
 Algoritam proizlazi iz dva koncepta Shanon-ove teorije tajnosti informacije
(konfuzije i difuzije),
 Dvije različite ifre primjenjuju se alternativno (Shanon –ova produkt šifra)


Detalji enkripcijskog algoritma
 Ulaz u DES po blokovima 64 bita

 Inicijalna permutacija bloka
 Ključ se reducira od 64 na 56 (bez paritetnih bitova:8,16, ..64)
 Započinje ciklus (16 puta)
 Blok od 64 bita u dvije polovice (lijevu i desnu)
 Polovice se proširuju na 48 bitova (proširene permutacije)
 56 bitni ključ se reducira na 48 bitova (permutirani izbori)
 Ključ se pomiče lijevo i permutira
 Ključ se kombinira sa desnom, pa sa lijevom polovicom
 Nova desna polovica, stara desna postaje nova lijeva.
 16-ti ciklus , konačna permutacija, inverzija inicijalne permutacije (rezultat enkripcije)

RIJNDAEL KRIPTOGRAFSKI ALGORITAM (AES)

Simetrična blok enkripcija
Opis algoritma
Pseudo kod

Substitucija nad ulaznim podacima (8-bitnim) – SubBytes()

Svojstva
 Nelinerana transformacija
 A - inverzibilna (reci su linearno nezavisni u GF(28) (Galoise polje -konačno polje -
256 elemenata)
b` = A b-1 + c gdje je
b = 8-bitni element konačnog polja GF(28)

b = b7x7 + b6x6 + b5x5 + b4x4 + b3x3 + b2x2 + b1x + b0
b0 … b7  { 0,1}
b-1 = multiplikativni inverz u GF(28)
bb-1 = 1 mod f(x)
f(x) = nereducibilni polinom

f(x) = x8 + x4 + x3 + x + 1

Substitucijska tablica za 128 bitni blok (8-bitna)
Pomicanje redova – ShiftRows()
Veličina bloka u C0 C1 C2 C3
bitovima
128 0 1 2 3
192 0 1 2 3
256 0 1 3 4
C0,.., C3 je broj pomaka u baytovima.

Mješanje stupaca - MixColumns()

Dodavanje dijela proirenog ključa – AddRoundKey ()

Proirenje ključa
Pseudo kod za proirenje ključa (izmjena)
Gdje je :
w[i] = novi ključ

w[i] = k[i]  temp
k[i] = stari klljuč, iz prethodne iteracije (runde)
SubWord - operacijaje substitucije ista kao kod kriptiranja.

RotWord – rotira sadržaj 32 bitnog registra za 8 bitova
Rcon () – polje koje sadrži konstante
W() – vrijednost novog ključa
Dekriptiranje bloka
Korištenje inverznih transformacija:
 InvShiftRows
 InvSubBytes
 InvMixColumns

Zaključak:
 Vrlo jednostavan za izvedbu kako u HW tako i SW

 Snaan simetrični blok algoritam
 Baza algoritma su najjednostavnije matematičke operacije (zbrajanje i mnoenje u
konačnim GF poljima)
 Visok stupanj difuzije i konfuzije (substitucija, miješanje stupaca i redaka matrice
podataka – bloka)
 Miješanje nad 8-bitnim elementima, a ne nad bitovima kao kod DES-a
Uloga Rijndel internih funkcija:
 SubBytes ima zadatak postizanja enkripcije uz primjenu nelinearne substitucije..

 ShiftRows i MixColumns moraju izvršiti miješanje bajtova na različita mjesta
izvornog teksta (Shanon).
 AddRoundkey osigurava neophodnu tajnu, slučajnost distribucije poruke.
Brza i sigurna implementacija
 U SubBytes, izračunavanje b-1 moe se djelotvorno učiniti upotrebom tablice

pretraživanja, mala tablica od 256 parova baytova može se proizvesti jednom i koristiti
zauvijek (može se čvrsto ugraditi u HW ili SW).

Budući su matrica A i vektor c konstantni , tablica pretraživanja može provesti cijelu

transformaciju ( tablica od 256 ulaza).
 U MixColumns, mnoenje između elemenata fiksne matrice i stupčastog vektora

moe se također realizirati upotrebom metode tablice pretraivanja.veličine od 2*256
= 512 ulaza.
Pozitivni utjecaj AES-a na primijenjenu kriptografiju
 Višestruka enkripcija, kao što je triple-DES postaje nepotrebna sa pojavom AES-a .
 Široka upotreba AES-a dovodi do pojave novih hash funkcija zadovoljavajuće

sigurnosne jakosti.
 AES kao i DES do sada, doprinosi punom razvoju kriptoanalize.

Prikaz Rijndeal algoritma

Zaloni ključ i Clipper kriptiranje
Clipper program (MOSAIC)
Nazivi: Clipper, Capstone, Skipjack, MOSAIC, Tessera, Fortezza, i Escrowed

Encryption Standard (EES).
Koncept: zaloni ključ

Ključ
Izvorni tekst
Šifrirani tekst Izvorni tekst
(a) Konvencionalna enkripcija
Ključ
Izvorni tekst
Šifrirani tekst Izvorni tekst
Ključ
Založna Dekripcija
agencija
(b) Založna enkripcija
Založna enkripcija
Tehnički aspekti
 Koristi 32 ciklusa (DES 16)

 Ključ k 80 bitni (DES 56)
 Prijenos uključuje polje zakonske agencije (LEAF)
 Kriptiranje poruke M
D(E(M,k),k) = M
 Agencijsko polje sadrži
E((E(k,u)&n&a), f)

gdje je:
n – 30 bitni broj koji identificira jednu enkripcijsku jedinicu
u – 80 bitni enkripcijski ključ za n-tu jedinicu
f - 80 bitni enkripcijski ključ za cijelu familiju Clipper chipova
k – 80 bitni ključ za enkripciju poruke M
a - autentifikator založne agencije
Zakonski ovlateno tijelo će na temelju svojih prava:
1. Prisluškivati komunikaciju.
2. Odrediti da enkripcija koristi Clipper.
3. Dekriptirati E((E(k,u)&n), f) kako bi dobili n.
4. Isporučiti n i kopiju naredbe suda svakoj od agencija.
5. Zaprimiti natrag obje polovice ključa u.
6. Koristiti u za dekripciju E(k,u) kako bi se dobio k, ključ sjednice s kojom je
ova komunikacija (poruka) kriptirana.
7. Dekriptirati komunikaciju (poruku) upotrebom ključa k.
Početak sa porukom M
Formiranje LEAF iz ID jedinice (n)
k n A
M k n,A
Kriptirano pod: k f
Prijenosna polja Clipper poruke

Snaga kriptografskih algoritama

Mjerenje jakosti kriptografskih algoritama je neka vrsta umjetnosti, koja katkada počiva na
čvrstim matematičkim osnovama, a drugi puta lei na intuiciji i iskustvu. Kriptografski
algoritmi mogu biti:
 Empirijski sigurni
 Sigurni uz dokaz
 Bezuvjetno sigurni
Algoritam je empirijski siguran kao je on održiv (nije probijen) u nekom vremenu testiranja.
Dokazano sigurni algoritmi mogu ponuditi ono to daje računarska sigurnost, tj dokazanu
sigurnost. Dokazana sigurnost je izražena unutar okvira složene teorije. Neki algoritam je
siguran ukoliko je proboj algoritma barem toliko težak kao rješavanje drugog problema za
koji se zna da je težak.
Bezuvjetno sigurni algoritmi ne mogu biti probijeni od strane napadača čak i uz primjenu
neograničenih računarskih resursa.
Šifarski tekst je zapravo rezultat od XOR bit operacije između niza bitova čistog teksta i niza
bitova ključa. Primatelj provodi XOR nad šifarskim tekstom bit po bit uz isti niz bitova
ključa, kako bi dobio izvorni tekst (Vernamov-a šifra).
Šifarski tekst  Ključ = Izvorni tekst  Ključ  Ključ = Izvorni tekst
Pažnja !
Šifarski tekst 1  Šifarski tekst 2 = Izvorni tekst 1  Ključ  Izvorni tekst 2  Ključ
= Izvorni tekst 1  Izvorni tekst 2
Osmiljanje dva preklapajuća izvorna tekst i nije teki kriptoanalitički problem.

UPOTREBA KRIPTIRANJA KROZ PROTOKOLE
Definicija protokola
Protokol je uređena sekvenca koraka koju provode dvije ili vie strana kao bi izveli određenu
zadaću.
Dobar protokol ima slijedeća svojstva:
 Unaprijed je postavljen. Protokol je potpuno dizajniran prije njegove upotrebe.

 Međusobno prihvaćen. Sve strane u protokolu su usvojile njegove korake, kako su
dani.
 Nedvosmislenost. Niti jedna strana ne može krivo provoditi korak jer ga nije
razumjela.
 Potpunost. Za sve situacije predviđene su aktivnosti koje treba provesti.
Protokoli za distribuciju (uspostavu) ključeva
 Protokoli za uzajamno dogovoreni ključ: ključevi koji su uspostavljeni bez pomoći

treće strane.
 Protokoli za transport ključeva: ključevi koji su generirani i distribuirani od treće
strane.
Kada oblikujemo protokol za razmjenu ključeva moramo dakle odgovoriti na dva pitanja:
 Koja će strana stradati ako se uspostavi slabi ključ ?

 Koja strana moe kontrolirati izbor ključa ?
Diffie-Hellman protokol
Neka je p veliki i adekvatno izabran prosti broj i neka je g element od skupa cijelih prostih
brojeva po modulu p. Ta dva cijela broja ne trebaju biti tajni.
Protokol između Alice i Boba je slijedeći:
1. Alice izabire slučajni broj a i šalje Bobu ya
ya = ga (ya = ga mod n)
2. Bob izabire slučajni broj b i šalje Alice yb
yb = gb (yb = gb mod n)
3. Alice izračunava K
K = yba = gba
4. Bob izračunava K´

K´ = yab = gab
K i K´ su jednaki (gab = gba) i predstavljaju dijeljeni tajni ključ.
Ostaje jo jedan problem. Niti jedna strana nezna sa kime dijeli tajni ključ. Ovdje su S a i Sb
potpisni klučevi od Alice i Bob , sSa i sSb označavaju generirane potpise pod tim ključevima.
Koraci u tom protokolu su:
1. A→ B ga
2. B→A gb, eK(sSb(gb,ga))
3. A →B eK(sSa(ga,gb))
Uspostava simetričnih klučeva
Izmjena simetričkih ključeva bez servera
Izmjena simetričnih ključeva upotrebom servera
Needham-Schroeder protokol
Distribucijski
centar
(1)Daj mi ključ za
komunikaciju
sa Rinom
(2) Ovdje je ključ za
tebe i kopija za
Rinu
Rina Pavao
(3) Rina distribucijski centar

mi je dao ovaj ključ za
našu privatnu komunikaciju
Distribucija ključa kroz distribucijski centar (Needham-

Schroeder Protokol)

Gore navedena komunikacija je opisana slijedećim porukama:
(1) - (P,R,Ip)
(2) - E(Ip,R,KPR, E(KPR,P),KR)),KP)
(3) - E((KPR,P), KR)
KR i KP su ključevi komunikacije sa distribucijskim centrom te ga na početku posjeduju

korisnici P i R.
(1) ER(DP(K))
Pavao alje novi ključ, osigurana tajnost i

P autentičnost R
A I
V N
A A
O (2) S(n,K)
Rina alje kriptirani slučajni broj
(3) S(n+1, K)
Pavao vraća nasljednika od slučajnog

broja
Protokol izmjene simetričnog ključa
Gdje je:
n - slučajni broj
S - simetrični algoritam enkripcije

Protokol izmjene asimetričnog ključa preko servera
Distribucijski
centar
(1) Molim daj mi
Rinin javni ključ
(P,R)
(4) Molim daj mi
Pavlov javni
ključ (R,P)
(5) Tu je
Pavlov javni (2) Tu je
ključ Rinin
javni ključ
DD(EP, P) DD(ER,R)
R P
I A
N (3) Ja sam Pavao, razgovarajmo, ER(P, IP) V
A A
O
(6) Ovdje Rina, što se događa ? EP(IP, IR)
(7) Uh, ja sam zaboravio, ER(M, IR)
Digitalni potpisi
Digitalni potpis mora zadovoljiti dva primarna uvjeta:
 Nekrivotvorljivost. Ako osoba P potpisuje poruku M s potpisom S(P,M), tada je

nemoguće za svakoga da proizvede par [M, S(P,M)]
 Autentičnost. Ako osoba R primi par [M, S(P,M)] poslan od P, R može kontrolirati
da je potpis stvarno od P. Samo P je mogao kreirati ovaj potpis, i potpis je usko
vezan na poruku M.
Dodatna dva svojstva su potrebna za transakcije koje se izvravaju uz pomoć

digitalnih potpisa:
 Neizmjenjivost. Nakon što je odaslana poruka, M se ne može promijeniti niti od S,

R ili od napadača.

 Nemogućnost ponovne upotrebljivosti. Prethodno prezentirana poruka će biti

trenutno detektirana od R.
Enkripcijski sustavi javnog ključa

D:KS D( E(M,-),-) = M = E( D(M,-),-)
Za autentičnost, Dekriptira M
M nekrivotvorljivost
S R
Sprema D:KS
kopiju za
buduće
nesuglasice M
Asimetrični digitalni potpis
E:KR Za tajnost
D:KS
D:KS
Dekripcija
Za autentičnost (tajnost) M
nekrivitvorljivost
M
Dekripcija
R M
S (autentičnost)
Sačuvaj D:KS
kopiju za
buduće
nesuglas.
M
Dvostruka enkripcija u asimetričnom digitalnom potpisu

SSL (Secure Socket Layer) protokol
Namjena:
SSL je višenamjenski protokol za slanje kriptiranih informacija preko Interneta. To je zapravo

sloj dodan između TCP/IP protokola i aplikacijskog sloja.
Dok je zadaća TCP/IP protokola slanje ispravnih anonimnih paketa između klijenta i
poslužitelja, SSL dodaje:
 autentifikaciju,
 neporecivost za obje strane putem digitalnih potpisa,
 povjerljivost i
 integritet (putem MAC-a) informacija koje se šalju.
Napadi:
 Onemogućuje man-in-the-middle napad kada strane u biti ne znaju s kim zapravo

komuniciraju.
 SSL sadrži zaštitu i protiv replay napada kada napadač snimi poruku između dvije
strane i reemitira ju.
 Sadri čak i podrku za kompresiju podataka prije enkripcije.
Glavna primjena SSL-a :
 Zaštita komunikacija preko Internet-a gdje osigurava privatnost, autentičnost i

integritet poruka koje se prenose između dvije strane
 SSL se koristi pri prijenosu osjetljivih informacija ( e-mail poruke, privatne
informacije ), ali i za obavljanje sigurnih transakcija preko Internet-a ( prijenos
brojeva kreditnih kartica, elektroničkog novca - elektroničko plaćanje )
 SSL sadrži sve što je potrebno za sigurnu razmjenu podataka preko mreže,
jednostavan je za uporabu i iroko je prihvaćen od strane korisnika. HTTP
osiguran SSL-om naziva se HTTPS.
SSL certifikat mora sadržavati:
- duljinu potpisa
- serijski broj certifikata (jedinstven unutar centralne institucije)
- jedinstveno ime (distinguished name)
- potpis algoritma (označava koji je algoritam koriten)
- DNS ime servera - kod Netscapea su dozvoljeni wildcard znakovi dok Verisign i
ostale centralne institucije odbijaju potpisati certifikate sa wildcard znakovima
(budući da se tako daju ovlasti bilo kojem računalu u domeni, a individualna
računala ne moraju imati te ovlasti)

SSL se sastoji od dva protokola:
 SSL Handshake (rukovanje) protokol koji omogućuje klijentu i serveru međusobnu

identifikaciju te razmjenu parametara za prijenos ifriranim ključem (algoritam i
ključeve), i
 SSL Record (zapis) protokol koji obavlja šifriranje i prijenos poruka. SSL Record sloj
prima neinterpretirane podatke od viših slojeva u blokovima proizvoljne dužine i njih
fragmentira u SSL Plaintext slogove veličine 214 bajtova ili manje.
Svojstva koja zadovoljava SSL protokol:
 kriptografska sigurnost - osiguravamo ju pomoću sigurnih algoritama za

kriptiranje
 interoperabilnost - moguće je komunikacija dvije aplikacije koje imaju različit
način implementacije SSLa
 proširljivost - dodavanjem dodatnih modula moguće je sačuvati gore navedena
svojstva
 relativna učinkovitost - ugradnjom jednostavnijih algoritama ne gubi se na
sigurnosti, ali se dobiva na brzini rada i smanjuje se opterećenje posluitelja
Postupak prijenosa podataka pomoću SSL-a može se podijeliti u dvije cjeline:
 uspostavljanje sigurne veze

 prijenos podataka
Implementacija:
Postoji više programskih implementacija SSL-a. Ona prva potječe iz Netscapea i bila je
uključena u njegove pretraivače. Za trite SAD-a Netscape je pustio u prodaju referentnu
SSL implementaciju u C-u (SSLRef). Kasnije se pojavila nezavisna implementacija SSLeay
koja je globalno dostupna, a danas postoji i par implementacija u Javi.
TLS (Transport Layer Security) protokol
TLS je protokol vrlo sličan SSL-u 3.0. sa par razlika u izboru i korištenju enkripcijskih
algoritama.
Nasljednik SSL-a, protokol TLS 1.0 ima istu funkciju kao i SSL no postoje sitne razlike
između njih. Trenutno TLS 1.0 podravaju gotovo svi Internet preglednici, dok verziju TLS
1.1. podržavaju zasad Opera i GnuTLS.
Neke od razlika SSL i TLS protokola su :
 numeriranje svih zapisa (record) i

 korištenje broja sekvence u fizičkoj adresi, fizička adresa moe se provjeravati samo s
ključem.

TLS protokol sastoji se od dva sloja :
 TLS record protokol i

 TLS Handshake protokol.
Unutar handshake protokola definirana su dva pomoćna protokola:
 Alert protokol i
 Change Cipher Spec protokol.
Record protokol se koristi za enkapsulaciju paketa koji dolaze iz viših slojeva.
Paketi se:
 rastavljaju na fragmente i komprimiraju ,
 izračunava se autentifikacijski kod poruke (MAC),
 enkriptiraju, a
 rezultat se šalje nižim slojevima.
Na donjoj slici vidljiv je izgled TLS record paketa.
Content type Protocol Length Fragment MAC

version
Kriptirano
Handshake protokol se koristi za:
 međusobnu autentifikaciju između servera i klijenta

 dogovor enkripcijske metode
 te se razmjenjuju kriptografski ključevi.
Sam protokol se sastoji od tri dijela:
 Handshake protokol; ovo je glavni dio, koristi se za dogovaranje verzije TLS

protokola između klijenta i servera, za odabiranje algoritma enkripcije te razmjenu
ključa. Opcionalno, omogućuje autentifikaciju dviju strana za razmjenu shared secret
vrijednosti,
 Change cipher spec protokol se sastoji od jedne poruke koju šalju klijent i server, a
slui za obavjetavanje druge strane da će slijedeće poruke biti zatićene koritenjem
dogovorenih parametara
 Alert protokol za obavještavanje druge strane da se veza prekida ili da je došlo do
pogreške u radu.
Protokol podržava tri modela autentifikacije:

 autentifikacija servera,
 autentifikacija obiju strana i
 potpuno anonimna veza.

5. ARHITEKTURA SIGURNOSNOG SUSTAVA
Namjena uspostave svake arhitekture jest osiguranje konzistentnosti u dizajnu složenih

sustava. Tako je i zadatak ispravne sigurnosne arhitekture uspostava konzistentnog sustava
sigurnosti složenog informacijskog sustava organizacije. Kroz sigurnosnu arhitekturu
uspostavlja se slojeviti pristup čime se pojednostavnjuje sloenost sustava sigurnosti.
Model informacijske sigurnosti
Potpuni model sigurnosnog sustava sastoji od tri cjeline:
 Organizacijskog sustava
 Sustava upravljanja
 Tehnološkog sustava
Ovaj model dan je na slijedećoj slici.
Poslovna strategija i ciljevi

Sigurnosni zahtjevi
Sigurnosna strategija i ciljevi
Organizacijaska struktura
Podjela posla -role Organizacijski sustav
Edukacija korisnika
Upravljanje propisima
Upravljanje sredstvima Sustav upravljanja
Upravljanje rizikom
Upravljanjem tehnologijom
Ocjena funkcionalnosti
Validacija i autentifikacija
Kontrola pristupa
Integritet podataka Zaštitna funkcionalnost
Povjerljivost podataka (Sigurnosni servisi) Tehnološki sustav
Anti DoS
Funkcionalnost detekcije
Funkcionalnost odgovora
Funkcionalnost oporavaka
Vrednovanje sigurnosnog sustava
Sigurnosna arhitektura sustava, koji implementira gore navedeni model, sastoji se od nekoliko
osnovnih blokova, prikazanih na slici 2.2

Povjerenje Kontrola
Sigurnost Raspoloživost Fizièki pristup Pristup mreži
Kontrola
Integritet Oporavak Upravljanje
pristupa
Tajnost Kontinuiranost Mjerenje
Autentifikacija Postojanost Monitoriranje i detekcija
Neodbacivanje Konzistentnost Promjene upravljanja
Performanse Nadzor
Osnova
Sigurnosna politika Sigurnosna naèela Sigurnosni kriteriji i standardi Izobrazba
Slika 2.2 Model sigurnosne arhitekture
Model je podijeljen:
 osnova,
 povjerenje i
 kontrola.
Osnova proizlazi iz poslovne i sigurnosne strategije. Povjerenje određuje sigurnosne servise

i funkcije koje se moraju implementirati kako bi se postiglo povjerenje u informacijski
sustav, a kontrola zahtjeva uspostavu sustava upravljanja i nadzora sigurnoću (ISMS-
Information Security Management System). Ovako prikazani model odgovara
konceptualnoj razini SABSA modela koji će biti kasnije prikazan.
Osnova sigurnosnog sustava
Osnova sigurnosnog sustava određena je:
 strategijom (sigurnosnom politikom) organizacije,

 principima te
 definiranim sigurnosnim kriterijima i
 odabranim standardima.
 Sigurnosna politika
Sigurnosna politika će:
 postaviti pravce,
 dati potpun vodič i
 demonstrirati potporu uprave te odanost sigurnosnom načinu rada

Ciljevi sigurnosne politike:
 učinkovito upravljanje i nadzor rizika,

 definiranje odgovornosti djelatnika za zatitu informatičkih sredstava,
 postavljanje osnove za stabilne uvjete rada,
 osiguravanje podudarnosti sa primijenjenim zakonima i propisima, te
 mogućnost očuvanja, u slučaju zloupotrebe, gubitka, ili neovlatenog otkrivanja
sredstava sustava.
 Načela
to sigurnost znači za organizaciju i kako će ona biti uvedena ?
 inherentno povjerljivi korisnici,

 inherentno nepovjerljivi korisnici.
 Kriteriji i standardi
Sigurnosni kriterij :
 Definiran referentni standard (TCSEC) primijenjen na sigurnosnu komponentu i

tehnologiju.
 Edukacija
Formalni program edukacije - obavezna komponenta sigurnosne arhitekture.
Povjerenje
Sastav :
 sigurnosti,
 raspoloživosti i
 performansi.
 Sigurnost
Komponente:
 integritet,
 kontrola pristupa (autorizacija) ,
 tajnost,
 autentifikacija i
 neodbacivanje
 Integritet

Mehanizam kontrole treba omogućiti :

 detekciju,
 ispravak ili
 obiljeavanje namjerno ili slučajno nedoputenih izmjena (podataka,
programa, sklopova).
 Kontrola pristupa (autorizacija)
Osnova:
 identifikacija
 autentifikacija
Autorizacija (podloga na):

 vremenskoj ovisnosti,
 klasifikaciji podataka,
 ulozi ili funkciji korisnika,
 sistemskoj adresi,
 vrsti transakcije, te
 vrsti zahtijevane usluge.
 Tajnost
Osnovna metoda kojom se informacija održava tajnom je kroz kriptiranje podataka.
 Autentifikacija
 Jednoznačno identificiranje i verifikacija korisnika, stroja ili aplikacije.

 Osnova autorizacije i osnovni zahtjev za nadzor i kontrolu pristupa.
 Neodbacivanje
 Odbacivanje izvora (porijekla)

 Odbacivanje isporuke (prijema)
 Raspoloživost
 Kontinuiranost
 Postojanost
 Oporavak
 Konzistentnost
Napad:
 odbacivanje servisa (DoS).
 Performanse
Odgovoriti na zahtjeve u prihvatljivom vremenu ?

Kontrola - Upravljanje i nadzor
Nadzor i upravljanje sigurnosnim mehanizmima:
 Fizički pristup - kontrola pristupa stvarnim računarskim i mrenim uređajima.

 Pristup mreži - kontrola pristupa mreži.
 Upravljanje - kontrola i nadzor sigurnosnih mehanizama.
 Mjerenje - utjecaj sigurnosnih mehanizama na rad sustava i mogućnost detekcije
neuobičajenih događaja.
 Monitoriranje i detekcija - mogućnost detekcije kompromitirajućih učinaka i
situacija.
 Promjene upravljanja - upravljanje izmjenama sigurnosnih mehanizama.
 Nadzor - evidencija (zapis) svih raspoloživih informacija za pregled sigurnosnih
događaja.
Sigurnosni kriteriji (odabir tehnologija)
 Određivanje i definicija zahtjeva (svojstava) sigurnosne okoline.

 Vrednovanje sigurnosnih komponenti i primijenjene tehnologije.
 US DoD i NTSC (TCSEC), ECMA, X/Open,..)
 C2 (TCSEC)– minimum za IS
Sigurnosni standardi
 Pomoć kod određivanja sigurnosne arhitekture.
 Principi
 Opći principi sigurnosti - General Accepted System Security Principles (GSSP)

definirani su i prihvaćeni od strane Information Systems Security Association (17
principa)
 Sigurnosna politika
 Ne postoje posebni standardi .

 Pomoć:
 Orange Book: Trusted Computer System Evaluation Criteria
 Red Book: Trusted Network Interpretation
 Green Book: Password Management Guide
 Blue Book: Personal Computer Security Considerations
 Brown Book: Trusted DBMS Interpretation
 Yellow Book: Trusted Environment Interpretation
 Definicije

 Standard sigurnosne arhitekture ISO/IEC 7498-2, Information Technology-Open

Systems Interconnection-Basic Reference Model- Part2: Security Architecture (poznat
kao ITU-T preporuke X.800)
 Fizička sigurnost
 Jedini standard koji postoji je National Communication Security 5100A (NACSIM
5100A) za Vladu USA, a naziva se Tempest standard.
 Upravljanje sa sigurnoću
 Inačica 2 SNMP (Simple Network Management Protocol) standarda uključuje
RFC 1351: Administracijski model; RFC 1352: Sigurnosne protokole; i RFC
1353: Definiciju objekata za upravljanje za potrebu administriranja SNMP
dijelova..
 Monitoriranje i detekcija
 OSI standard, ISO/IEC 10164-7 (X.736), Security Alarm Reporting Function, daje 14
tipova alarma te njihov vjerojatni uzrok.
 Nadzor
 DCE RFC 29.0 prikazuje specifikacije za implementaciju podsustava nadzora u DCE
uvjetima.
 ISO/IEC 10164-8 (X.740), Security Audit Trail Function, koji definira slog zapisa i
klasu događaja koji generiraju slog zapisa.
 Autentifikacija
 ISO/IEC 9594-8 (X.509), Directory Autentification Framework. X.811 standard
 Kontrola pristupa
 ISO/IEC 10181-3 (X.812), Access Control –kontrola u distribuiranim sustavima
 Tajnost
 ISO/IEC 10181-5 (X.814), Confidentiality Framework
 Neodbacivanje
 ISO/IEC 10181-4 (X.813), Nonrepudation Framework - u distribuiranim uvjetima.
 Akreditacija
 (FIPS PUBS #102) - program za certifikaciju i akreditaciju sigurnosnog sustava.
 Vodič
 Dokumetirani opis procesa i procedura koje primjenjuju načela, politiku i standarde
na stavrne sigurnosne mehanizme.

SIGURNOSNE POLITIKE ORGANIZACIJE
Namjena:
 Povlašteni korisnici
 Korisnici
 Vlasnici
 Uravnoteženje mogućih konflikata
Svojstva (Atributi)
 Svrha
 Zatićena sredstva
 Zaštita
 Pokrivenost
 Postojanost (trajnost)
 Realnost
 Koristnost
Donošenje sigurnosne politike
 Skup vie pojedinačnih politika koje se odnose na pojedina područja.
Da li je sigurnosna politika potrebna ?
 zavisnost od informacija koje vode poslovanje,

 Inetrnet je područje koje unosi veliku panju
Radni okvir sigurnosne politike
 Naredbe (iskazi) politike

 Svrha
 Djelokrug
 Podudarnost sa politikom -
 Penali/Posljedice
Osnovni sigurnosni elementi
 Identifikacija
 Autentifikacija
 Autorizacija
 Zaporke
 Informacijski integritet

Politika odnosa prema podatcima
 Klasifikacija podataka
 Čuvar podataka (vlasnitvo)
 Nadzornik podataka (upravljanje)
 Integritet podataka
Politika u odnosu na osobno korištenje
 Osobno korištenje
 Korištenje informacijskog sustava
 Privatnost
Politika upravljanja sigurnoću sustava
 Odgovornosti rukovodstva
 Upravljanje zapisima
 Sigurnosna administracija
 Razdvajanje dužnosti
 Procjena rizika
 Nadzor podudarnosti sa sigurnosnom politikom
 Odstupanje od politike
 Administracija sustava
 Klasifikacija sustava
 Kontinuitet poslovanja
.
Mrežne politike
 Vanjski pristup mreži

 Udaljeni pristup mreži
 Privatnost komunikacija
Politike za korisnike
 Briga korisnika
 Korisnička odgovornost
Programske politike
 Prava kopiranja
 Zaštita od virusa
Ostale politike
 Razvoj aplikacija
 Vanjske obrade
 Fizička sigurnost
 Korištenje standarda
Proces kreiranja politika
 Odgovornosti
 Priručnik o sigurnosnoj politici
 Briga o sigurnosti i izobrazba
 Proces implementacije sigurnosne politike
Primjeri sigurnosne politike
 Politika organizacije
Sigurnosne razine zaštite sredstava:
 Sigurnosna razina 1 (SL1) nije izgrađena za zatitu bilo kojeg specifičnog

sredstva ili da osigura bilo koju razinu zaštite poslovnim uslugama organizacije.
 Sigurnosna razina 2 (SL2) izrađena je za zatitu regularnih sredstava i za
osiguranje normalne zatite od prijetnji koje dovode do otećenja koja dovode do
privremenih posljedica na poslovanje organizacije.
 Sigurnosna razina 3 (SL3) dizajnirana je za zaštitu važnih sredstava i za
osiguranje visoke zaštite od prijetnji koje mogu dovesti do ozbiljnih otećenja ili
da imaju ozbiljne posljedice na poslovanje organizacije.
 Sigurnosna razina 4 (SL4) dizajnirana je da zatiti kritična sredstva i da osigura
vrlo jaku zatitu od prijetnji koje mogu dovesti do vrlo ozbiljnog otećenja ili do
nepopravljivih posljedica za poslovanje organizacije.
 U.S. odjel za energetiku (DOE)
Izvod iz politike za zaštitu klasificiranog materijala:
Politika je DOE da klasificirana informacija kao i klasificirani AOP sustavi trebaju

biti zatićeni od neovlatenog pristupa (uključujući provođenje treba-znati zaštita),
promjena, izlaganja, unitenja, uplitanja sprečavanja servisa, subverzije sigurnosnih
mjera, te nepravilnog korištenja kao rezultat špijunaže, kriminala, zle namjere,
nemarnosti, uvredljivosti ili druge nepodesne akcije. DOE će koristiti sve razumne
mjere da zatiti AOP sustave koji obrađuju, pohranjuju, prenose ili osiguravaju
pristup klasificiranoj informaciji, to uključuje, a nije ograničeno na, fizičku
sigurnost, sigurnost osoba, sigurnost telekomunikacija, administrativnu sigurnost, te
sklopovske i programske mjere sigurnosti. Takav tok postavlja ovu politiku te definira
odgovornost za razvoj, implementaciju i periodičko vrednovanje DOE programa.
 Internet
Politika sadrži :

 Korisnici su individualno odgovorni za razumijevanje i respektiranje sigurnosnih

politika sustava (računala i mrea) koje oni koriste.
 Korisnici su odgovorni da primjenjuju raspoložive sigurnosne mehanizme i
procedure za zatitu njihovih vlastitih podataka. Oni su također odgovorni
pripomoći zatiti sustava koje oni koriste.
 Isporučioci računalnih i mrenih usluga su odgovorni za odravanje sigurnosti
sustava sa kojim rade. Oni su dalje odgovorni za obavještavanje korisnika o
njihovoj sigurnosnoj politici i svim promjenama na nju.
 Ponuđači i projektanti su odgovorni za osiguranje sustava koji su moderni te
sadrže adekvatne sigurnosne kontrole.
 Korisnici, isporučioci usluga, ponuđači sklopovske i programske podrke su
odgovorni za međusobnu suradnju kako bi osigurali sigurnost.
 Na tehničko poboljanje sigurnosnih protokola na Internetu treba gledati na
kontinuiranoj osnovi. U isto vrijeme, osoblje koje razvija nove protokole, sklopove
i programe za Internet treba uključiti razradu sigurnosti kao dio procesa dizajna i
razvoja.
SABSA - model sigurnosne arhitekture

Ovaj model predstavlja praktičnu podlogu za realizaciju sigurnosne arhitekture organizacije
koja se koristi informacijskom tehnologijom.
SABSA model sastoji se od šest razina kako je prikazano na slici 1.
 Poslovni pogled  Kontekstualna sigurnosna arhitektura
 Pogled arhitekta  Konceptualna sigurnosna arhitektura
 Pogled dizajnera  Logička sigurnosna arhitektura
 Pogled graditelja  Fizička sigurnosna arhitektura
 Pogled trgovca  Komponentna sigurnosna arhitektura
 Pogled operativnog menadžera  Operativna sigurnosna arhitektura
Slika 1. SABSA model sigurnosne arhitekture
Kontekstualna razina mora dati puno razumijevanje poslovnih zahtjeva na sigurnost

informacijskog sustava, tj. to, zato, kako, tko, gdje i kada će se koristiti informacijski
sustav. Odgovori na ta pitanja se dobivaju kroz poslovni pogled. To je opis poslovnog
konteksta u kojem je potrebno projektirati, izgraditi i koristiti sigurnosne sustave.
Pogled arhitekta predstavlja sveukupni koncept kroz koji se mogu realizirati poslovni zahtjevi
na sigurnost. Ova razina arhitekture se naziva konceptualna razina jer ona definira principe i
fundamentalne koncepte koji usmjeravaju selekciju i organizaciju logičkih i fizičkih elementa
na nižim razinama SABSA modela.

Pogled dizajnera se odnosi na preuzimanje konceptualne arhitekture i kreiranje logičke

arhitekture. Ova arhitektura pokazuje na glavne elemente u obliku sigurnosnih servisa te
pokazuje na logički tok upravljanja i na njihove odnose. Ovaj pogled modelira poslovanje kao
sustav s njegovim komponentama koje predstavljaju podsustave.
Pogled graditelja odnosi se na preuzimanje logičke arhitekture, koji logičke opise i sheme
pretvara u tehnološki model koji se koristi za izgradnju sigurnosnog sustava koji se naziva
fizička sigurnosna arhitektura.
Pogled trgovca odnosi se na osiguranje određenih vjetina i komponenti nunih za izgradnju

sigurnosnog sustava, a koje se odnose na programske i sklopovske komponente za potrebne
usluge koje trebaju zadovoljiti određene specifikacije i standarde.
Pogled operativnog menadera odnosi se na operacije sigurnosnog sustava, njegove različite
servise, održavanje dobrog rada sustava te njegovog nadzora kako bi se postigle željene
performanse i postavljeni sigurnosni zahtjevi.

6. POSTUPCI DIGITALNE IDENTIFIKACIJE I AUTENTIFIKACIJE

IDENTIFIKACIJA
Identifikacija je osnova za sve aspekte sigurnosti. Svi korisnici, bilo to informacijska sredstva ili
korisnici IS-a moraju imati jedinstveni identifikator.
Identifikacija unutar tvrtke
Vrsta identifikacije koju koristi tvrtka uvjetuje sve ostale sigurnosne procese. U globalnoj tvrtki
postoji određen broj stvari na koje se treba osvrnuti. Zbog velikog broja stavaka za primjenu
identifikatora uvodi se pojam upravljanja imenima.
Jednoznačnost
Identifikatori moraju biti jednoznačni kako bi se korisnik mogao pozitivno identificirati.
Univerzalnost
Ista vrsta (tip) identifikatora treba biti raspoloživa za sve korisnike – pojedince, sustave, ili
programe – sve što zahtjeva pristup informacijama.
Provjerljivost (verifikacija)
Treba postojati jednostavan i standardiziran postupak provjere identifikatora radi

jednostavnosti arhitekture standardnog sučelja .
.
Nekrivotvorljivost
Identifikator mora biti teak za krivotvorenje kako bi se spriječilo krivo predstavljanje
Prenosivost (Transportabilnost)
Identifikator mora biti prenosiv sa lokacije na lokaciju sa kojih korisnik treba pristup.
Lakoća koritenja
Identifikator mora biti jednostavan za korištenje u svim transakcijama koje ga zahtijevaju.

.
Izdavanje identifikatora
Privatno izdavanje
Privatno izdavanje identifikatora daje organizaciji najvišu razinu kontrole.
Javno izdavanje
Javno izdavanje zahtjeva razinu povjerenja u organizaciju koja izdaje identifikaciju.

Područje upotrebe
Područje upotrebe pokazuje kako iroko će se koristiti identifikator, a prema tome koliko
iroko će on biti prihvaćen.
Usko područje
Usko područje koritenja identifikatora općenito daje vie kontrole lokalnom administriranju
sustava.
Veliko područje
Veliko područje smanjuje broj potreba za identifikacijom i autentifikacijom. Koncept jedne

prijave (single-sign-on SSO) se zaniva na području koje uključuje sve to bi korisnik mogao
trebati.
Administriranje identifikatora
Administriranje identifikatora uključuje kreiranje i opoziv identifikatora, proces distribucije

identifikatora, te integraciju identifikatora u autentifikaciju, autorizaciju i administraciju
sustava.
Centralizirana administracija
Distribuirana administracija
Mogućnosti implementacije
Identifikacija mora biti raspoloživa svim pristupnim metodama.
Standardi imenovanja (označavanja) identifikatora
Standardi imenovanja su izgrađeni na X.500, OSI standardu za usluge imenika

(directory service: Active directory, LDAP).
Smart kartice
Smart kartice se mogu koristiti kako za fizičku identifikaciju tako i za elektroničku (digitalnu)
identifikaciju
 Fizička identifikacija se zahtjeva kako bi se osigurala fizička sigurnost.

 Elektronička (digitalna) identifikacija se koristi za svaki elektronički pristup.
Infrastruktura javnog ključa (PKI)
Infrastruktura javnog ključa (PKI) je sustav koji koristi certifikate koji su zasnovani na
kriptografiji javnog ključa za autentifikaciju identifikatora.
Greške identiteta
Greke identiteta dolaze od konfuzije identifikatora za dva različita pojedinca. To moe biti da
identifikatori nisu jedinstveni ili zbog nepanje od strane ljudi koji ih uspoređuju.

Upute (vodič) za izbor identifikatora (Check list)
 Odrediti to će se koristiti za identifikatore

 Odlučiti tko će izdavati identifikatore
 Postaviti zahtjeve neophodne za izdavanje identifikatora
 Odrediti zahtjeve na identifikaciju za svaku klasu transakcija
 Odrediti kako će se identifikacija administrirati
 Izlistati zahtjeve za izdavanje.
 Odrediti razloge za opoziv.
 Odlučiti kako će se informacija o identifikatorima implementirati i koristiti
AUTENTIFIKACIJA
Autentifikacija je postupak verifikacije identiteta korisnika. Korisnici uključuju pojedine osobe,
računalne uređaje i sredstva.
Aautentifikacijska funkcija F :
F (autentifikacijska informacija) = očekivani rezultat
Faktori autentifikacije
Faktori koji se mogu koristiti za autentifikaciju identiteta nekog entiteta su oni faktori koji su
jedinstveni za taj specifični entitet.
Osnovni faktori
 Nešto što znate – dijeljena tajna, lozinka, nešto što korisnik i autentifikator znaju.
 Nešto što imate – fizički ID (npr. identifikacijska kartica, token, smart kartica)
 Nešto što jeste – mjerljiva svojstva (otisak prsta, facijalne karakteristike, boja glasa..)
Implicitni faktori
Implicitni faktori su atributi entiteta koji se mogu odrediti bez interakcije sa entitetom.
 Fizička lokacija
 Logička lokacija.
Višestruki faktori
Općenito koritenje vie faktora u autentifikaciji transakcija daje jaču autentifikaciju..
Modeli autentifikacije

Autentifikacija je verifikacija identiteta kako bi se spriječila impersonalizacija (krivo

predstavljanje), te kako bi se osigurala razina povjerenja koja je nužna za korištenje ovlaštenja
(autorizacija). Vrsta zahtijevane autentifikacije zavisit će od kvalitete identifikatora, pristupne
metode, i zahtijevanih ovlaštenja (privilegija).
Višestruka autentifikacija
U modelu višestruke autentifikacije svaka aplikacija ima potpun kontrolu korištenog

identifikatora za entitet i metode za autentifikaciju.
Jednostruka autentifikacija (SSO)
Jednostruka autentifikacija po sjednici, single sign-on (SSO), velika je prednost za korisnike.
Višerazinska autentifikacija
Vierazinska autentifikacija je proces koji zahtjeva različite vrsta autentifikacije koje ovise o
metodi pristupa, zahtijevanim sredstvima, te zahtijevanim dozvolama.
OPCIJE AUTENTIFIKACIJE
Razina i vrsta autentifikacije zavisi od vrste identifikatora, pristupne metode,

zahtijevane autorizacije, te područja koje je pokriveno autentifikacijom.
I Dvo-strana autentifikacija
Dvo-strana autentifikacija može imati jedno-smjernu i dvo-smjernu shemu.
Autentifikacijska informacija moe biti ili statička (napr. fiksna lozinka) ili dinamička (npr. one-time
lozinka OTP)
Lozinke
 Ponovljive lozinke su najraširenija metoda za autetifikaciju danas (PAP).
 One-time Pasword (OTP)-lozinke za jednu upotrebu je strategija korištenja

lozinke samo jednom, pa i ako je ona uhvaćena , ona se ponovo ne koristi.
 Lozinke Pobude-Odziva (CHAP) su druga metoda kojom se rješava problem

njuškanja lozinki po mreži.
Pobuda /odziv (CHAP)

Shema autentifikacije pobuda/odziv je shema zasnovana na lozinkama u kojoj server

postavlja pitanje korisniku - to znači postavlja izazov(pobudu)- a korisnik mora
odgovoriti na odgovarajući način ili autetifikacija zavrava u greci.
OTP lozinke
Lozinka je valjana samo za jednu sjednicu autentifikacije-ne prije i ne poslije

(S/KEY).
Token kartica
Uređaj koji donosi lozinke. Token kartica generira različiti niz od osam znakova svaki
puta kada se upotrijebi, pa je ona specijalni slučaj OTP sheme. (SecureID, od RSA
Security )
Smart kartice
Naziv smart kartica opisuje komplet malog, veličine kreditne kartice, elektroničkog
uređaja koji se koristi za pohranu podataka i identifikaciju.
Osnovne karakteristike pametnih kartica
Podjela prema tehnologiji za pohranu podataka

 Magnetske kartice
 Kapacitivne kartice
 Optičke kartice
 Poluvodičke tehnologije
o Memorijske kartice
o Procesorske kartice
Podjela prema načinu uspostavljanja komunikacije za memorijske i procesorske kartice
 Kontaktno sučelje

 Beskontaktno sučelje
 Kartice s dva sučelja
Svrha pametnih kartica
Ručni uređaji za autentifikaciju (HHAD)
HHAD su prenosivi uređaji, obično u veličini kreditnih kartica, koji imaju lokalno
spremište podataka i mogučnost računanja.
 Kartice zasnovane na sekvenci.

 Kartice zasnovane na vremenu
 Kartice zasnovane na certifikatima
Biometrijska autentifikacija
Biometrička autentifikacija koristi jedinstvenost izvjesnih fizičkih svojstava i
karakteristika pojedinaca, kao što su otisci prstiju, slika rožnice oka, uzorak glasa ili
facijalne karakteristike. Ta fizička svojstva ili karakteristike mogu se reprezentirati
digitalno kao biometrični podatak ili biometrika.
Osnove biometrike
 Kako se ispituju biometrijski uzorci koji su povezani s ljudima ?

 Kako je taj uzorak spremljen ?
 Što čini podudarnost između prezentirane biometrike - "ponuđenog uzorka" i
upisanog predloška ?
 Važna sovstva:
o Veličina pogrenog prihvaćanja (FAR - false acceptance rate) , dio
pogreno prihvaćenih podudarnosti za ne upisane osobe i
o Veličina pogrenog odbacivanja (FRR - false rejection rate), dio
pogreno odbačenih podudarnosti za legalno upisane osobe
Otisci prstiju

Digital Persona U.are.U Pro

fingerprint scanner.Fingerprint scanners
can be attached to USB ports as an
external peripheral or they can be
embedded within devices.
Skaniranje dužice oka (Iris scan)
PPP AUTENTIFIKACIJA
PPP protokol (Point-to-Point Protocol) osigurava standardnu metodu za enkapsulaciju
informacije mrenog protokola na linijama od točke-do-točke. Da bi se uspostavila veza preko
komunikacijske linije, svaki kraj linije mora prvo razmijeniti Link Control Protocol (LCP)
pakete kako bi dogovorio konfiguraciju veze koja se eli uspostaviti. On uključuje i protokol
autentifikacije.
PAP
PAP, Pasword Autetification Protocol (RFC 1334), osigurava jednostavnu metodu za

korisnika za uspostavu njegova identiteta koristeći dvosmjernu razmjenu, kako je pokazano na
slici 5.1.

Slika 5.1 Dvo-smjerna PAP razmjena
CHAP
CHAP, Challenge Handshake Autetification Protocol (RFC 1994) je tro-smjerna

razmjena koja se koristi da se verificira korisnika na PPP vezi (vidi sliku 5.2).
Slika 5.2 Tro-smjerna CHAP razmjena
EAP
Proširivi autetifikacijski protokol (Extensible Authetification Protocol –EAP) (RFC 2284) je

općeniti autetifikacijski protokol koji podrava viestruke autetifikacijske mehanizme.
Autentifikacijska razmjena je pokazana na slici 5.3.

Slika 5.3 Tro-smjerna EAP razmjena
RADIUS
Sa RADIUS-om (Remote Access Dial In user Service – RFC2138) autentificiraju se udaljeni

korisnici, koji se spajaju preko biranih linija.
Tipična RADIUS autetifikacijska sjednica u dial-in uvjetima radi kako je dano na slici 5.4

S/KEY i OTP
Ideja je da korisnik i usluno mjesto svako konstruira dugu listu OTP lozinki, svaka slijedeća
proizašla je iz predhodne.
S – inicijalna lozinka plus dodatak (salt)

H – hash funkcija (MD4 ili MD5)
xi – elemet u listi lozinki
N – broj ulaza u listi
i = 1, .., N
x1 = H(S)
x2 = H(H(S))
= H(H(x1))
xi = H(xi – 1)
II Autentifikacija kroz povjerljivu treću stranu
Kerberos
Kerberos je mreni autentifikacijski sustav (RFC 1510) koji omogućuje verifikaciju

identiteta entiteta u otvorenoj i nezatićenoj mrei koji koristi treću povjerljivu stranu
(opisan kasnije u mrežnoj sigurnosti).
X.509 PKI infrastruktura
PKI infrastruktura specificirana je od strane ITU (International Telecomunication

Union kroz X.509 standard (ITU97) (prije CCITT X.509), te definira okvir za
provođenje autetifikacije kroz mreu koritenjem kriptografije javnog ključa.
Slika 5.7 X.509 certifikacijska hierarhija

PGP (Pretty Good Privacy) povjerljivi model
PGP (Zimmerman 1995) je familija softwarea koji je razvio Philip R. Zimmerman za

zatitu i sigurnost elektroničke pote, kroz enkripciju njenog sadraja i autentificiranje
njenog pošiljaoca.
Slika 5.8 PGP mreža povjerenja
III Autentifikacija u VPN-u
Uloga autentifikacije u VPN-u je da se verificira identitet strana uključenih u uspostavu VPN tunela.
 Autetifikacija između prospojnika

 Autentifikacija klijent-prospojnik
Slika 5.9 Autentifikacija u VPN-u

Upravljanje autentifikacijom
Upravljane autentifikacijom treba biti jednostavno i integrirano u upravljanje identifikatorima.
Autentifikacijski server
Autentifikacijski server je sustav koji kontrolira autentifikaciju za potrebe IS tvrtke.

On sadri centralni repozitorij identifikatora, te odgovarajućih autentifikacijskih metoda za
svaki identifikator koje su zasnovane na pristupnoj metodi i zahtijevanim ovlaštenjima.
Narušavanje autentifikacije
Autentifikacija zahtjeva da entitet koji se autentificira šalje potvrde (vjerodajnice) entitetu koji
provodi autentifikaciju.
Direktni napadi
Direktni napadi su direktni napadi na sam proces autentifikacije.
 Pogađanje je postupak pogađanja autentifikacijskih tokena sve dok se ne pogodi

jedan ispravan.
 Razbijanje (cracking) je proces stvarnog izračunavanja lozinki. Ipak treba reći,
da je termin "cracking" često koriten kada je to ustvari pogađanje lozinki.
Indirektni napadi
 Njuškanje je proces prisluškivanja dok se sam identitet autentificira, te prihvat

autentifikacijske informacije.
 Dohvat i odgovor je proces dohvata autentifikacijske komunikacije i odgovor na
nju, tako da autentifikator misli da se entitet reautentificira.
 Otimanje sjednica (Session Hijacking) je krađa sjednice nakon što je provedena
autentifikacija.
Socijalni (društveni) napadi
Napadi na pojedince u pokušaju da oni obznane token za autorizaciju.
 Socijalni inženjering je proces uvjeravanja nekoga da je sigurno otkriti željenu

informaciju.
 Istraživanje je proces otkrivanja korisničke pozadine kako bi se skupilo dovoljno
osobnih informacija koje bi omogućile određivanje vjerojatnih tokena.
 Pretraživanje je proces fizičkog pretraivanja za tokene koji pripadaju
korisnicima.
 Prisluškivanje je proces promatranja korisnika koji unosi token.
Upute (vodič) za izbor i primjenu autetifikacije (Check list)
 Odrediti odgovarajuće metode za autentifikaciju unutar tvrtke

 Standardizirati autentifikacjske postupke kroz cijelu tvrtku

 Zahtjevanu autetifikaciju treba zasnovati na:
o Pristupnoj metodi
o Zahtijevanoj informaciji
o Zahtijevanom ovlaštenju

PKI – infrastruktura javnog ključa (PUBLIC KEY INFRASTRUCTURE)
PKI ima tri osnovna procesa:
 cerifikaciju,
 validaciju,
 i opozivanje certifikata.
PKI arhitektura
Slika 5.10 PKI arhitektura
Certifikacija
Certifikacija objedinuje korisnički identitet sa njegovom relevantnom informacijom (ponekad

se informacija ne odnosi na identitet nego i na druge atribute korisničkog entitetea). Da bi
osigurao autentičnost i integritet takvog objedinjenja, CA potpisuje dokumenat sa svojim
privatnim ključem.
U toku certifikacije događa se nekoliko koraka:

 CA mora verificirati da je informacija koja treba biti sadržana u digitalnom certifikatu

autentična i točna.
 Generiranje parova ključeva. Korisnički javni ključ mora biti uključen u certifikat. Često
korisnik sam generira par ključeva te alje samo svoj javni ključ CA-u.
 CA potpisuje certifikat sa privatnim ključem. To proizvodi dvije stvari: certifikat je
potvrđen od CA, a i integritet certifikata je zatićen.
 Nakon što je digitalni certifikat kreiran i potpisan od CA, korisnik može dobiti certifikat
od CA.
Validacija
Certifikat mora biti validiran prije nego mu se vjeruje. Validacija certifikata uključuje
slijedeće korake:
 Provjerava se integritet kroz verifikaciju digitalnog potpisa koristeći javni ključ od CA.
 Provjerava se valjanost intervala digitalnog certifikata.
 Provjerava se CRL lista od CA kako bi bili sigurni da certifikat nije opozvan.
Opoziv certifikata
Cerifikat se može opozvati prije njegovog isteka važenja, ukoliko postane neupotrebljiv zbog
nečega, npr. kada se otkrije privatni ključ, ili informacija unutar njega vie nije valjana.
CA opoziva certifikat uključujući ga u listu opozvanih certifikata koja se naziva lista

opozvanih certifikata (CRL)..
CA čini CRL poznatom objavljivanjem u dobro poznatom repozitoriju. CRL se aurira

periodički.
Modeli povjerenja
Izvrsna matematička svojstva kriptografije javnog ključa ne mogu rijeiti problem kako se
povjerenje ugrađuje i delegira u PKI infrastrukturi.
Neki ljudi imaju viziju jednog globalnog PKI preko cijele kugle. Drugi vide konfederaciju
PKI-ova zasnovanih na političkim strukturama kao to su nacije i građanstvo. Neki drugi
preferiraju model u kojem, povjerenje smjeteno u CA je ograničeno za specifične namjene
za koje se uspostavlja CA.
Model jednog CA povlači jedan PKI za cijeli svijet, gdje svatko koristi jedan CA kako bi
dobio i verificirao certifikat.
Hijerarhijski model ima jedan root CA koji nastavno delgira povjernje drugim CA-ovima u
hierhijaskoj formi. PEM (Privacy Enchanced Mail – RFC 1422) i DNSSEC (Secure Domain
Name System – RFC 2065) koriste taj pristup.

Distribuirani modeli pretpostavljaju da su svi CA-ovi kreirani jednako. Svaki CA ima svoju
vlastitu domenu povjernja i odgovoran je za konfiguriranje svojih vlastitih ključeva u
aplikaciju. (PGP).
 Problem unakrsne certifikacije (cross certification).

 Unakrsni certifikat
 Sigurnosna politika u domenama usklađena i usvojena

7. SUSTAVI ZA SIGURNOSNO UPRAVLJANJE I NADZOR TOKOVA

PROCESA (WFMS)
Obilno koritenje WFMS za kritične i strateke aplikacije podie brigu o prijetnjama
sigurnosnim svojstvima kao što su:
 Integritet koji sprečava neovlatene modifikacije informacija. Integritet osigurava

ispravnost i adekvatnost sadržaja informacija. Integritet se odnosi i na legitiman
uzorak operacija u pristupu podatcima. U radnom toku (WF) nije dozvoljeno
mijenjanje ili uništenje podataka od strane neovlaštenih agenata.
 Autorizacija je identifikacija od strane sustava različitih funkcija koje korisnik može
izvoditi. Pojedino pravo povezano je s ulogom koja izvodi određeni zadatak ili
pristupa određenom sredstvu (npr. dokumentu). U radnom toku autorizacija znači da
se niti jednom podatku ili sredstvu u bilo koje vrijeme ne može pristupiti bez određene
autorizacije agenta koji koristi podatak ili neko drugo sredstvo informacijskog sustava.
 Raspoloživost sprečava neovlateno zadravanje neke informacije ili sredstva.
Informacijsko sredstvo mora biti raspoloživo unutar specificiranog vremena (sjednice)
jednom kada je zatraženo. U radnom toku podatak ili sredstvo mora biti na
raspolaganju agentu za legitimnu upotrebu. To znači da radni tok ne moe biti zavren
ukoliko ne postoji raspoloiv agent za vrijeme izvođenja zadataka.
Općenito, sigurnosni zahtjevi su posebno potrebni u WF-u kada:
 WF radi sa povjerljivim i osjetljivim podatcima.

 se informacija prenosi u ili od skupa agenata
 postoje posebne autorizacijske procedure za različita sredstva ili informacije koje treba
provoditi u izvođenju WF-a.
Glavnina istraživanja u WFMS-u odnosi se danas na infrastrukturu WFMS-a i na upravljanje

transakcijama u izvođenju WF-a. Ovdje ćemo prikazati autorizacijski model (WAM) sa
aspekta agenata, događaja i podataka koji izvodi WF na siguran način. Razvit ćemo
autorizacijski model upotrebom vierazinskog konačnog automata
Radni tok (Work Flow -WF)
Radni tok može predstaviti kao parcijalno uređen skup zadataka,
t1, t2, …. tm.
Sigurni WF model
Definicija 1. Sigurni WF je računalno podrani poslovni proces koji je sposoban nositi se sa

sigurnosnim prijetnjama te koji je u stanju zadovoljiti sigurnosne zahtjeve koji su definirani
od strane WF modelara.
Definicija 2. Sigurni WFMS je sustav za upravljanje WF-a koji može specificirati, upravljati
i izvoditi sigurni WF.

Opis modela:
 T = {t1, t2, …, tm} je skup od m zadataka.

 E = {e1, e2, …, et} je skup od t događaja. Specijalni događaj estart(workflow) okida
(pokreće) prvi zadatak od WF-a, a drugi specijalni događaj ecomleted(workflow) se generira
nakon zadnjeg zadatka WF-a.
 A = {a1, a2, …., an} je skup n agenata.
 TAC = {tac1, tac2, …, tacm} je skup od m privremenih pristupnih kontrola, TAC
specifikacija.
 D = {d1, d2, …., dp} je skup od p dokumenta.
 PR = {pr1, pr2, …, prq} je skup od q prava.
Realacije između gore navedenih entiteta su slijedeće:
 C : A → T daje skup zadataka nad kojima agent ima mogućnost izvođenja.

Pojašnjeno, C(ai) = {ti1, ti2, …, tik} je skup od k zadataka koji se mogu izvesti od strane
agenta ai, tj. C(ai)  T.
 C-1 : A → T daje skup agenata koji imaju mogućnost izvođenja zadatka. Pojanjeno,
C-1(ti) = {a1i1, a2, …., an} je skup od k agenata koji mogu izvoditi zadatak ti, tj. C-1(ti)
 A.
 N : T → A je preslikavanje tipa jedan-na-jedan, što daje agenta kojemu je pridružen
zadatak za izvođenje. Pojanjeno, N(ti) = ai je agent kojemu je pridrueno izvođenje
zadatka ti, tj. N(ti) A.
 P : D → PR daje skup prava koja mogu biti dobivena za dokument. Pojašnjeno, P(di)
= {pri1, pri2, …, prik} je skup od k prava koja mogu biti dobivena za document di, tj.
P(di)  PR.
 F : T → TAC je preslikavanje tipa jedan-na-jedan što daje za svaki zadatak tj
odgovarajuću TAC specifikaciju, tactj, tj. F(tj) TAC.
 G : TAC → D x PR je preslikavanje koje daje skup parova dokument/prava
specificiranih u TAC. Pojašnjeno, G(taci) = {(di1, pri1), (di2, pri2), …., (dik, prik)} je
skup od k parova dokument/prava koji su navedeni u taci, gdje je  j=1,2,…, k prij 
P(dij).
Treba uočiti da funkcija kompozicije F ◦ G : T → D x PR daje skup pristupa dokumentu koji

su potrebni za vrijeme izvođenja određenog zadatka.
Glavni razlozi za korištenje višerazinskog automata su:
 Različiti aspekti toka autorizacije mogu se modelirati u jednom okviru.

 Vierazinski konačni automat podrava konkurentna stanja.
 Sa aspekta administriranja autorizacijama, administrator sigurnosti može
primijeniti različite sigurnosne servise za uspostavu sigurnosnih svojstava na
različitim razinama.
 Vierazinski automat omogućava analizu, simulaciju i validaciju WFMS sustava
prije nego se taj sustav implementira.

Vierazinski konačni automat za sigurni radni tok (WF)
Autorizacijska WF razina Kontrolna razina Razina podataka

funkcija
Assign(t,a) *
GrantT(t,a,se) *
RevokeT(t,a,se) *
GenerateE(t,a,e) *
Grant D(t,a,e) *
RevokeD(t,a,e) *
Autorizacijske funkcije
Funkcija 1: Assign (t,a) se koristi kako bi se osiguralo svojstvo autorizacije, gdje sigurni
WF model pridružuje zadatak agentu onda i samo onda ako ga agent može izvesti.
Funkcija 2: GrantT(t,a,se) osigurava svojstvo integriteta i autorizacije tako da sigurni WF

model dodjeljuje zadatak agentu za izvođenje onda i samo onda ako je generiran skup
ulaznih događaja (se IE(t) ) , tj. izvođenje zadaka nije započeto dok ne zavre zavisni
zadatci koji se odnose na relevantnu sjednicu.
Funkcija 3: RevokeT(t,a,se) osigurava svojstva integriteta i autorizacije tako da sigurni

WF model opoziva zadatak koji je bio pridružen agentu onda i samo onda ukoliko je
generiran skup izlaznih događaja (se OE(t)), te ukoliko su povučena sva dodijeljena
prava na dokumente u datoj sjednici.
Funkcija 4: GenerateE(t,a,e) osigurava svojstvo integriteta i autorizacije tako da agent

moe generirati događaj (e  E) za zadatak onda i samo onda ukoliko je autoriziran u toj
sjednici.
Funkcija 5: GrantD(t,a,e) osigurava svojstvo integriteta autorizacije tako da sigurni WF

model dodijeljuje agentu pravo na pristup dokumnetu za izvođenje onda i samo onda ako
je to autorizirano sa zadatkovnim TAC-om u datoj sjednici.
Funkcija 6: RevokeD(t,a,e) osigurava svojstvo integriteta i autorizacije tako da sigurni

WF model povlači agentu pravo na pristup dokumentu onda i samo onda ako je pravo na
pristup dokumentu ili zadatak završio u toj sjednici.

Vierazinski konačni automat za sigurni radni tok (WF)
Rad modela:
Razina radnog toka (WF)
WF razina uključuje sigurnosna svojstva zadataka, događaja i agenata.
Sigurnosni zahtjev koji će osigurati sigurnosno svojstvo raspoloživosti je :
Za svaki zadatak mora postojati najmanje jedan agent koji ga može izvršiti.
Invarijantni izraz 1: C-1(t)  0.

Sigurnosni zahtjev koji treba osigurati sigurnosno svojstvo integriteta i autorizacije

na WF razini je:
Agent može izvesti pridruženi zadatak onda i samo onda kao ima dodijeljeno pravo
"izvedi". Sigurni WF mora povuči pravo od agenta kada je zadatak zavrio
izvođenje.
Invarijatni izraz 2: Agent a može izvoditi zadatak t onda i samo onda ako je
 t T , N(t) = a.
Kontrolana razina
Tok autorizacije je upravljan sa događajima koje generira svaki zadatak, a kontrolna

razina je jezgra sigurnog WF-a. Ona uključuje sigurnosna svojstva događaja i
zadataka.
Za vrijeme izvođenja zadatka agent generira različite vrste događaja kao to su
događaji za pristup dokumentu. Na primjer :
"acquire(d, pr)", "release (d, pr)" ili "process(d, pr) gdje je d  D i pr  PR.
Ovi događaji za pristup dokumentu okidaju razinu podataka koja se treba izvesti.
Razina podataka
Razina podataka ovog modela uključuje sigurnosna svojstva zadataka, agenata i

dokumenta.
Sigurnosni zahtjev koji treba osigurati sigurnosna svojstva integriteta i autorizacije

na razini podataka glasi:
Agent moe pristupiti dokumentu sa specifičnim pravom onda i samo onda ako je
pravo pristupa dokumentu dodijeljeno agentu, koji može pristupiti dokumentu samo za
vrijeme izvođenja zadatka. Sigurni WF treba opozvati prava pristupa dokumentu od
agenta čim to pravo vie nije potrebno.
Invarijatni izraz 3: Pravo pristupa dokumentu je dodijeljeno/povučeno za/od agenta za

neki zadatak onda i samo onda ako je:
 t T , N(t) = a i  d D, pr PR.
Korištenje Petrijevih mreža
Pored gore navedenog rjeenja za WAM moguće je koristiti formalni model za tokove
procesa korištenjem Petrijevih mreža (PN).

8. SIGURNOST I ZAŠTITA PROGRAMA I OPERACIJSKIH SUSTAVA

Greške:
 nenamjerne ljudske greške
 namjerne greške – zloćudni kod
Sve programske greke ne moemo izbjeći, iz dva razloga:

 Kontrola programa se jo uvijek provodi na razini pojedinačnog programa i
programera. Nepredvidive greke. često puta i programer moe neke greke i
sakriti.
 Drugo, programiranje i programsko inženjerstva se mijenjaju i razvijaju puno brže
nego tehnike u računarskoj sigurnosti..
Virusi i drugi zloćudni kod
Virus
 Tranzietni virus
 Rezidentni virus
Trojanski konj
Logička bomba
Vremenska bomba
Vrata upada ili zadnja vrata(back door)
Crv.
Zec
Kako se virusi priključuju (veu) na programe
 Dodani virusi
Originalni Virusni kod Virusni

program kod
+ =
Originalni
program
Virus koji se dodaje na program

 Virusi koji okružuju program
Fizički Logički
Virusni Originalni Virusni kod

kod program Dio (a)
Originalni
program
Virusni kod
Dio (b)
Virus okružuje program

 Integrirani virusi i zamjene
Originalni Virusni
program + kod =
Modificirani
program
Virus integriran u program
Kako virusi dobivaju kontrolu ?
 Jednostavnom zamjenom programa T na disku sa virusom V

 Promjenom pokazivača u tablici datoteka tako da se locira V umjesto T

Kvaliteta virusa:
 težak za detekciju
 težak za uništenje ili deaktiviranje
 iroko područje irenja
 mogućnost reinfekcije
 lakoća kreiranja
 strojno neovisan (neovisan i od OS-a)

Smještaj za viruse (dom):
 Boot sektor virusi
Boot sektor Drugi sektori
Bootstrap Inicijalizacija
loader sustava
(a) Prije infekcije
Boot sektor Drugi sektori
Virus Inicijalizacija Bootstrap

kod sustava Loader
(b) Poslije infekcije
 Memorijski rezidentni virusi
 Ostala domišta za viruse
o Aplikacioni program ( word procesor, tablični kalkulatori, ..

 Macro virusi
o Biblioteke programa
o Kompilatori, loaderi, linkeri, debugeri
Virusni potpisi
Akcije:
 smještaj
 izvođenje
 širenje

Potpis - izdajnički uzorak
 Memorijski uzorci
 Uzorci izvođenja
 Uzorci prijenosa
 Polimorfni virusi
Sprečavanje od virusne infekcije

Anti-virusni software
Napadi virusa koriste (exploit) nedostatak kontrola integriteta informacijskog sustava. Kako
bi se obranili moramo sami uključiti te kontrole. Neki od rapoloivih zatitnih mehanizama su
specifični za viruse, ali oni općenito adresiraju integritet. Strategija obrane treba imati
slijedeće komponente:
 Prevenciju: zaustavljanje infekcije sustava.

 Detekciju: detektiranje virusa koji su infektirali sistem.
 Reakciju: restauriranje sustava do čistog stanja.
Administrativne mjere i briga korisnika su važne za uspješnu zaštitu od virusa.
Fizičke i administrativne kontrole
Fizičke i administrativne kontrole su izvrstan put za sprečavanje ulasaka virusa u sustav. Neke
od tih mjera su iznenađujući jednostavne. Ako ne želite pisanje na flopy disk postavite zaštitu
pisanja, pa niti jedan virus neće moći inficirati disketu. Ako operacijski sustav ima kontrolu
pristupa, treba je ispravno iskoristiti. Na primjer treba postaviti skup dozvola za pristup
datotekama s aplikacijama na mrenom serveru samo za čitanje i izvođenje.
Postaviti sigurnosne mjere na mjesta gdje virusi mogu ući u sustav. Testirati novi software na
karantenskim računalima gdje je instaliran anti-virusni software. Testirati sa računom koji
ima samo neka moguća prava, kao to je Gost. Jo bolje koristiti prospojno računalo
(gateway) za izvođenje virusnog scanera , ispitati sve diskete koje ulaze u sustav. Ako je
floppy disk čisti, on dobiva oznaku te je tada spreman za koritenje unutar organizacije. Ako
je oznaka (stiker) na disku, tada je to briga korisnika da detektira neovlašteni disk unutar
organizacije. Ako je oznaka elektronička zapisana na disk, tada računalo unutar organizacije
može kontrolirati prisutnost oznake i odbaciti neovlašteni disk. Danas su vatrozidovi
(firewall) opremljeni virusnim scanerima za pregled virusa koji dolaze s mreže.
Treba provoditi regularnu (redovitu) kontrolu i držati anti-virusni software ažurnim. Anti-
virusni software treba uključiti u svaku login skriptu korisnika. Sistemski programi mogu
automatski provesti kontrolu u unaprijed određeno vrijeme. Na primjer, u Unixu sistemski
administrator moe reći cron programu da izvede programe za kontrolu integriteta. Ne treba
se oslanjati na samo jednu kontrolu, treba koristiti kombinacije kontrola.

Treba postojati plan za izvanredne situacije (contigency plan), tj. Kako reagirati na pojavu
virusnog incidenta. Često se događa da neadekvatna reakcija moe izazvati vie tete nego
sam virus. Jasno je , da su čisti back-up-ovi neobično vani za restauraciju IS-a nakon
virusnog napada. Ipak, nije rijetko da se u vrijeme kad je detektiran virus, da je on već nađen
na svim backup-ovima koji se čuvaju.
Kriptografska kontrolna suma
Kriptografska kontrolna suma je standardna tehnika zaštite integriteta. Kontrolna suma se

računa za čistu verziju datoteke koju treba zatiti . Ta se vrijednost sprema na sigurno mjesto,
idealno bi bilo u ROM, npr. na CD. Kadgod se ta datoteka koristi trenutno izračunata
kontrolna suma datoteke se uspoređuje sa uskladitenom vrijednoću.(VACINE). Bilo koja
promjena u originalu će biti detektirana. Tu je jasno da kontrolor kontrolne sume ne mora
znati ništa o virusima kako bi detektirao njihovu prisutnost. On čak to vie detektira i
nepoznate viruse (za koje još nisu poznati njihovi potpisi).
Generatori kontrolnih suma su ranjivi kad god se treba ponovno izračunati kontrolna suma ,
npr. kada se mijenja datoteka , ili kada se izgubi kontrolna suma. Zato su oni pogodni za
korištenje tamo gdje se u organizaciji koriste standardni, već razvijeni programi, a ne tamo
gdje se programi razvijaju. Isto tako kontrolori kontrolne sume ne otkrivaju prisutnost
određenog virusa koji je izazvao infekciju, to oteava uspostavu plana daljnjih akcija nakon
što je infekcija detektirana.
Kada sigurnosni sustav zna kako izgleda objekt koji zatićuje, on ne mora znati kako izgleda
napadač. On treba pregledati izmjene u objektu.
Scanneri
Scanneri pretražuju datoteke za postojanje uzoraka (virusnih potpisa) koji identificiraju

poznati računalni virus. Evidentno je da oni moraju poznavati virus koji detektiraju, pa prema
tome oni se moraju kontinuirano ažurirati na postojanje novih virusa. Scanneri su još uvijek
najpopularniji anti-virusni software. Oni se mogu koristiti bez ikakve pripreme, dok se
kontrolori kontrolne sume mogu koristiti samo nakon što je kontrolna suma generirana, a
skaneri mogu reći točno koji se je virus pojavio, kako bi se mogle poduzeti odgovarajuće
akcije.
Posebno je važno da scanneri raspolažu tehnikama za brzo pretraživanje, kako bi bili
djelotvorni. Tako da oni mogu kontrolirati samo početak ili kraj datoteke, pa virusi raspršeni
kroz kod mogu proći. Tradicionalno scanneri pretrauju cijele datoteke kada su u memoriji.
Scanneri na pristupu pregledavaju datoteke kada se zahtjeva pristup datoteci.
Scanneri se moraju nositi sa činjenicom da se virusi generiraju u laboratoriji često i brzo.

Mutacijske mašine generiraju brzo nove verzije virusa. Polimorfni virusi ugrožavaju tehnike
prepoznavanja uzoraka, pošto isti virus poprima razne oblike pojavnosti. Jednostavni scanneri
bazirani na prepoznavanju uzoraka ne mogu se nositi sa ovim problemima. Makro virusi
donose svoj problem., jer su oni pisani u jeziku visoke generacije pa nisu zgodni za
pretraživanje uzorka sirovog koda. Stoga napredni scanneri sve vie kreću prema
prepoznavanju ponašanja, tj. semantičkim svojstvima , umjesto niza bitova koji definiraju
uzorak.

Konačno tu je i problem pozitivne greke. Datoteka moe slučajno sadravati virusni potpis ,
pa će scanner pogreno alarmirati postojanje virusa. to vie virusnih potpisa scanner ima u
bazi to je i veća vjerojatnost za pogreni alarm.
Kada sigurnosni sustav ne zna kako izgleda objekt koji titi, budući je on legitimno izmijenjen,
on mora znati kako izgleda napadač, ili kako se on ponaa. Jedino tada on moe provjeriti
njegovu prisutnost.
Preporuke
 Koristiti samo komercijalne programe iz pouzdanih i dobro poznatih dobavljača.

 Testirati sve nove programe na izoliranim računalima.
 Napraviti boot disketu i spremiti na sigurno.
 Napraviti i zadržati kopije sistemskih datoteka za izvođenje.
 Koristiti skanere virusa redovito.
Neke istine i nejasnoće o virusima
 Virusi mogu inficirati sustave koji nisu PC/MS-DOS/Windows.

 Virusi mogu modificirati i skrivene datoteke te "read only" datoteke.
 Virusi se mogu pojaviti u datotekama podataka (CONFIG.SYS i MAKRO)
 Virusi se mogu širiti i drugim putem osmi disketa (mreže, bulletin boards,..)
 Virusi ne mogu ostati u memoriji nakon potpunog gašenja i paljenja kod boot-a.
 Virusi ne mogu inficirati sklopove.
 Virusi mogu biti dobroćudni
Namjerni ciljani zloćudni kod (specifičan kod)
 Vrata upada (trapdoor)
 zaboravi ih odstraniti
 namjerno ih ostavlja zbog testiranja
 namjerno ih ostavlja zbog održavanja završenih programa
 namjerno ih ostavlja u programu kao tajni način pristupa programima nakon što su
oni prihvaćeni za produkciju.
 Napad komadića (salami attack)
 Tajni kanali (covert channels): programi koji ispuštaju informacije

-Memorijski (file lock)
- Vremenski (CPU dodjela)
Kontrola, zaštita od programskih prijetnji
 modularnost,
 nezavisno testiranje,

 zatvorenost , enkapsulacija
 skrivanje informacije
 upravljanje konfiguracijom
 dokaz ispravnosti programa, verifikacija
 pridržavanje standarda, ISO9000 i dr
 i td.
Kontrole putem operacijskih sustava
 povjerljivi operacijski sustavi,

 međusobna zatita programa, pa se svaki posebno titi,
 ograničeni programi, obzirom na pristup sredstvima
 zapis o pristupima sredstvima i dr.
Administrativne procedure
 standardi za razvoj programa i njihovo provođenje

 sigurnosni nadzor
 odvajanje dužnosti ( projektant, programer, operater, ..) i dr.

ZAŠTITA I SIGURNOST OPERACIJSKIH SUSTAVA

Usklađenost (podudarnost) između fizčkih stanja sustava i autoriziranih stanja modela
osigurana je sigurnosnim mehanizmima
Osnovni koncepti operacijskih sustava
Aplikacije
Operacijski sustav
Asemblerski stroj
Firmware stroj
Sklopovski
stroj
Razine arhitekture računalnog sustava
OS funkcije :
 Upravljanje procesima i procesorom.
 Upravljanje sredstvima.
 Supervizija.
.
OS funkcije orjentirane na podršku sigurnosti:
 Korisnička identifikacija/autentifikacija
 Zaštita memorije
 Nadzor pristupa sredstvima rač. sustava
 Kontrola toka informacija
 Zapisi i nadzor (Auditing)

Korisnička identifikacija/autentifikacija
 Sustavi zasnovani na lozinkama. .

 Sustavi bazirani na upitu-odgovoru.
- Funkcije polinoma.
-
Funkcije zasnovane na transformaciji nizova znakova
-
Funkcije zasnovane na jednostavnim kriptografskim algoritmima
 Sustavi sa dvostrukom autentifikacijom (hand-shaking)
 Autentifikacioni sustavi bazirani na “onom što je korisnik”
o Sustavi računalnih faksimila.
o Sustavi zasnovani na otisku prsta.
o Sustavi zasnovani na prepoznavanju glasa.
o Sustavi zasnovani na svojstvu rožnice oka
Autentifikacija bazirana na lozinkama

Osnovni kriteriji:
 Koritenje najmanje osam znakova, u općenito dugim lozinkama;
 Upotreba numeričkih i alfanumeričkih znakova
 Upotreba velikih i malih slova (ako sustav razlikuje)
 Upotreba specijalnih znakova tipkovnice (na primjer &, @,%);
 Spajanje dviju riječi koje ne koreliraju te skraćivanje rezultirajuće riječi na dužinu n-1,
gdje je n odobrena dužina lozike, te tada ubaciti specijalni simbol;
 Izbor stranih riječi;
 Upotreba niza znakova tipkovnice koja se lako može spremiti (na primjer, zadnja četri
znaka drugog reda, slova u trećem stupcu tipkovice i td.);
 Izbor naziva koji se odnose na hobi pojedinca, njihovo spajanje
 Uvijek izabrati lako zapamtive nazive
Prva riječ Druga riječ Specijalni znak Lozinka

town pick _ town_pi
felix soon @ felix@soon
brain stormy & brain&sto
dog hot ! hot!dog
Korisnici trebaju:
 Izabirati lozinke pridravajući se gornjih kriterija
 Upamtiti svoju lozinku, nikada je ne pisati
 Nikada ne otkrivati lozinke
 Mijenjati svoje lozinke često i regularno.
Otkrivanje lozinki
Dodatak
Datoteka
lozinki
Lozinka DES Kriptirana lozinka Dodatak
Mehanizam dodatka (salt)

Unesena
lozinka od
korisnika
Kriptirana lozinka Dodatak

DES
Kriptirana lozinka
Datoteka lozinki
Usporedba
Kreiranje i validacija lozinki u UNIX-u
Zaštita memorije
Zahtjevi na zaštitu:
 Konkurentni pristupi
 Zatvorenost (samo za programe)
Sklopovski mehanizmi za zaštitu i nadzor dijeljenja memorije:
 Adresa ograde
 Relokacije
 Granični registri (baza/granica)
 Straničenje (paging)
 Segmentacija

Adresa ograde

Relokacija
 za vrijeme kompilacije
 za vrijeme punjenja programa u memoriju (statička relokacija)
 za vrijeme izvođenja (dinamička relokacija)
Zaštita upotrebom baznih registara
Vrijednosti granica:
1. Registri granica.
2. Registri baza/granica.


Zatita područja programa
 Dva para registara

 Arhitekturom oznaka (Tagged architecture).
U nasatvku je dana tablica arhitekture oznaka (tag-ova).
Ozna Memorijska riječ

ka
R Podatak
RW podatak
X Instrukcija
RW Podatak
X Instrukcija
R Podatak
X Instrukcija
X instrukcija
X Instrukcija
X Instrukcija
X Instrukcija
X Instrukcija

Dijeljenje memorijskih područja
Parovi registara:
 za instrukcije - zajedničko područje
 za podatke – privatna područja
Straničenje (Paging)
Pn = L DIV Sp
Po = L MOD Sp
L – logička adresa
Sp – veličina stranice

Dozvoljene operacije ( prava) na stranici
 samo za čitanje,
 čitanje/pisanje,
 samo za izvođenje.
Implementacija
 zaštitni bitovi u tabeli stranica

 podržava dijeljenje programa
 "čisti " kod – samo za čitanje
Problemi
 dekompozicija programa
 različitost prava objekata u stranici

Segmentacija
Segmenti – logički entiteti
 glavni program
 procedure, funkcije
 polja
 i dr.
Dijeljnje programa:
 tabela segmenata svakom korisniku

 zaštitni bitovi u tabeli
 istovrsnost objekta u stranici
 "čisti" kod

Straničenje nasuprot segmnetiranju
Segmentiranje
 homogenost zahtjeva – jedinstveni segment
 snažnije dijeljnje (procedure, funkcije, polja,.)
Straničenje
 raznovrsnost objekata - heterogenost
Starničenje i segmetiranje
 dijeljenje programa
 "čisti" kod
 isti modovi pristupa (operacija)

Upravljanje i nadzor pristupa sredstvima RS/IS-a

Zaštita od neovlaštenog pristupa
 Memorijska zaštitta , CPU i dijeljenje programa - sklopovski

 Ostala sredstva (datoteke, uređaji.) – sklopovski, programski moduli OS-a
Moduli imaju slijedeće zadatke:
 kontrola pristupa
 kontrola toka podataka
 mehanizni nadzora i revizije
Mehanizmi kotrole pristupa
 Identifikacija sredstava
 Identifikacija procesa
 operacija nad sredstvima
o CPU: izvođenje
o Memorijski segmenti: čitaj/pii
o Ulazni uređaji: čitaj
o Izalazni uređaji: piši
o Trake: čitaj/pii
o Datoteke podataka: kreiraj, otvori, čitaj, pii, dodaj, zatvori, izbrii
o Datoteke programa: čitaj/pii, izvedi.
Način rada:
 Pristupne hierarhije
 Matrica zaštite ( matrica pristupa).
Pristupne hierarhije
 privilegirani modovi
o privilegirani i korisnički
o hierarhija zaštitnih razina –pristupna domena
 gnijezda programskih jedinica
. <U5<<<U1>U2>U3><U4>>
(U1 ne može pristupiti objektima U4)
 princip minimalnih privilegija

Matrica zaštite (Matrica pristupa)
A[Si,Oj]
Tehnike implementacije
 Tabela
 Pristupne liste
 Liste sposobnosti (Capability Lists)
 Liste ovlaštenje-stavka (Authority-item lists)
 Mehanizmi brava-ključ (Lock-key)
Matrica zaštite smještena u tabelu
Subjekti Objekti Prava

S1 O1 A(S1, O1)
S2 O2 A(S2, O2)
. . .
Sk Or A(Sk, Or)



Zaštita datoteka
 razina dijeljenja – zahtjev na mehanizme

 nema dijeljena – nepotrebni mehanizmi
 kompromis – nadzor dijeljena
o mehanizmi lozinki
o prava vlasništva
o A-lista svakoj datoteci
o kategorije korisnika
 vlasnik
 grupa
 ostali korisnici
o Polje prava – kategorija korisnika
 UNIX ( primjer: rwx r-x r--)

MEHANIZMI KONTROLE TOKA INFORMACIJA U PROGRAMIMA

 eksplicitni tokovi
y := f(x1,.,xn),
 implicitni tokovi
if f (xm+1, .., xn) then y := f(x1, .., xm).
Bell-LaPadula model
o  p (ss-property)
o  p  o’.( + *-property)
o1  ...  om  p  o’1  ...  o’n (višerazinski BLP model)
o1  ...  om = donja granica

o’1  ...  o’n = gornja granica
Kontrolni mehanizmi za vrijeme izvođenja
 eksplicitni tokovi
xi  y (statička i dinamička veza)
x1  ...  xn  y
 implicitni tokovi
xi  y , (i = m+1, ... , n):
x1  ...  xm  xm+1  ...  xn  y
y := f(x1,.,xn) (eksplicitni tok)
y se pridružuje klasa :
x1  ...  xn.
i vrijedi:
x1  ...  xn  y

Za kondicionalne instrukcije oblika
if f (xm+1, .., xn) then y := f(x1, .., xm),
novu klasu y računamo
x1  ...  xm  xm+1  ...  xn.
Kontrolni mehanizmi u kompilaciji
Instrukcije:
 pridruženja,
 sekvence,
 kondicionalne,
 iteracijske
 i pozivi procedurama.
.
Instrukciju pridruženja:
y := f(x1,.,xm), relacija je
x1  ...  xm  y
To je sigurno ako je savki tok xi  y siguran.
Instrukcija sekvence:
begin I1; ... In end
Sigurna je ako su svi tokovi vezani sa savkom instrukcijom Ii (i =1..n) sigurni.
Za uvjete :
if f(x1, ..x.n) then I1 [else I2]
relacija je:
x1  ...  xm  z1  ...  zm
To je sigurno ako je izvođenje od I1 i I2 sigurno, ako su eksplicitni tokovi i od

I1 i od I2 sigurni, i ako su implicitni tokovi xi  zj , i = 1..n, j = 1.. m
sigurni (zj (j = 1..m) je varijabla cilja za tokove I1 (ili I2).
Za iteraciju:
while f(x1, ..x.n) do I1
definirana je slijedeća relacija:

x1  ...  xm  z1  ...  zm
To je sigurno ako ciklus završi, ako je I1 sigurno i ako su implicitni tokovi xi

 zj sigurni (gdje su zj varijable cilja za tok u I1).
Instrukcija poziva procedure :
procedure-name (a1, ...am, b1, ..., bn),
za procedure oblika:
procedur procedure-name (x1, .., xm; var y1, ..., yn) ;

var z1, ..., zp; * local variables *
begin
procedure body
end;
gdje su x1, ..., xm formalni ulazni parametri, y1, ..., yn su formalni

ulazno/izlazni parametri, dok su a1, ..., am i b1, ..., bn su odgovarajući
ulazno/izalazni stavrni parametri. Poziv proceduri je siguran ako je procedura
sigurna i ako vrijede slijedeće ralacije:
ai  bj if xi  yj 1  i  m i 1  j  n
bi  bj if yi  yj 1  i  m i 1  j  n
Poziv proceduri je siguran ako je ‘procedure-name sigurna, a to znači: ako je

svaki tok ai  bj ovlaten ( i odgovarajući xi  yi ovlašten) i ako je svaki
tok bi  bj ovlaten ( i odgovarajući yi  yj ovlašten).
Sustav dedukcije
 program
 procedure
 instrukcije
Ispravnost programa:
varijable v koj odražava stanje informacije na početku i na kraju procedure, i

programa
Izolacija
 Metoda višestrukog prostora eksploatira virtualnu glavnu memoriju za svakog

korisnika sustava


Metoda virtualnog stroja

IZGRADNJA SIGURNIH OPERACIJSKIH SUSTAVA
Rješenje zasnovano na sigurnosnoj jezgri
Sigurnosna jezgra mora zadovoljiti slijedeća svojstva:
 Potpunost: Izvodeći sve pristupe informacijama sustava;

 Izolacija: Jezgra mora biti zatićena od probijanja.
 Verificiranost: Kod sigurnosne jezgre mora se verificirati kako bi se dokazalo da
on implementira sigurnosne zahtjeve i politike koje su opisane u sigurnosnom
modelu.

Sigurnosna jezgra podrava i nadzire slijedeće funkcije:
 Multiprocesiranje.
 Preklapanje domena izvođenja.
- jezgra,
- supervizor,
- korisnik
 Zaštita memorije..
 U/I operacije
Prednosti :
 Izolacija i separacija. Sigurnosni mehanizmi su odvojeni od OS-a i od korisničkog
prostora; zatita od korisničkog/sistemskog upada je veća;
 Smanjena veličina i verifikacija. Jezgra je mala, koja je odgovorna samo za sigurnosne
funkcije, pa se stoga može formalno verificirati.
 Izmjenjivost. Moguće izmjene sigurnosnih mehanizama su lagane za implemnetaciju i
testiranje.
 Potpuni nadzor. Svi pristupi se provode pod kontrolom sigurnosne jezgre.

9. STANDARDI I KRITERIJI VREDNOVANJA SIGURNOSTI I

POVJERLJIVOSTI SUSTAVA
 Inicijative u USA. US DoD je promovirao DoD Computer Security Initiative u 1977,

a koja je objavljena 1978.
o Natianal Bureau of Standards (NBS danas NIST- National Institute of
Standards and Technology).
 kriptografske standarde (DES, 1977. ANSI)
 proces razvoja i vrednovanja sigurnosnih sutava
o U 1979, Mitre Corporation je povjereno produkcija inicijalnog skupa

kriterija za vrednovanje sigurnosti sustava koji rade sa klasificiranim
podacima.
o U 1981 Computer Security Center (CSC) je osnovan unutar National
Security Agency (NSA). Cilj je bio da se podrži iniciajtiva DoD Computer
Security Initiative.
o U kolovozu 1985, NCSC (National Computer Security Center) je
osnovan, koji je skuupio CSC i sve US federalne agencije. Centar je formiran
sa slijedećim osnovnim ciljevima:
 Osigurati tehničku podrku vladinim agencijama postaviti reference(upute)

za korištenje klasificiranih podataka;
 Definirati skup kriterija za vrednovanje sigurnosti računalnih sustava, te za
ocjenu raspoloživih sigurnosnih produkata;
 Podržati i provoditi istraivanja u području sigurnosti, te također u
području distribuiranih sustava;
 Potpomagati raspoloživost sigurnosnih sustava;
 Razvijati alate za verifikaciju i testiranje u certifikaciji danih sigurnosnih
sustava;
 Općenito, iriti osjetljivost i sigurnosnu kulturu kao u vladinim agencijama
tako i u privatnim tvrtkama.
Dobro poznati rezultat NCSC-a je “Trusted Computer System Evaluation

Criteria “ (TCSEC) dokument , poznat pod nazivom Orange Book
(Depatment of Defense, 1985). (DoD kriteriji).
o Rainbow Series. Tako je, 1987 publiciran Trusted Network

Interpretation (TNI), to je interpretacija TCSEC za računalne
mree, koji se također naziva Red Book (NCSC, 1987). tako se je
1991 pojavio Trusted DBMS Interpretation (TDI) od NCSC-a što
predstavlja interpretaciju TCSEC-a za baze podataka.
 U Europi , nekoliko inicijativa je poduzeto kako bi se definirali sigurnosni standardi

(UK-IT, 1990; Komisija Europske unije, 1991; Jahl, 1990).
o Commercial Computer Security Center (CCSC) Ministarstva trgovine i i

industrije (TDI) u Njemačkoj. Velika Britanija, Francuska, Nizozemska su
surađivale s Njemačkom u definiranju Eropskih standarda za sigurnost.

U 1990. CCSC je publicirao Criteria for Security product Evaluation for

Information Systems, poznata kao White Books.
o Druga okolina gdje sigurnosni zahtjevi trebaju biti strogo definirani je

distribuirana okolina. International Standards Organization (ISO) je odgovorna
za definiranje tih standarda.
o Euorpiean Computer Manufactures Association (ECMA), grupa 50 europskih

proizvođača, također je uključena u u definiranje sigurnosnih standarda (ECMA;
1988). Nezin cilj je definiranje kriterija za distribuiranu obradu i za izmjenu
podataka za izvođenje privatnih aplikacija i javnih usluga ( kao to su e-mail,
usluge pretraživanja i dohvata podataka.Rad ECMA-e je prvenstveno orjentiran
na mrežnu domenu, a posebno na definiranje mrežne sigurnosne politike za
nadzor pristupa objektima(računala/aplikacije) različitih domena
 Druge inicijative
o X/Open organizaciju koja je osnovana 1984, koja uključuje grupu Europskih i
US proizvođača u definiranju standarda za otvorene sustave koji su bazirani na
integracijskom okruženju
X/Open Security Guide opisuje sigurnosne standarde koji promoviraju
portabilnost. Familija X/Open standarda , pod nazivom XPG, raspoloživa je u
raznim verzijama (XPG1, XPG2, XPG3)
o American National Standards Institute ANSI je odgovoran za
odobrenje standarda. Upravo sada, različita ANSI povjerenstva razvijaju
standarde za kriptografiju i autentifikaciju poruka.
o International federation for Information processing (IFIP) okuplja
multinacionalne profesionalne i tehničke organizacije koje rade u području
informacijskih sustava. n.11 Tehnička komisija (TC-11) od IFIP-a za Zaštitu i i
sigurnost informacijskih sustava .
o Institute of Electrical and Electronics Engineerrrs (IEEE) je
međunarodna profesionalna organizacija čiji je zadatak, među ostalima, razvoj
standarda koji se podnose ANSI na odobrenje. Među IEEE standarddima,
najvažniji su:
 Standard za aplikacijsku portabilnost u otvorenim sustavima (Portable
Operating System Interface for Computer Environments – POSIX). POSIX
je razvijen u suradnji sa ISO;
 Standard za razvoj sigurnosnih sustava prema POSIX kriterijima; on je još
uvijek pod razvojem od IEEE 1003.6 Security Extensions Commitee.
DoD kriteriji
Kriteriji definirani od US DoD (1985) daju referncu za razvoj i vrednovanje sigurnosnih

sustava.
DoD kriteriji su definirani kako bi opremili:
- Korisnike sa metrikom vrednovanja ocjene pouzdanosti sigurnostih sustava za
zaštitu klasificiranih ili osjetljivih informacija
- Razvojno osoblje/ponuđači sa vodičem izgradnje.
- Dizajneri sa vodičem za specifikaciju sigurnosnih zahtjeva.

Skup kategorija zahtjeva:

 sigurnosna politika
 odgovoronost
 jamstvo
 dokumentacija.
DoD zahtjevi:
 Trusted Computing Base (TCB)
 Referencijski monitor
Sigurnosna politika.
a) DAC.
b) MAC.
c) Oznake.
d) Ponovna upotreba objekata.
Subjekti Referencijski Objekti

(korisnici, monitor (datoteke,
programi) (TCB) programi,
terminali)
TCB baza podataka

(pravila pristupa, politike,
pristupne klase, i dr.)
Referencijski monitor po DoD kriterijima

Odgovornost (Accounatbility)
a) Identifikacija/Autentifikacija
b) Nadzor (Audit).
c) Povjerljivi put.

Jamstvo (Assurance)
a) Pouzdanost operacija:
I. Arhitektura sustava.
II. Integritet(cjelovitost) sustava.
III. Analiza tajnih kanala.
IV. Upravljanje sa povjerljivoću.
V. Obnova povjerljivosti.
b) Pouzdanost razvoja
I. Testiranje sutava
II. Specifikacija dizajna i verifikacija.
III. Upravljanje konfiguracijom..
IV. Povjerljiva distribucija.
Dokumentacija.
I. Priručnik povjerljivh sredstava i mogućnosti,

II. Korisnički priručnik sigurnosnih svojstava,
III. Test dokumentacija,
IV. Dokumentacija o izgradnji(projektna dokumentacija)
V. Za klase iznad B ( prema DoD hierarhijskoj klasifikaciji): upravljanje
konfiguracijom, arhitektura sustava, izvjeća o analizi tajnih kanala, formalnim
modelu, formalnim i opisnim specifikacijam na visokoj razini

DoD hierarhijska klasifikacija

10. SIGURNOST BAZA PODATAKA
Koncepti baza podataka
 Data Base Management System (DBMS).

 Konceptualni modeli (ER – model)
 Logički modeli (Hierrhijski, mreni, relacioni, objketni)
 Shema baze podtaka(konceptualna i logička)
 Jezici (DDL. DML, QL)
Dijelovi DBMS_a
 DDL kompilacija
 Obrada DML instrukcija
 Upiti u bazu podataka
 Upravljanje bazom podataka
 Upravljane datotekama
Skup tabela daje podršku funkcionalnosti ovih modula:
 Tablice opisa baze podtaka

 Tablice autorizacije (ovlaštenja)
 Tablice konkurentnih (istovremenih) pristupa


Razine opisa podataka
 Logički pogledi
 Logička shema podataka
 Fizička shema podataka


Elementi relacionog modela podataka
 Relacija je skup n-torki (d1,d2,.. , dn) takvih da vrijedi:
d1  D1, d2  D2, …, dn  Dn
 Broj n-torki u relaciji je kardinalitet relacije

 Relaciona baza podataka je skup tablica, gdje tablica odgovara realaciji.
 Realaciona shema se sastoji od od imena relacije i skupa imena realcionih atributa.
 Ograničenja realcionog modela :
 ograničenje integriteta entiteta, to znači da niti jedan primarni ključ ne moe biti
nula;
 ograničenje referencijalnog integriteta, između dvije relacije, to znači da n-torka
u jednoj relaciji, a koja referencira drugu relaciju mora referencirati postojeću n-
torku te relacije.
Deklaracija relacije Student sa slike 1.4 ima slijedeći oblik u SQL –u :
CREATE TABLE Student

(StudNum NUMBER (6.0) NOT NULL,
Name CHAR (20),
Birthdate DATE);
CREATE INDEX FOR Student ON Name
SQL instrukcije pretraživanja, umetanja, brisanja i ažuriranja u bazi podataka
SELECT Name FROM Student

WHERE StudNum > ' 316056' AND < '324567'
INSERT INTO Student

VALUES (307240, 'Ferg', '09-25-65')
DELETE FROM Student

WHERE StudNum = '306318'

UPDATE Student
SET Birthdate = '11-28-63'
WHERE StudNum = '319887'
Osnovni operatori relacijske algebre posebno definirani za relacije su:
 Selekcija  : koji se primjenjuje na relaciju r, a kao rezultat vraća novu relaciju s koja
je formirana od n-torki od r uz verifikaciju predikata ( koji su izraženi kroz formule
koje uključuju konstante i operatore usporedbe).Taj operator provodi horizontalnu
dekompoziciju od r;

 Projekcija  : koji se primjenjuje na relaciju r, a kao rezultat vraća realciju s koja

sadrži n-torke od r definirane na podskupu od atributa od r. Taj operator provodi
vertikalnu dekompoziciju od r;
 Prirodni spoj, r  s; gdje su r(YX) i s(XZ) dvije realcije, tako da je YX  XZ = X;
prirodni spoj od r i s je relacija t definirana na YXZ koja se satoji od skupa n-torki
koje se dobiju spajanjem n-torki u r sa n-torkama u s koje imaju identična vrijednosti
za atribute u X.
Sigurnosni problemi u radu sa bazama podataka
Postizanje sigurnosti u uvjetima baza podataka znači identificiranje prijetnji i izbor

politika (to se od sigurnosti očekuje) i mehanizama ( kako će sigurnosni sustav postići
sigurnosne ciljeve). To također uključujepostizanje jamstva sigurnosnog sustava ( “kako
dobro će sigurnosti sustav ispuniti sigurnosne zahtjeve i izvriti očekivane funkcije).
Prijetne na sigurnost baza podataka
Krenje sigurnosti baza podataka se satoji od neodgovarajućeg (neovlatenog) čitanja,

izmjene ili brisanja podataka. Posljedice se mogu kategorizirati u u tri kategorije:
 Neovlateno oslobađanje informacija

 Neovlaštena izmjena podataka.
 Odbacivanje usluga. (DoS)
Sigurnosne prijetnje se mogu klasificirati prema načinu na koji mogu nastatti:
 Prirodne ili slučajne nepogode.

 Greške ili bug-ovi u HW i SW.
 Ljudske greške.
Krenje sigurnosti uključije dvije klase korisnika:
 Ovlašteni korisnici koji zlorabe svoja prava i ovlaštenja

 Neprijateljski agenti, neovlašteni korisnici (insideri i outsideri)
Zahtjevi na zaštitu baza podataka
 Zaštita od neovlaštenog pristupa

 Zatita od zaključivanja (inference)

 Integritet (cjelovitost) baza podataka

 Operativni integritet podataka
 Semantički integritet podataka
 Odgovornost i nadzor
 Autentifikacija (ovjera) korisnika
 Upravljanje i zaštita osjetljivih podataka
 Višerazinska zaštita
 Zatvorenost
Sigurnosne kontrole
Zatita baze podataka se postie kroz slijedeće sigurnosne mjere:
 Kontrola toka
 Kontrola zaključivanja o podacima
Kontrola toka
Tok između objekta X i objekta Y se događa kad naredba čita vrijednost iz X i upisuje
vrijednost u Y. Kontrola toka provjerava da informacija koja je sadržana u nekom objektu
(npr. izvjeću) ne odlazi eksplicitno (kroz kopiranje) ili implicitno (preko grupe instrukcija
koje uključuju među objekte) u nie tićene objekte.
Kontrola zaključivanja
Kontrola zaključivanja usmjerena je na zatitu podataka od indirektne detekcije.
Kanal zaključivanja je kanal gdje korisnici mogu naći podatak X i tada ga koriste da bi
dobili Y kao Y = f(X).
Glavni kanali zaključivanja u sustavu su:
1. Indirektni pristup.
SELECT X FROM r WHERE Y = value
2. Korelacioni podaci.
3. Nepostojeći podaci.
Statističko zaključivanje
Statistički napadi mogu se suzbiti kroz dve vrste kontrole:
1. Perturbacija podataka.
2. Kontrola upita.
Arhitektura DBMS koji uključuje sigurnosna svojstava

Slijedeće uloge su uključene u upravljanju sigurnosnim sustavom:
 Upravljač aplikacije , je odgovoran za razvoj i održavanje biblioteke programa;

 DBA, koji upravlja konceptualnom i internim shemama baze podataka.
 Časnik za sigurnost, koji definira autorizacije za pristup i/ili sigurnosne aksiome kroz
pravila u odgovarajućem jeziku (ponekad DDL ili DML);

 Nadzornik, koji je odgovoran za provjeru sekvenci zahtjeva i upita o pristupu, kako bi

detektirao moguća krenja autorizacije.
Izgradnja sigurnosti baze podataka
1. Na vanjskoj razini (fizička sigurnost)

2. Na internoj razini ( logička sigurnost)
Baze podataka u vladinim institucijama
 klasificirane baze podataka.
Komercijalne baze podataka
 Višerazinska sigurna DBMS arhitektura

 Integrity Lock arhitektura,
 Jezgrasta arhitektura,
 Replicirana arhitektura i
 Arhitektura povjerljivih subjekata.
 Slijedeće tehnike su uvođenje front end-a između korisnika i DBMS-a

 Alternativno koriste se Korisnički/DBMS filteri, ili pogledi, koji sadre samo
informaciju za koju je korisnik autoriziran.
Zaključak
Sumarno, u razvoju sigurnosnog sustava potrebno je razmatrati slijedeće krucialne

aspekte:
 Svojstava stvarne okoline skladišnih medija i obrade. pažljiva analiza je potrebna za

određivanje stupnja zatite koja je ponuđena i zahtjevana od sustava: a to su sigurnosni
zahtjevi;
 Zatitni mehanizmi izvan okoline obrade. To su administrativne i fizičke mjere kontrole
koje doprinose učinkovitosti sigurnosnih mjera;
 Unutarnji mehanizmi zaštitite DB-a. Oni djeluju nakon što je uspješno provedena kontrola
logina-a i autentifikacije za korisnika;
 Fizička organizacija uskladitene informacije;
 Sigurnosna svojstva koja su osigurana od strane operacijskog sustava i od sklopova;
 pouzdanost sklopova i programa;
 Administrativni, ljudski i organizacijski aspekti.

RASPOLOŽIVOST I INTEGRITET BAZA PODATAKA

.
Dimenzije raspoloživosti ili integriteta :
 Integritet baze podtaka:

 Integritet elemenata:
 Točnost elementa
Zaštitna svojstva od operacijskog sustava
 bazičnu sigurnost za baze podtaka,

 DBMS mora poboljšati i unaprijediti te kontrole.
Dvo-fazno ažuriranje podtaka
Tehnika izmjene (ažuriranja)
 faza namjere,
 faza izručenja (commiting)
Primjer za dvo-fazno ažuriranje
Zahtjev iz odjela za računovodstvo, za 50 kutija papirnatih spojnica.
1. Skladite provjerava bazu podtaka dali postoji traena količina od 50 kutija. Ako ne
zahtjev se odbija i transakcija završava.
2. Ako postoji dovoljno kutija na skladištu, smanjuju se količine sa skladita u bazi podtaka .
(107 – 50 = 57).
3. Skladite naplaćuje konto nabave odjela (također i u bazi) za 50 kutija papirnatih
spajalica.
4. Skladite provjerava preostalu količinu (57) kako bi se odredilo da li su količine pale
ispod točke naručivanja. Budući da je, zahtjev za novom nabavom se generira, te se
postavlja zastavica u naruđbi u bazu podataka.
5. Priprema se nalog za isporuku kako bi se 50 kutija odaslalo u odjel za računovodstvo.
Održavanje vrijednosti u sijeni
Faza namjere:
1. Provera vrijednosti COMMIT-FLAG-a u bazi podataka. Ako je postavljen, ova faza se ne

može provesti. Provjeri broj kutija na skladištu, i ako se zahtjeva više nego je na skladištu,
zastavi postupak.
2. Izračunaj TCLIPS = ONHAND – REQUISITION.
3. Uzmi BUDGET, tekuči proračun koji je preostao za odjel. Izračunaj TBUDGET =
BUDGET – COST, gdje je COST cijena za 50 kutija spajalica.

4. Provjeri da lije TCLIPS ispod koločine za novu narudbu; ako da postavi TREODER =
TRUE; inače TREODER = FALSE.
Faza izručenja (commit phase)
1. Postavi COMMIT-FLAG u bazu podataka.

2. Kopiraj TCLIPS to CLIPS u bazu podataka.
3. Kopiraj TBUDGET u BUDGET u bazu podtaka.
4. Kopiraj TREODER u REODER u bazu podtaka.
5. Pripremi biljeku za isporuku spjalica u odjel računovodstva. Indiciraj u log – datoteku da
je transakcija završila. Ukloni zastavicu COMMIT-FLAG.
Redundancija/Interna konzistetncija
 Detekcija greške i kodovi za ispravak

 Polja u sjeni
Oporavak
 zapisi
 back-up
Konkurentnost/konzistencija
Agent A postavlja naredbu za ažuriranje:
SELECT (SEAT-NO = ‘11D’)

ASSIGN ‘MOCK, E’ TO PASSENGER-NAME
dok agent B postavlja seqvencu za ažuriranje
SELECT (SEAT-NO = ‘11D’)

ASSIGN ‘LAWRENCE, S’ TO PASSENGER-NAME
Rješenje: DBMS tretira cijeli upit-izmjena ciklus kao jednu nedijeljivu operaciju.
Monitori
 Usporedba područja
 Ograničenja stanja
 Ograničenja prijelaza (tranzicije)

OSJETLJIVOST PODATAKA (tajnost i raspoloživost)
Nekoliko faktora čini podatke osjetljivim:
 Prirodno (inherentno) osjetljivi

 Iz osjetljivih izvora
 Deklarirana osjetljivost
 Osjetljivi atribut ili osjetljivi slog
 Osjetljivi u odnosu na prethodno otkrivene podtake.
Odlučivanje o pristupu
 Odluke na sigurnosnoj politici koja definira politiku pristupa.

 Faktori odlučivanja
- raspoloživost podataka,
- prihvatljivost pristupa,
- autetentičnost korisnika..
Vrste otkrivanja podatka
 Stvarni podatak
 Granice
 Negativan rezultat
 Postojanje
 Vjerovatne vrijednosti
Zaključno o djelomičnom otkrivanju
 Uspješna sigurnosna strategija mora zaštitit i direktno i indirektno otkrivanje

podatka.

Sigurnost nasuprot preciznosti
Problemi zaključivanja o podacima
 Direktni napad
List NAME where

SEX = M  DRUGS = 1
Manje jasni upit je
List NAME where

(SEX = M  DRUGS = 1) 
(SEX  M  SEX  F) 
(DORM = AYRES)

 Indirektni napad
- Suma
- Brojanje
- Sredina (Median)
q = median (AID where SEX = M)

p = median (AID wheere DRUGS = 2)

- Napadi tragača
count ((SEX = F)  (RACE = C)  (DORM = Holmes))
q = count ((SEX=F)  (RACE=C)  (DORM=Holmes))
je oblika
q = count (a  b  c).
Uz pomoć algebre on se transformira u
q = count (a  b  c) = count (a) –count ( a   (b  c)).
Tako je originalni upit ekvivalentan sa
count (SEX=F)
minus
count ((SEX=F)  (RACE  C)  (DORM  Holmes))

Budući je count (a) = 6 i count (a   (b  c)) = 5, može se lako odrediti potisnutu

veličinu 6-5 = 1. Što više niti 6 i niti 5 nije osjetljivi broj.
- Ranjivost linearnog sustava
q1 = c1 + c2 + c3 + c4 + c5
q2 = c1 + c4
q3 = c3 + c4
q4 = c4 + c5
q5 = c2 + c5
q1 = s1  s2  s3  s4  s5
Kontrole za napade statističkog zaključivanja
 Obustava (potiskivanje) podatka i

 Skrivanje podataka.
Obustava ograničenog odgovora
Kombiniranje rezultata

Slučajni uzorak
Slučajna smetnja u podatcima
Analiza upita
Zaključak o problemu zaključivanja
Rješenja za kontrolu slijede tri puta.
 Obustavi(potisni) jasno osjetljivu informaciju.

 Trag što korisnik zna.
 Maskiranje podataka.

VIŠERAZINSKE BAZE PODATAKA
Diferencirana sigurnost
Svojstva sigurnosti baze podataka:
 Sigurnost pojedinog elementa
 Dvije razine-osjetljivo i neostjetljivo – neodgovarajuće.
 Sigurnost agregacije (skupa) – suma, brojenja, ili grupa vrijednosti
Zrnatost (granularitet, finoća)
Problemi sigurnosti
 Integritet
 Tajnost

Prijedlozi rješenja za višerazinsku zaštitu
 Particioniranje (podjela)
 Kriptiranje
 Integrirano zaključavanje (Integrity Lock)

Oznaka osjetljivosti mora biti :
 nekrivotvorljiva.
 jedinstvena
 skrivena.
Zaključavanje osjetlivosti (Sensitivity lock)

MEHANIZMI REALIZACIJE MLS-a
DBMS sa integriranim zaključavanjem (Integrity Lock)
Povjerljivi Front-End
Veza između korisnika, povjerljivog front-enda i DBMS-a uključuje:
1. Korisnik se identificira kod front-end; fron-end overava korisnički identitet.

2. Korisnik izdaje upit front-endu.
3. Front-end verificira korisničku autorizaciju (ovlaštenje) na podatke.
4. Front-end izdaje upit DB manageru.
5. DB manager izvodi U/I pristup, kroz interakciju sa kontrolom pristupa niske razine kako
bi pristupio stavrnim podatcima.
6. DBMS vraća rezultat upita front-endu.
7. Front-end verificira valajnost podtaka kroz kontrolnu sumu i provjerava klasifikaciju
podtaka nasuprot sigurnosnoj razini korisnika.
8. Front-end prenosi podatke na nepovjerljivi front-end radi formatiranja.
9. Nepovjerljivi front-end prenosi formatirane podatke do korisnika.

Komutativni filteri
Filter se može upotrebiti:
 na razini sloga
 na razini atributa,.
 na razini elementa
Primjer upita:
retrieve NAME where ((OCCUP = PHYSICIST) 

(CITY = WASHDC))
Upit postaje:

retrieve NAME where ((OCCUP = PHYSICIST)  (CITY = WASHDC))

from all records R where
(NAME-SECRECY-LEVEL (R)  USER_SECRECY-LEVEL) 
(OCCUP-SECRECY-LEVEL (R)  USER-SECRECY-LEVEL) 
(CITY-SECRECY-LEVEL (R)  USER-SECRECY-LEVEL))
Distribuirane (replicirane) baze podataka
Prozor/pogled (view)
Putnički pogled na bazu podtaka:
view AGENT-INFO
FLTNO := MASTER.FLTNO
ORIG := MASTER.ORIG
DEST := MASTER.DEST
DEP := MASTER.DEP
ARR := MASTER.ARR
CAP := MASTER.CAP
where MASTER.TYPE = ‘PASS’
class AGENT
auth retrieve

Sigurnost baza podataka
 Tajnost i integritet
 Problem zaključivanja u statističkim bazama
 Višerzinska sigurnost podataka
o pogledi,
o povjerljivi front-end (TFE) sa modifikaciojom upita,
o komutativni filteri.

SIGURNE DBMS ARHITEKTURE
Sigurni DBMS :
 ‘visoki sustav’
 ‘višerazinski’
Višerazinske arhitekture:
 Arhitektura povjerljivog subjekta (Trusted Subject Architecture)
 Woods Hole arhitektura

 Integrirano zaključavanje (Integrity Lock architecture))
 Jezgrasta arhitektura (Kernelized architecture)
 Replicirane arhitekture (Replicated architecure)






PROJEKTIRANJE SIGURNOSTI BAZE PODATAKA
Projektiranje sigurnosti BP se odnosi na logičko projektiranje sigurnosnog sustava, a pod

ovim terminom podrazumjevamo projektiranje sigurnog software-a i sigurnosnih pravila.
Izgradnja sigurnih DBMS-a
Sigurnost BP-a se postiže kroz skup mehanizama na razini DBMS-a i OS-a.
Razlike između OS-a i DBMS-a su slijedeće:
1. Objektna “zrnatost”
Stupanj “zrnatosti” u OS-u je razine datoteke. “Zrnatost” u DBMS-u je veća (relacije,
polja, kolone, redovi).
2. Metapodatak
U DBMS, metapodaci postoje i prikupljaju informacije o strukturi podataka u BP. Na
razini OS-a ne postoje metapodaci.
3. Logički i fizički objekti

Objekti u OS-u su fizički objekti (npr. datoteke, memorija, procesi). Objekti u DBMS-u su
logički objekti (npr. relacije, pogledi).
4. Vieznačni tipovi podataka

Baza podataka je karakterizirana različitim tipovima podataka, za koje su nuni različiti
načini pristupa
5. Statički i dinamički objekti

Objekti upravljani od strane OS-a su statički i korespondiraju sa aktuelnim objektima. U
BP-u, objekti mogu biti dinamički kreirani (npr. kao rezultat upita) i ne moraju
korespondirati sa stvarnim objektima.
6. Višerazinske transakcije
U DBMS-u često je neophodno izvoditi transakcije, uključujući podatke na različitim
sigurnosnim razinama. DBMS mora osiguravati izvođenje vierazinskih transakcija na
siguran način.
7. Životni ciklus podataka

Podaci u BP-u imaju dug životni ciklus i DBMS mora osigurati zaštitu za vrijeme cijelog
životnog ciklusa.

Sigurnosni mehanizmi u DBMS-u
DBMS treba biti dizajniran tako, da se sigurnost ugrađuje na samom početku, a ne u

kasnijim fazama.
Glavni sigurnosni zahtjevi koje DBMS treba osigurati su povezani sa slijedećim:
 Različit stupanj zrnatosti pristupa.
 Različiti mod-ovi pristupa

U relacijskoj bazi, mod-ovi pristupa su prikazani u terminima SQL naredbi (SELECT,
INSERT, UPDATE, DELETE).
 Različiti tipovi kontrole pristupa
- kontrola pristupa ovisna o imenu objekta kojem se pristupa

- kontrola ovisna o podacima čini pristup ovisan o sadraju objekta kojem se pristupa
- kontrola ovisna o kontekstu daje ili odbija pristup u ovisnosti o vrijednosti nekih
sistemskih varijabli (datum, vrijeme, terminal)
- povijesno ovisna kontrola prati informacije o query sekvencama (npr. tipovi upita,
dobiveni podaci, podaci o korisniku koji je postavio upit)
- kontrola ovisna o rezultatu čini odluku o pristupu ovisnom o rezultatima pomoćnih
kontrolnih procedura, koje se izvršavaju za vrijeme upita
U relacijskoj bazi, kontrola pristupa ovisna o podacima je obično implementirana ili kroz
pogled ili tehnike upita, gdje je inicijalni upit ograničen prema korisnikovim pravima.
 Dinamička autorizacija
DBMS treba podravati mogućnost izmjene korisničkih prava, dok je baza operativna.
 Višerazinska zaštita
Kada se zahtjeva, DBMS treba nametnuti višerazinsku zaštitu preko mandatne kontrole
pristupa.
 Tajni kanali
DBMS treba biti bez tajnih (skrivenih) kanala, odnosno korisnik ne smije dobiti
neovlašteno informaciju indirektnim metodama komuniciranja.
 Kontrole protiv zaključivanja o informaciji (Inference controls)

Trebaju spriječiti korisnika od dobivanja dodatnih (povjerljivih) informacija, temeljem
informacija dobivenih iz BP-a.
 Višepojavnost
Ova tehnika se koristi od strane DBMS-a da spriječi dobivanje dodatnih informacija
(inference control), tako da dozvoljava da BP sadrži više razina istog podatka (data item),
pri čemu svaki od njih ima svoju klasifikacijsku razinu.
 Praćenje, nadzor (Auditing)

Interesantne događaje sa stanovita sigurnosti treba prikazivati u nekom obliku izvjetaja.

 Kontrola toka
Kontrola toka provjerava odredište izlaza dobivenog autoriziranim pristupom.
 Nema zadnjih vrata (No back doors)

Pristup BP-u treba se odvijati isključivo preko DBMS-a.
 Uniformnost mehanizama
Sve sigurnosne kontrole trebaju biti realizirane sa to manjim brojem različitih
mehanizama.
 Razumne performanse
Sigurnosne kontrole troše dodatno vrijeme, ali treba nastojati da se to svede na što manju
mjeru.
 Dobro-napravljena transakcija
Podaci mogu biti mijenjani samo putem dobro-napravljenih transakcija, a ne putem
proizvoljnih procedura.
 Autorizirani korisnici
Ovaj princip znači da promjene moe izvoditi samo korisnik koji je autoriziran za tu
operaciju. Autorizacija korisnika je u nadležnosti OS-a i ne treba ju duplicirati na razini
DBMS-a.
 Najniža privilegija
Problem realizacije je u balansiranju najniže privilegije korisnika sa privilegijom procesa,
jer su korisnik i proces dva različita entiteta.
 Razdvajanje dužnosti
Ovaj princip nalae da pojedinac ne moe unititi podatke, već to moe tek nekoliko
udruenih pojedinaca u određenoj točki lanca.
 Kontinuitet operacije
Ovom se problemu pridaje veliki značaj u teoriji i praksi, a predloena su rjeenja
bazirana na replikaciji.
 Rekonstrukcija događaja
Rekonstrukcija se moe zbiti na različitim razinama detaljnosti i moe značiti različite
stvari: zadržati cijelu povijest svake izmjene ili spremiti identitet svakog pojedinačnog
spremanja.
 Provjere sa stvarnim podacima (Reality checks)

To su povremene provjere sa podacima iz stvarnog svijeta, usmjerene na održavanje
točnih podataka u sustavu.
 Lakoća sigurne uporabe

Najlaki način rada na sustavu treba biti i najsigurniji.
 Delegiranje autoriteta (Delegation of authority)

Delegiranje autoriteta je osnovni način prenoenja hijerarhijske strukture organizacije i

treba biti napravljen prema pravilima definiranim unutar organizacije. SQL naredbe koje
se ovdje koriste su GRANT/REVOKE.
Prema autorima Sandhu i Jajodia (1990), principi integriteta (cjelovitosti) DBMS-a se dijele
na tri grupe:
 Grupa 1: Dobro-napravljena transakcija i kontinuitet operacije. Ovi principi su dobro

pokriveni postojećim DBMS mehanizmima.
 Grupa 2: Najnia privilegija, razdvajanje dunosti, rekonstrukcija događaja i delegiranje

autoriteta. Za ovu grupu su potrebni novi mehanizmi, koji će proiriti postojeći DBMS.
 Grupa 3: Autorizirani korisnici, provjere sa stvarnim podacima, lakoća sigurne uporabe.

DBMS mehanizam moe pridonijeti na ograničen način: Autorizacija je u nadlenosti OS-
a, provjere sa stvarnim podacima ovise o organizacijskoj sigurnosti, dok je lakoća sigurne
uporabe u nadležnosti DBMS-a, kroz jezik za rad podacima (DML).
Autorizacijski model – Sistem R

Autorizacijski model - Sistem R , razmatra tabele baze, kao objekte koji trebaju biti zatićeni.
Subjekti modela su korisnici koji mogu pristupiti bazi. Privilegije koje se razmatraju u modelu
su mod-ovi pristupa, primjenjivi na tabele baze. To su: Read, Insert, Delete, Update, Drop.
Svi mod-ovi pristupa se odnose na cijelu tabelu, osim Update, koji se odnosi na pojedine
kolone.
Decentralizirano administriranje autorizacije, bilo koji korisnik može biti autoriziran za

kreiranje nove tabele i prenos ovlaštenja.
Svaka autorizacija se opisuje sa:
s – korisnik kojemu je dodjeljeno pravo

p – mod pristupa (privilegija)
t – tabela
ts – vrijeme dodjeljenog prava
g – korisnik koji dodjeljuje pravo
go – (Y/N) indikator da li s može dodjeljivati pravo, nad tabelom t, za mod p
Npr. n-torka (B, select, T, 10, A, yes) znači:

korisnik B može selektirati retke iz tabele T, pravo mu je dao korisnik A, u vrijeme 10, i
korisnik B ima ovlasti da drugim korisnicima daje prava za select, nad tabelom T.
SQL jezik je proširen setom naredbi, kojima korisnik zahtjeva izvršenje dodjele ili
oduzimanja prava.
GRANT naredba ima slijedeći format:

 
ALL RIGHTS
GRANT privileges ON (table) TO (user-list) WITH GRANT OPTION
ALL BUT
privileges
Umjesto ključne riječi user-list moe se koristiti public to znači da je pravo dodjeljeno svim
korisnicima baze.
Svaki korisnik koji ima pravo dodjeljivanja prava drugim korisnicima, moe također ta prava
oduzimati, ali samo ona koja je sam dodjelio.
REVOKE naredba ima slijedeći format:
REVOKE
 ALL
RIGHTS
privileges
 ON (table) FROM (user-list)
Oduzimanje prava
Sistem R podržava kaskadno oduzimanje prava.
Pogledi
Predstavljaju jednostavan i učinkovit mehanizam autorizacije, ovisne o sadraju.

Npr. pretpostavimo da korisnik A kreira tabelu T i eli dati korisniku B prava čitanja redaka
tabele T, pri čemu je vrijednost atributa a1 veća od 1000. Korisnik A će definirati pogled uz
pomoć SELECT naredbe
SELECT * FROM T WHERE a1 
te će dodjeliti prava čitanja pogleda, korisniku B.
Implementacija modela
Informacije o korisničkim pravima su smjetene u dvije relacije – Sysauth i Sycolauth.
Relacija Sysauth ima slijedeće atribute:
Userid - označava korisnika na koga se pravo odnosi

Tname - označava tabelu za koju se prava dodjeljuju
Type - označava tip tabele Tname (R ako se radi o osnovnoj tabeli, a V ako se
radi o pogledu)
Grantor - označava korisnika koji daje prava
Read - označava vrijeme kada je grantor dao pravo za čitanje tabele. Ako nema prava,
atribut ima vrijednost 0
Insert - označava vrijeme kada je grantor dao pravo za dodavanje u tabelu. Ako nema
prava, atribut ima vrijednost 0
Delete - označava vrijeme kada je grantor dao pravo za brisanje u tabeli. Ako nema
Update - označava vrijeme kada je grantor dao pravo za izmjenu u tabeli. Ako nema
Grantopt - označava da li su označene privilegije date sa grant opcijama
.
Primjer SYSAUTH tabele u skladu sa dodjelom prava na slici 4.1a.
Userid Tname Ţype Grantor Read Insert Delete Update Grantopt

B Employee R A 10 0 0 0 yes
C Employee R A 20 0 0 0 yes
D Employee R B 30 0 0 0 yes
E Employee R D 40 0 0 0 yes
D Employee R C 50 0 0 0 yes
F Employee R D 60 0 0 0 yes
G Employee R E 70 0 0 0 yes
Primjer SYSAUTH tabele
Tabela SYSCOLAUTH sprema informacije o kolonama za koje su data prava izmjene.
Relacija SYSCOLAUTH ima slijedeće atribute:
Userid - označava korisnika kojemu je dodjeljeno pravo izmjene

Table - označava tabelu za koju je pravo izmjene dodjeljeno

Column - označava kolonu tabele za koju je pravo izmjene dodjeljeno
Grantor - označava korisnika koji je dodjelio pravo
Grantopt - označava da li je pravo dato sa opcijom dodjele
Proširenje modela
 Uvođenje funkcija za grupno upravljanje(1982).
Dodatna proširenja modela (1993):
 nova operacija oduzimanja prava (nekaskadno).
Za primjer sa slike 4.1a i uz pretpostavkui da korisnik B oduzima prava data korisniku D.

Umjesto korisnika D, sada će korisnik B biti taj koji daje pravo korisniku E.
 negativna autorizacija. Većina DBMS-a radi na principu politike zatvorenog sustava, pa

se nedostatak autorizacije tumači kao negativna autorizacija, što odbacuje trenutni zahtjev
ali ne sprečava kasniju dodjelu prava (decentralizirana dodjela).
Uspostavlja se eksplicitna negativna autorizacija, koja je jača od pozitivne autorizacije.

Komercijalni proizvodi
DBMS Autorizacija Autorizac CREATE Operacije SELECT ALTER REFEREN

Server lozinkom ija OS- ALTER Superkorisn INSERT INDEX CES
om DROP ika UPDATE
Korisnik/ DELETE tabele
objekt tip tabele i
pogledi
Ingres + + + +
Oracle + + + + + + +
Sybase + + +
Informix + + + + +
SQLBase + + + +
DBMS Kontrola na EXECUTE GRANT ADMIN Grupe Role Snimanje

Server razini OPTION OPTION
kolone
Ingres Update + + + +
Oracle Select
Update + + + + +
Refer.
Sybase Select + +
Update
Informix Select
Update + +
Refer.
SQLBase Update
 Autorizacija korisnika – provodi se putem OS-a ili lozinke. Izuzetak je Oracle, koji radi sa
oba načina.
 Autorizacije sustavom – vezana je za definiciju autorizacije nad tipovima objekata baze
podataka (baza podataka, tabele, pogledi) i nad korisnicima. Svi DBMS serveri imaju
pravo kreiranja, izmjene i brisanja tipova objekata i korisnika. Neki DBMS imaju i
superuser operacije (npr. podizanje i spuštanje servera).
 Autorizacije podataka – specificiraju operacije koje se mogu izvršavati na podacima
spremljenim u objektima baze. Svi DBMS serveri imaju SELECT, INSERT, UPDATE i
DELETE prava za tabele i poglede. Samo neki DBMS serveri imaju i ALTER, INDEX i
REFERENCES prava za tabele.
Neki DBMS podržavaju kontrolu na razini kolone. Ta prava se daju korisnicima putem
naredbe SQL GRANT.
 Upravljanje autorizacijama – ova funkcionalnost je povezana sa mogučnoću dodjele
prava, zbog potrebe za podjelom odgovornosti i prava unutar organizacije.
Uloge, ako su podržane, koriste se za definiranje prava, povezanih sa danom aplikacijom.
 Snimanje događaja – primjereno je za određene analize i rekonstrukciju događaja.

PROJEKTIRANJE SIGURNE BAZE PODATAKA
Višefazna metodologija predstavlja dobar pristup u dizajniranju sigurnosti baze.
1. Uvodna analiza
2. Sigurnosni zahtjevi i politike
3. Konceptualni dizajn
4. Logički dizajn
5. Fizički dizajn
Provjera točnosti izgradnje sigurnosnog modela, prema zahtjevima, za vrijeme dizajniranja

kroz:
 Alat za dizajniranje
 Struktura za istraživanje – model može biti izabran, od postojećih ili novi model moe biti
razvijen od početka
 Didaktički alat – za pojednostavljenje opisa sustava
 Alat za uspoređivanje/procjenu – za uspoređivanje/procjenu različitih sigurnosnih sustava

Uvodna analiza
 Rizici sustava
 Karakteristike okruženja baze podataka
 Aplikativnost (applicability) postojećih sigurnosnih produkata
 Mogućnost integracije sigurnosnih produkata
 Performanse rezultirajućeg sigurnosnog sustava
Analiza zahtjeva i izbor sigurnosne politike
 Analize prijetnji i ranjivosti sustava:
- Analiza vrijednosti. Podaci i aplikacije koje im pristupaju se analiziraju da se

odredi njihov stupanj osjetljivosti. Kontrola pristupa raste proporcionalno sa
osjetljivosti podataka
- Identifikacija prijetnji. Identificiraju se moguće prijetnje aplikacijama.
- Analiza ranjivosti. Identificiraju se slabe točke sustava, povezane s prethodno
identificiranim prijetnjama.
- Analiza rizika. Moguće prijetnje i slabosti sustava se sučeljavaju sa snagom
sigurnosti i integriteta sustava.
- Procjena rizika. Procjenjuje se mogućnost svakog neeljenog događaja uz
procjenu sposobnosti reakcije sustava na taj događaj.
- Definicija zahtjeva. Zahtjevi sustava se definiraju temeljem procjena prijetnji i
neeljenih događaja i mogućnosti njihova pojavljivanja.
 Izbor sigurnosne politike
Cilj sigurnosne politike je definicija autoriziranih pristupa svakog subjekta različitim

objektima sustava.
Kriteriji za izbor politike:
 Tajnost nasuprot integritet nasuprot raspoloživost

 Maksimalna djeljivost nasuprot minimalna prava.
 Zrnatost kontrole.
 Atributi koji se koriste za kontrolu sustava.
 Integritet.
 Prioriteti.
 Privilegije.
 Autoritet.
 Naslijeđivanje.
Konceptualni dizajn
Konceptualni sigurnosni model je alat za formalizaciju zahtjeva i politike.

Definira se kroz:
 Identifikaciju subjekata i objekata važnih sa stanovišta sigurnosti

 Identifikaciju mod-ova pristupa dodjeljenih različitim subjektima, za različite objekte
 Analizu širenja autorizacije u sustavu, kroz dodjelu i oduzimanje prava
Osnovne značajke konceptualnog sigurnosnog modela trebaju biti:
 Predstavnik je semantike sigurnosti baze podataka.

 Podržava analizu autorizacijskih dijagrama.
 Podrška je administratoru baze pri provjeri autorizacije upita. To je lakše napraviti na
konceptualnoj razini nego na razini sigurnosnih mehanizama.
Model, također, treba biti:
 Kompletan: obuhvaća sve početne sigurnosne zahtjeve

 Konzistentan: neautorizirani korisnik, koji ne može pristupiti nekom objektu direktno, ne
smije do tog objekta doći zaobilaznim putem (indirektno).
Logički dizajn
 Konceptualni sigurnosni model se prevodi u logički model, uz podrku DBMS-a.

 Određuje se koji će se sigurnosni zahtjevi, politike, ograničenja i aksiomi, prikazani u
konceptualnom modelu, realizirati postojećim mehanizmima, a koji će se dizajnirati
posebno.
Fizički dizajn
 detaljni dizajn sigurnosnih mehanizama

 dizajn fizičke strukture pravila pristupa, njihovih veza sa fizičkom strukturom baze,
 povezivanje mod-ova pristupa sa zahtjevanom kontrolom pristupa
 detaljna arhitektura mehanizama koji će ispuniti sigurnosne zahtjeve i politiku.
Implementacija sigurnosnih mehanizama
 Ekonomija mehanizama.
 Djelotvornost
 Linearnost cijene.
 Minimalna prava.
. Prednosti su:
- ograničenje pogreaka
- održavanje
- obrana od Trojanskog konja
- prikazivanje točnosti
 Kompletno posredovanje.
 Poznat dizajn.

 Sigurnost po default-u.
 Minimum općih mehanizama.
 Psihološka prihvatljivost.
 Fleksibilnost.
 Izolacija.
 Potpunost i konzistentnost.
 Preglednost.
 Problem residuala.
 Nevidljivost podataka.
 Namjerne zamke.
 Mjere u slučaju nude.
 Programski jezik..
 Točnost.
Verifikacija i testiranje
Svrha ove faze je verifikacija da su sigurnosni zahtjevi i politika točno implementirani od

strane software-skih produkata.

11. SIGURNOST RAČUNALNIH MREŽA I DISTRIBUIRANIH

SUSTAVA
Prijetnje računalnim mreama
Sigurnosni problemi:
 Dijeljenje.
 Složenost sustava.
 Nepoznate granice(perimetar).
 Mnogo točaka napada.
 Anonimnost.
 Nepoznati put.
Analiza sigurnosnih prijetnji
Dijelovi mreže:
 lokalnii čvorovi, povezani preko
 lokalnih komuniakcionih veza na

 lokalne računalne mree, koje također imaju

 lokalna spremišta podataka,
 lokalne procese, i
 lokalne uređaje. Lokalna mrea je također spojena na
 mrežne prospojnike (gateway), koji daju pristup preko
 mrežnih komunikacijskih linija do
 mrežno kontroliranih sredstava,
 mrenih usmjerivača (rutera), i
 mrežnih resursa, kao što su baze podataka.
Prijetnje:
 Čitanje komunikacije od A do B.
 Izmjena komunikacije od A na B.
 Krivotvorenje komunikacije koja navodno dolazi od A do B.
 Spriječitii komunikaciju od A do B..
 Spriječiti sve komunikacije koje prolaze kroz neku točku..
 Čitanje podataka na C ili D
 Izmjeniti ili uništiti podatke na C ili D..


Prijetnje su:
 presretanje (prihvat) podataka u prijenosu,

 pristup programima ili podacima na udaljenim računalima,
 izmjena podataka ili programa na udaljenim računalima,
 izmjena podtaka u prijenosu,
 umetanje komunikacije u ime drugog korisnika (impersonizacija,)
 umetanje ponovljene prethodne komunikacije,
 blokiranje određenog prometa,
 blokiranje sveukupnog prometa,
 izvođenje programa na udaljenom računalu.
Kategorije prijetnji:
 priključak na icu (wiretapping),

 impersonizacija (predstavljne u ime drugog),
 kršenje tajnosti poruke,
 kršenje integriteta poruke,
 hacking,
 kršenje integriteta koda,
 odbacivanje usluga (DoS).
Priključenje na icu (Wiretapping)
 Pasivno priključenje
 Aktivno priključenje.
Kabel
Mikrovalovi
Satelitske komunikacije
Optičko vlakno


Impersonizacija (predstavljanje u ime drugoga)
U ovom predstavljanju napadač ima nekoliko izbora:
 pogađa identitet i detalje autentifikacije cilja napada

 prikuplja identitet i detalje autentifikacije cilja iz prethodne komunikacije
 zaobilazi ili onemogućava mehanizme autentifikacije na ciljnom računalu
 koristi cilj napada koji ne zahtjeva autentifikaciju
 koristi cilj čiji su podatci za autentifikaciju poznati
Autentifikacija naruena pogađanjem
Autentifikacija narušena sa prisluškivanjem
Atentifikacija narušena izbjegavanjem
Nepostojeća autentifikacija
Dobro-znana autentifikacija
Povjerljiva autentifikacija

Narušavanje tajnosti poruke
 Kriva isporuka
 Izlaganje (exposure)
 Analiza toka prometa na mreži
Kršenje integriteta poruke
Krivotvorenje poruka
Napadač moe
 izmjeniti sadržaj poruke
 promijeniti bilo koji dio sadržaja poruke
 može zamjeniti cijelu poruku
 ponovo upotrebiti staru poruku
 izmjeniti stavrni izvor poruke
 preusmjeriti poruku
 uništiti ili izbrisati poruku
Izvori napada:
 aktivni priključak na icu
 Trojanski konj
 impersonizacija
 zaposjednuto računalo
 zaposjednuta stanica
Šum
Hacking
Integritet koda
Prijenos datoteka sa WWW :
 Korisnik tipično ne razmilja to prenesena datoteka zapravo sadri.

 Ponekad se punjenje datoteke (prijenos) događa bez odobrenja korisnika.
 Ponekad se punjenje događa i bez korsnikova znanja.
Greške Jave
 odbacivanje usluga (DoS)

 degradcija usluga

 tajno komuniciranje sa drugim procesima na Internetu

 izmjene pretraivača
Problemi dizajna i razvoja sustava:
 Ne postojanje dobro definirane sigurnosne politike

 Nedostatk sigurnosnih mehanizama koji su uvijek uključeni.
 Nedostatak sigurnosnih mehanizama koji su neprobojni.
 Nedostatak sigurnosnih mehanizama koji su mali i jednostavni.
 Kao posljedica, nedostatak referncijskog monitora.
 Nedostatak povjerlive računalne baze (TCB)..
 Nedostatak kontrole integriteta sutava koji se izvodi.
 Nedostatak modularnosti i ograničenja područja.
 Nedostatk obrane po dubini.
 Nedostatak logiranja i praćenja.
Odbacivanje usluga (DoS)
 Povezanost
 Preopterećenje (Flooding)
 Problemi usmjeravanja
 Prekid usluge
Kontrole mrežne sigurnosti (Sigurnosni mehanizmi)
Enkripcija
 Enkripcija veze (Link enkripcija)

 Enkripcija sa kraja na kraj (End-to-End enkripcija)

Usporedba metoda kriptiranja
Kontrola pristupa
 Zaštita portova
 Automatski povratni poziv (call-back)
 Različita pristupna prava
 Tihi modem.
Autentifikacija u distribuiranim sustavima
Dva problema:
 Kako jedno računalo moe biti sigurno u autentičnost udaljenog računala ?

 Kako računalo može biti sigurno u autentičnost korisnika na udaljenom računalu ? Ili
obratno, kako korisnik moe biti siguran u autentičnost udaljenog računala ?
Digital-ova distribuirana autentifikacija
Arhitektura je djelotvorna protiv slijedećih prijetnji:
 impersonizacija poslužitelja
 prihvat ili modifikacija podataka koji se izmjenjuju između posluitelja
 ponavljanje prethodne autentifikacije

Kerberos
 Korisnička stanica alje alje korisnički identitet prema Kerberos posluitelju kada se
korisnik prijavljuje na sustav.
 Kerberos poslužitelj verificira ovlašetonost korisnika, te šalje dvije poruke:
- Prema korisničkoj radnoj stanici alje ključ sjednice SG za korištenje u

komunikaciji sa poslužiteljem za dodjelu karata (Ticket Granting Server – G),
te kartu TG za G; SG je kriptiran pod korisničkom lozinkom: E( SG + TG, pw)
- Prema poslužitelju za dodjelu karata (Ticket Granting Server-G), šalje kopiju
ključa sesije SG i identitet korisnika (kriptirano sa ključem koji se dijeli između
Kerberos poslužitelja(KS) i Ticket Grantig Server-a (TGS-a)).
Dizajn :
 Lozinke ne putuju po mreži.

 Kriptografska zaštita od prevare (spoofinga).
 Ograničeni period vanosti.
 Vremenske oznake za sprečavanje napada ponavljanja.
 Međusobna autentifikacija.
Kerberos nije idealni odgovor za sigurnosne probleme:

 Kerberos zahtjeva kontinuiranu raspoloživost TGS-a.

 Autentičnost servera zahtjeva povjerljivi odnos između TGS-a i svakog servera..
 Kerberos zahtjeva vremenske transakcije.
 Sruena stanica moe sačuvati i kasnije odgovoriti korsničkiom lozinkom.
 Pogađanje lozinki.
 Kerberos se ne proširuje jednostavno i dobro.
 Kerberos je potpuno rješenje.
DCE
SESAME
CORBA ( Common Object Request Broker Architecture)
Tri važna cilja specifikacije sigurnosti :
1. Fleksibilnost sigurnosne politike.

2. Neovisnost o sigurnosnoj tehnologiji.

3. Interoperabilnost.
Kontrola prometa na mreži
 Dodavanj (punjenje) prometa (Pad Trafic)

 Kontrola usmjeravanja
Integritet podataka na mreži
 Protokoli
 Kontrolne sume
 Paritet
 Mnogo mudriji kodovi greške Na aplikacijskoj razini program moe izračunati hash
vrijednost ili kriptografsku kontrolnu sumu.
 Digitalni potpisi
 Javno bilježništvo
Zaključno sigurnosne kontrole su:
 enkripcija,
 kontrola pristupa,
 autentifikacija korisnika,
 autentifikacija distribuiranih sustava,
 kontrola prometa,
 integritet podataka.

PRIVATNA ELEKTRONIČKA POTA
Zahtjevi i rješenja
Prijetnje elektroničkoj poti:
 prihvat poruke (tajnost)

 prihvat poruke (isporuka u blokovima)
 prihvat poruke i naknadni odgovor
 izmjena sadržaja poruke
 izmjena izvora poruke
 krivotvorenje sadržaja poruke od “outsidera”
 krivotvorenje izvora poruke od “outsidera”
 krivotvorenje sadržaja poruke od primaoca
 krivotvorenje izvora poruke od primaoca
 odbacivanje prijenosa poruke
Zaštite :
 tajnost poruke ( poruka nije izložena na putu do primaoca)
 integritet poruke (ono što primaoc vidi je ono što je poslano)
 neodbacivanje (neporecivost) (poiljaoc se nemoe odreći da nije poslao poruku)
PEM – Privacy Enhanced (Eletronic) Mail

Osnova:
 enkripcija.
 Certifikat (X.509)
 integracija sa postojećim e-mail-om
Format poruke:
 Proc-Type - poljeje tipa obrade - tip poboljšanja privatnosti.

 Dek-Info - tip izmjene ključa (simetrični, ili asimetrični)
 Key-Info ključ enkripcije poruke

PEM standard :
 enkripcija (DES, RSA)
 Hash poruke (MD2, MD5)
 digitalni potpis
 ostali MD4, IDEA, El Gmal
PEM osigurava:
 autentičnost
 neodbacivanje
 integritet (hash funkcija-MIC)

 tajnost

Proširenje (osim teksta) :

 glas,
 video
 grafika
PEM (raspoloživost)
 Cambridge i University of Michigan
 BBN, RSA-DSI, Trusted Information Systems
Problemi:
 krajnje točke (primaoc-pošiljaoc)
 upravljanje ključevima (hierarhija)
PGP (Pretty Good Privaacy)
Osnova:
 PEM
 jednostavnost upravljanja ključevima (prsten ključeva),
prijateljski odnosi
 PEM algoritmi (DES,RSA,IDEA i dr).
Problem:
- prevelik krug prijatelja (prijatelj prijatelja)
- nedirektni prijatelji

MIME (Secure/Multipurpose Internet Mail Extensions)
PEM je bio rani IETF standard za sigurni prijenos poruke i imao je dva nedostatka. Prvi je bio
nekompatibilnost sa MIME standardom poruke i perspektivnim PKI ( Public Key
Infrastructure) zahtjevima.
Slično PEM-u, S/MIME radije govori o specifikaciji nego o proizvodu (kao što je PGP).
S/MIME je za razliku od PEM-a uspješno zaživio na tržištu.
S/MIME izgrađen na standardu kriptiranja javnim ključem, dok PEM koristi znakovno
orijentirane protokole. To nije fundamentalna, već implementacijska razlika.
Postoje tri verzije S/MIME od kojih se samo druga i treća koriste u praksi:
1. S/MIME verzija 1 je objavljena 1995 godine.

2. S/MIME verzija 2 je objavljena 1998 godine.
3. S/MIME verzija 3 je objavljena 1999 godine. Razlike između verzija 2 i 3 nisu
fundamentalne i mogu se zajedno koristiti. Verzija 3 je predložena kao internet
standard.
Važno je napomenuti da S/MIME koristi mehanizme digitalnog potpisa, enkripcije i digitalne

omotnice za sigurni prijenos poruke. Tehnologija u S/MIME-u je slična onoj u PGP-u. Ipak
postoje dvije fundamentalne razlike između njih.
 PGP i S/MIME koriste različite formate poruka.

 PGP i S/MIME rade izmjenu javnih ključeva i certifikaciju javnog ključa na dva
fundamentalno različita načina:
o PGP se oslanja na korisnika da izmjenjuje javne ključeve i PGP certifikate da

bi se ostvarilo povjerenje između njih.
o S/MIME se oslanja na X.509 certifikate koji su izdani od CA.
Obje razlike vode u situaciju u kojoj PGP i S/MIME implementacije. nisu kompatibilne.
Kako ime govori SMIME ima zadatak osiguranja MIME entiteta. MIME entitet može biti dio
poruke, skup dijelova poruke ili cijela e-mail poruka (sa svim dijelovima ali bez zaglavlja
poruke). U svakom slučaju S/MIME se definira kako kriptografska zatita MIME entiteta
prema PCKS .
S/MIME se bazira na enkripcijskoj sintaksi poruke, tj. CMS (eng. Cryptographic Message
Syntax). CMS je izveden iz PKCS #7.
CMS je prilično općenit i S/MIME moe podravati viestruke algoritme saetka, kriptiranih
podataka, kriptiranih ključeva i digitalnih potpisa.
S/MIME specifikacija je originalno namijenjena promociji sigurne komunikacije među

raznim proizvodima. Specifikacija i dalje omogućuje razne interpretacije i ponekad je
otvorena u aspektu koji se tiče međudjelovanja.

Ukratko, S/MIME sadrži detaljno dizajnirani i široko primjenjivi tehnologijski pristup za

sigurno komuniciranje preko interneta. Potpuno je specificiran sa ASN.1 i koristi hijerarhijski
model povjerenja baziran na ITU-T preporukama X.509. S/MIME je snažno podržan od svih
većih proizvođača komunikacijskih aplikacija. Zato je vrlo vjerojatno da će S/MIME postati
dominantna tehnologija za sigurno komuniciranje na internetu. To je svakako istina za
poslovni svijet, a za privatne osobe PGP je dobra i jednostavna alternativa, jer ima
decentralizirane procedure za razmjenu javnih ključeva i upravljanje certifikatima.
Treba reći da S/MIME nije ograničen na e-mail. Tako može biti korišten da osigura bilo
kakav sistem koji prenosi MIME entitete. Tako HTTP može iskoristiti S/MIME da sigurno
prenese MIME entitete između web servera i preglednika. S/MIME može biti korišten i da
sigurno izmjenjuje digitalno potpisane EDI poruke preko interneta. Čak je vrlo vjerojatno da
ćemo vidjeti alternativne aplikacije na internetu.

SIGURNOSNE STIJENE (Firewalls -vatrozid)
Izgradnja sigurnosnih stijena
Sigurnosna stijena je specijalni oblik referencijskog monitora:
 uvjek uključen
 neprobojan
 mali i dovoljno jednostavan za strogu analizu.
Što je sigurnosna stijena ?
Vatrozid je proces koji filtrira sav promet između zatićene unutrašnje” mreže i
manje povjerljive “vanjske” mreže.
Implementacija:
 “ ono što nije posebno zabranjeno je dozvoljeno” i

 “ ono što nije izravno dozvoljeno je zabranjeno “.
Vrste sigurnosnih stijena
 zaštitni usmjerivači (screening routers)

 opunomoćeni prospojnik (proxy gateways)
 straže (guards)

Zatitni usmjerivači (Screening routers)
Svojstva :
 filtriranje na razini paketa (zaglavlje)

 pravila zaštite – uvjeti filtriranja
 osiguranje valjanosti unutrašnjih adresa
 kontrola prometa po aplikaciji (mrežna adresa i adresa porta)
 adresa koju vidi usmjerivač je zapravo kombinacija mrene adrese i broja porta
aplikacije. ( npr. 100.50.25.325 za SMTP )

Opunomoćeni prospojnik (Proxy Gateway)
Svojstva:
 simulira (prave) efekte aplikacije prema unutra i prema van (pseudo aplikacija)
 mogućnost pregleda (zaštite) prenosa podataka, (prihvatljive komande aplikacije
stižu na odredište)
Primjeri primjene :
 Tvrtka želi uspostaviti on-line listu cijena tako da outsideri mogu vidjeti proizvode s
ponuđenim cijenama. Ona eli biti sigurna da outsider ne moe mijenjati listu cijena ili
proizvoda, te da outsider može pristupiti samo listi cijena, a ne niti jednoj drugoj
osjetljivoj datoteci iznutra.
 kola eli dozvoliti svojim studentima da dohvaćaju bilo koju informaciju sa WWW –a
na Internetu. Kako bi pomogla u osiguranju djelotvornije usluge, ona želi znati koji se
siteovi posjećuju, te koje se datoteke sa tih siteova dohvaćaju; pa će popularne datoteke
biti lokalno cache-irane.
 Vladina agencija plaća za skupljanje statistike u korist svojih građana. Ona eli da te
informacije budu raspoloive samo građanima. Prepoznajući da ona ne moe spriječiti
građana od prosljeđivanja informacije strancu, vlada će implementirati politiku s
dozvolom isporuke podataka samo na odredište s adresama unutar zemlje.
 Tvrtka s više ureda želi kriptirati dio podataka svih e-mailova na adrese svojih drugih
ureda. (Odgovarajući proxy na udaljenom kraju će odstraniti enkripciju)
 Tvrtka želi dozvoliti za svoje djelatnike pristup preko biranih linija, bez izlaganja svojih
resursa od login napada od strane udaljenih nedjelatnika.

Specijalne funkcije:
 prijava na sustav sa jakom autentifikacijom (pobuda-odgovor)
 jedinstveno korisničko sučelje- heterogeni sustavi
Straža (Guard)
Svojstva:
 sofisticirana opunomoćeni (proxy) vatrozid
 pravila-raspoloživo znanje( identitet korisnika, prethodne akcije i dr.)
 izračunljivost uvjeta kontrole
 složenija sigurnosna politika
Primjeri primjene:
 Sveučilite eli dozvoliti svojim studentima korištenje e-maila do granice od

određenog broja poruka ili određenog broja znakova u vremenu od određenog broja
dana.
 Škola želi da njezini studenti pristupaju WWW-u, ali zbog male brzine njezinih veza
na WWW ona će dozvoliti samo određeni broj znakova za dohvat (download) ( a to
znači da će dozvoliti tekstualni mod i jednostavnu grafiku, a neće dozvoliti sloenu
grafiku, animacije, glazbu i slično).
 Biblioteka eli učiniti raspoloivim izvjesne dokumente, te kako bi podrala fer
koritenje autorskih prava, dozvolit će korisniku koritenje određenog broja prvih
znakova dokumenta, a nakon toga će traiti uplatu pristojbe
 Tvrtka želi dozvoliti svojim djelatnicima dohvat datoteka preko FTP-a, kako bi
spriječila uvođenje virusa ona će proslijediti sve ulazne datoteke kroz ispitivač na
postojanje virusa.

Usporedba vrsti sigurnosnih stijena
Screening router Proxy Gateway Guard

Najednostavniji Nešto složeniji Najsloženiji
Vidi samo adrese i Vidi potpuni tekst Vidi puni tekst
vrstu protokola usluge komunikacije komunikacije
Potekoća u nadzoru i Može pratiti aktivnost Može pratiti aktivnost
praćenju
Zaštita zasnovana na Zaštita zasnovana na Zaštita zasnovana na
pravilima veze ponašanju proxy-a interpretaciji sadržaja
poruke
Složena pravila Jednostavni proxy se Složena funkcionalnost
adresiranja čine može substituirati za guarda može
konfiguriranje složena pravila ograničiniti jamstvo
otežanim adresiranja sigurnosti
Tablica 9.3 Usporedba vrsti sigurnosnih brana
Primjer konfiguracija vatrozida

Što sigurnosna stijena može, a što ne može blokirati ?
Treba držati na umu:
 Sigurnosna stijena može zaštiti okolinu samo ako on kontrolira cijelu granicu.
 Sigurnosna stijena ne štiti podatke izvan granice (perimetra).
 Sigurnosne stijene su najvidljiviji dio instalacije prema vani, pa su one i najprivlačniji
cilj za napade.
 Sigurnosne stijene su dizajnirani za odbijanje napada, ali oni nisu nedokučivi.
 Sigurnosne stijene moraju biti ispravno konfigurirani.
 Sigurnosne stijene provode samo malu kontrolu nad sadrajem koji se proslijeđuje u
unutrašnjost.
Prospojnik sa kriptiranjem
Zahtjev:
Tvrtka eli kriptirati svu elektroničku potu između svih triju strana (udaljenih
LAN-ova).
Rješenje:
Sigurnosna stijena (proxy gateway) i kriptografski server, (virtualna privatna

mreža).

Svojstva rješenja:
 ujedinjuje jakost enkripcije sa centralnom točkom kontrole koju donosi vatrozid.

 upravljanje enkripcijom ne treba biti izvođeno od korisnika, (transparentno)
 štiti od napada tajnosti i integriteta u jako izloženim sredinama (Internet) uz mali
trošak

VIRTUALNE PRIVATNE MREŽE (VPN)
Slika 1.2 Virtualno privatno umrežavanje
Motivi za VPN
 Široka pokrivenost (sveprisutnost)
 Smanjenje troškova
 Sigurnost
 E-trgovanje (E-Commerce)
VPN tehnologije
 Tuneliranje
 Autentifikacija
 Sigurnost podataka
Slika 1.3 VPN tehnologije

Tuneli
Tuneliranje
Slika 4.1 Tunel unutar mreže
Slika 4.2 Enkapsulacija na trećoj razini
Integritet podataka i tajnost
 Integritet podataka
 Tajnost
Protkoli za VPN tuneliranje

Namjena:
 kapsulacija jednog protokola unutar drugog

 transport privatno adresiranih paketa kroz javnu infrastrukturu
 osiguraje integriteta i tajnosti podataka
Slika 4.3 Udaljeni korisnik pristupa mrei koristeći PPP
Slika 4.4 Udaljena veza korisnika kroz tuneliranje na drugoj razini

PPTP protokol (Point-to-Point Tunneling Protocol )
Slika 4.5 Pristup udaljenog korisnika korištenjem PPTP
Slika 4.6 PPTP kapsulacija IP datagrama sa kraja na kraj

L2F (Layer Two Forwarding) protokol
Slika 4.7 Udaljeni pristup kroz upotrebu L2F
L2TP (Layer Two Tuneneling Protocol) protokol
Slika 4.8. Uadljeni pristup kroz upotrebu L2TP

IPsec protokol
Slika 4.9 IPsec tunel
MPLS (Multiprotocol Label Switching) protokol
Slika 4.10 MPLS zatvaranje (kapsuliranje)
Slika 4.11 Primjer preklapanja labela

SIGURNOST WEB SERVISA

Web servisi su namijenjeni poboljšanju interoperabilnosti poslovnih procesa između različitih
organizacijskih jedinica i osnovnih aplikacijskih sustava.
Opis tehnologije
Arhitektura Web servisa
Universal Directory, Discovery and Integration (UDDI)
Universal Directory, Discovery and Integration je repozitorij usluga koji omogućava

pronalazak informacija o specifičnim Web servisima.
Web Services Description Language (WSDL)
Sučelja, veze na protokole (bindings) i formati podataka koriteni za specifični Web servis su
opisani pomoću WSDL-a (Web Service Description Language).
Struktura WSDL-a

SOAP
SOAP je vjerojatno najvažniji dio Web servis tehnologije. SOAP predstavlja apstraktan sloj
za prijenos stvarnih podataka. Točnije, specificira neutralnu reprezentaciju podataka koji se
izmjenjuju sakrivajući komunikacijske protokole koji stoje iza, kao to je HTTP ili SMTP.
Struktura SOAP dokumenta
Sigurni WEB servisi - Sigurnosni model
Svako e-Poslovanje koristi svoju vlastitu sigurnosnu infrastrukturu i vlastite sigurnosne

mehanizme, kao što je PKI ili Kerberos. U kontekstu WEB servisa, ovi sigurnosni sustavi
trebaju međusobno djelovati kroz različite sigurnosne domene.

Sigurni WEB servisi -relizacija sigurnosnog modela
Za razliku od SSL-a i HTTP-a koji osiguravaju osnovu sigurnost od točke do točke sigurni
WEB servisi moraju osigurati sigurnost od kraja do kraja , od aplikacije do aplikacije.
WS-Security
WSS (WS-Security, Web Services Security) je komunikacijski protokol koji osigurava

sigurnost primjene Web servisa. Ovaj protokol je publiciran od strane OASIS normizacijskog
tijela kao WS-Security norma 1.1 koja uključuje slijedeće specifikacije:
 SOAP Messagge Security 1.1 Ova specifikacija opisuje poboljšanje sigurnosti SOAP
poruka kroz zaštitu integriteta, povjerljivosti poruka te kroz autentifikaciju
korištenjem jedne poruke.
 Username Token Profile 1.1 Ova specifikacija opisuje kako korisnik Web servisa
dostavlja UsernameToken kao način identifikacije koritenjem "korisničkog imena" i
proizvoljnog korištenja lozinke (ili dijeljenje tajne ili nekog ekvivalenta lozinke) kako
bi se korisnik autentificirao kod dobavljača Web servisa.
 X.509 Token profile 1.1 Ovaj dokument opisuje kako koristiti X.509 certifikate sa
WSS uslugama: SOAP Message Security specifikacijom.
 SAML Token profile 1.1 Ova specifikacija opisuje upotrebu SAML potvrda kao
sigurnosnih tokena kroz <wsse: Security> zaglavlje koje je definirano sa WSS: SOAP
Message Security specifikacijom.
 Kerberos Token Profile 1.1 ). Ova specifikacija opisuje upotrebu Kerberos (Kerb)
tokena u odnosu na WSS: SOAP Message Security specifikaciju . Posebno, ovaj
dokument definira kako kodirati Kerberos karte te kako ih spojiti na SOAP poruke.
 Rights Expression Language (REL) Token profile 1.1 Ovaj dokument opisuje kako
upotrijebiti ISO/IEC 21000-5 Rights Expressions sa WSS specifikacijom. ISO/IEC
21000-5 norma definira autorizacijski model koji specificira da li semantika izraza,
koji definira prava, dozvoljava određenom subjektu da izvodi dana prava na

proizvoljno danom objektu u danom vremenu na osnovi danog ovlaštenja i

povjerenja.
 SOAP with Attachments (SwA) profile 1.1 Ova specifikacija opisuje kako korisnik
Web servisa moe osigurati SOAP dodatke koristeći SOAP Message Security normu
za očuvanje integriteta, tajnosti i autentičnosti izvora dodatka, te kako primatelj moe
obraditi takvu poruku.
Protokolni slog sa SOAP Message Security
Kako bi sagledali što bolje sigurnost i interoperabilnost Web servisa dobro je pogledati
protokolni slog u svjetlu 7 razina mrežnog protokola.
Shematski bi se struktura sigurnosnih informacija u SOAP poruci prema WS-Security

protokolu mogla prikazati na sljedeći način:

Struktura sigurnosnih informacija u SOAP poruci prema WS-Security protokolu
Interoperabilni sigurnosni servisi
WS-I Basic Security Profile radna grupa razvila je interoperabilni profil koji je povezan sa
sigurnoću transporta, sigurnoću razmjena SOAP poruka te ostalim osnovnim profilima koji
su orijentirani na sigurnost Web servisa.

VIŠERAZINSKA SIGURNOST NA MREŽAMA
Principi:
 mandatna kontrola pristupa

 označavanje subjekata i objekata
 povjerenje
Svojstva u pristupu podatcima (Bell-La-Padula):
 Jednostavno svojstvo sigurnosti (ss-property) koje kaže da niti jedan korisnik nesmije
čitati podatke na razini koja je via od one za koju je osoba ovlatena.
 Svojstvo zvijezde (*-property) koje kaže da niti jedna osoba nesmije pisati podatke na
razinu koja je niža od razine na koju je osoba pristupila.
Povjerljivo mreno sučelje (Trusted Network Interface - TNI)
Slika 9.39 pokazuje grafički strukturu povjerljive računalne baze (trusted computing base-
TCB) za operacijski sustav.
Povjerljivo sučelje za mree razvijeno je, na način sličnom operacijskim sustavima, kako je
pokazano na slici 9.40.
 odgovara za sredstva koja kontrolira
 svaki host ima svoje sučelje (različito)
 zatićuje se od hosta koji se priključuje bez TNI-a
Mrea i mreno sučelje moraju osigurati slijedeće:
 Sigurne višerazinske hostove (računala)

 Označeni izlaz.
 Kontrola klasifikacije prije oslobađanja podataka.
 Integritet podataka.
 Zatvorenost.
 Zaštitu od kompromitiranja linije.


Rushby i Randell dizajn mreže:
 kriptografsko odvajanje hostova

 jedinstven ključ za svaku sigurnosnu razinu
 neizmjenjeni operacijski sustav
 sva sigurnost u TNI

Sigurna komunikacija
Alternativni pogled na mrežnu sigurnost dan je od Walker-a :
 mreža povjerljivih i nepovjerljivh hostova

 povjerljivi hostovi sa više sigurnosnih razina (mandatna politika pristupa)
 nepovjerljivi hostovi istu razinu sigurnosti
 hostovi odgovorni za verifikaciju sigurnosti vlastitih komunikacija
 nepouzdanost komunakcije – sigurnosni problem
 potvrda prijema (tajni kanal ?)
Rješenje nepouzdanosti komunikacije:
 uvođenje komunikacijskog servera (XS) na povjerljivom hostu (niska razina)

 prijenos unutar povjerljivog hosta pouzdan
 potvrda prijema od XS
Komunikacija s nepovjerljivim hostom:
 ne može koristiti gornju tehniku ( ne provodi pristupnu politiku – ista sigurnosna

razina)
 uvodi se povjerljivi mreni menađer (slika 9.43)
 povjerljivi menađer moe kriti svojstva BLP modela (rigorozna inspekcija koda)

Zaključno o mrenoj sigurnosti

Sigurnosna pitanja:
 tajnost,
 integritet,
 autentičnost i
 raspoloživost.
Enkripcija (snažan alat)

 enkripcija veze (transaprentna)
 enkripcija sa kraja na kraj (upravljana od korisnika)
Prijenosni protkoli – očuvanje integriteta podataka
Ranjivost:
 pristup od neovlatenih korisnika ili čvorova
 impersonizacija ovlatenih korisnika ili čvorova
Mjere:
 kontrola pristupa i
 tehnike autentifikacije
Problem mrežne sigurnosti - uspostava povjerenja udaljenog čvora
Napadač na mrenu sigurnost:

 Da li je to najslabija veza ?
 Da li imam vještine da to prihvatim?
 Da li je to vrijedno truda ?
12. TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM SIGURNOSNIM

BAZAMA PODATAKA
TRADICIONALNA TRANSAKCIJSKA OBRADA
Cilj mehanizama za kontrolu istovremenih (konkurentnih) pristupa (CC- concurrency

control) je da se očuva integritet baze podataka čak i u slučaju istovremenih pristupa od
strane vie korisnika kroz pravilnu sinkronizaciju izvođenja transakcija. Taj princip je
najbolje ilustrirati kroz slijedeći primjer.
Primjer 2.1.(Zašto trebamo protokol za kontrolu istovremenih pristupa). Razmotrimo

bazu podataka za odravanje stanja informacija o korisničkim bankovnim računima.
Pretpostavimo da korisnik gospodin. Kovač ima dva računa: tekući račun (A) i račun za
tednju (B). Račun B koristi i njegova supruga gđa Kovač. Pretpostavimo da je trenutno
stanje računa A 1000 $ a stanje računa B je 10000 $. Razmotrimo slijedeći scenarij:
transakcija T1 inicirana od g. Kovača miče 100 $ iz računa A na račun B, dok druga
transakcija T2 , inicirana od gđe Kovač polae na račun B iznos od 10000 $.
T1 T2
Read A
A = A - 100
Read B
Write A
B = B + 10000
Read B
Write B
Commit T2
B = B + 100
Write B
Commit T1
Slika 2.1 Neispravno istovremeno izvođenje
ACID zahtjevi na obradu transakcija

Od izvođenja transakcija se očekuje da se zadovolji:
 atomnost (atomicity),
 konzistentnost (consistency),
 izolacija (isolation) i
 postojanost (durability),
Poznato pod nazivom ACID svojstava.

U distribuiranim bazama podataka:

 dodatno se zahtjeva "atomic commit protocol - ACP" kako bi se osigurala atomnost
transakcije u distribuiranoj bazi podataka.
 ispravna integraciju ACP-a i CC protokola.
Protokoli za kontrolu istovremenih (konkurentnih) pristupa (CC protokoli)

Izmijeano izvođenje transakcija T1 i T2 koje rezultira ispravnim stanjem.
T1 T2
Read A
Read B
A = A - 100
B = B + 10000
Write A
Write B
Commit T2
Read B
B = B + 100
Write B
Commit T1
Slika 2.2 Ispravno istovremeno izvođenje
Izvođenje koje je ekvivalentno serijskom izvođenju naziva se serijabilno. CC protokol se

koristi kako bi se osigurala serijabilnost.
Algoritmi za CC protokol:
 dvo-fazno zaključavanje (two-phase locking) i
 poredak prema vremenskom označavanju (timestamp ordering).
Dvo-fazno zaključavanje (2PL):
 Protokoli koji se zasnivaju na zaključavanju provode kanjenje konfliktnih operacija

kroz postavljanje brave (locka) na podatkovne elemente u bazi koji se čitaju ili upisuju
u bazu.
 Pod pojmom konfliktne operacije podrazumijevaju se operacije koje referenciraju iste

podatke (elemente u bazi) ali od kojih je barem jedna operacija, operacija upisa
(write).
 2PL zahtjeva da su sve transakcije dobro oblikovane i da su dvo-fazne.

o transakcija mora ostvariti dijeljenu bravu (S-Lock) na podatcima u bazi prije
njihovog čitanja i isključivu bravu (X-lock) prije njegovog upisivanja.

o Transakcija je dvofazna ukoliko ona više ne postavlja brave (locks) na

elemente u bazi nakon što je oslobodila bravu (lock) na nekom podatkovnom
elementu u bazi.
Poredak prema vremenskim oznakama (TO):
 pridružuju jedinstvenu vremensku oznaku (timestamp) (ts(Ti)) svakoj transakciji (Ti).
 Svaki podatkovni element (x) je povezan sa vremenskom oznakom posljednje

transakcije koja je čitala ili upisivala u taj element i to rts(x) i wts(x) respektabilno.
 dozvoljava konfliktnim operacijama izvođenje samo u rastućem poretku vremenskih

oznaka i to:
o (1) Ti nije dozvoljeno čitanje x osim ako je
wts(x) ≤ ts(Ti), i
o (2) Ti nije dozvoljeno pisanje u x osim ako je rts(x) ≤ ts(Ti).
Protokoli potvrde izvršenja (Commit Protocols)

Kada je distribuirana transakcija podijeljena na podtransakcije za izvođenje na pojedinačnim
lokacijama mi moramo osigurati da one sve potvrde završetak (commit) ili da sve zajedno
abortiraju (abort).
Vrste:
 Dvo-fazni protokol potvrde završetka (2PC)
 Early Prepare (EP): Optimizacija 2PC protokola
Primjer 2.2 (Zašto trebamo Commit protokol). Razmotrimo primjer iz prijašnje sekcije.
Pretpostavimo da se tekući račun (račun A) gosp. Kovača odrava u Splitu (lokacija 1) a
njegov račun za tednju (račun B) u Zagrebu (lokacija 2). Pretpostavimo da on eli povući
1000 $ sa svoga tednog računa na tekući račun. Pretpostavimo da je distribuirana transakcija
inicirana sa lokacije 1 da provede ove operacije.
Slijedeći skup operacija treba biti izveden na obje lokacije:
Lokacija 1 Lokacija 2
Read A Read B
A = A + 1000 B = B - 1000
Write A Write B
Kako bi se osigurala atomnost izvođenja svih komponenata distribuirane transakcije (koje se

često nazivaju subordinate) potreban je " atomic commit protocol" (ACP).
Dvo-fazni protokol potvrde završetka (2PC)
o Pripremna faza
o Faza odluke
Coordinator subordinate
Work request
Done
Prepare
Yes
Commit
Acknowledge
6n messages
Slika 2.3. Osnovni 2PC protokol
Early Prepare (EP): Optimizacija 2PC protokola
Coordinator Suobordinate
Work request, prepare
Yes
Commit
Yes
Acknowledge
Slika 2.4. EP protokol

TRANSAKCIJSKA OBRADA U VIŠERAZINSKIM BAZAMA PODATAKA
Sigurnosni protokoli za transakcijsku obradu zajedno sa ograničenjima Bell-LaPadula

ograničenjima moraju biti oslobođeni od svih tajnih kanala (covert channels).
Problemi postojećih rjeenja u tradicionalnim uvjetima
U obje situacije (locking i timestamping) kad god postoji natjecanje za podatkovne elemente
od strane transakcija koje se izvode sa različitih pristupnih klasa, transakcija nie pristupne
klase je ili zakašnjela ili suspendirana kako bi se osigurala ispravno izvođenje. U takvom
scenariju dvije transakcije koje se izvode na visokoj i niskoj razini mogu stvoriti kanal za
prijenos informacija sa visoke razine na nisku selektirajući neki podatkovni element prema
unaprijed usvojenom kodu.
High: lock2[x], r2[x] lock2[y], w2[y]
Low: w1[x] bit će zakanjen
Slika 3.1 Tajni kanal uz 2PL protokol
TO protokol također je ranjiv na isti odljev tajnih informacija. Pretpostavimo da je

ts(T1) < ts(T2). Budući da T1 pokuava upisati x nakon to je T2 pročitao x, ta operacija
pisanja se odbija budući je vremenska oznaka čitanja od x rts(x)) > ts(T1) te zbog toga T1
mora biti abortirana. Budući high transakcija moe selektivno prouzročiti (odnosno
koordinirati) da low transakcija abortira uspostavljen je tajni kanal za prijenos high
informacija.
Signalni kanal, ipak, se može ukloniti ukoliko high transakcija ne postavlja lock na low
podatak ili da oslobodi lock kada low transakcija zahtjeva low podatkovni elemenat. Slično u
slučaju TO kanal se moe ukloniti ukoliko high transakcija ne mijenja vremensku oznaku
čitanja na low podatkovnom elementu. Međutim to moe dovesti do povijesti događaja koja je
označena na slici 3.2.
High: T2, z r2[x] r2[y], w2[z]
Low: T1, x, y w1[x], w1[y]
Slika 3.2 Neserijabilna povijest događaja
Povijest događaja nije serijabilna budući je pripadni serijabilni graf sadri ciklus prikazan na
slici 3.3. (strelica od T1 prema T2 postoji zbog konfliktnih operacija r2[x] i w1[x] gdje r2[x]
prethodi w1[x], te strelica od T2 prema T1 postoji zbog konfliktnih operacija w1[y] i
r2[y].

Slika 3.3 Graf serijabilnosti za povijest sa slike 3.2
Revidirani zahtjevi
Raspoređivač (scheduler) koji implementira protokol konkurentnih pristupa u vierazinskom

sustavu baza podataka mora zadovoljiti slijedeća ključna svojstva:
1. mora osigurati ispravno izvođenje transakcija

2. mora sačuvati sigurnost ( tj. da mora biti oslobođen tajnih kanala)
3. mora biti implementiran kroz nepovjerljivi kod
4. te mora izbjegnuti izgladnjenje (starvation).
Komercijalna rješenja
Kako tri glavana ponuđača povjerlivih DBMS-a (Sybase, Oracle i Informix) rješavaju ove
probleme.
Sybase kontrolu konkurentnih pristupa koristi obični 2PL koji kako je pokazano nije siguran.
Informix koristi rješenje koje dozvoljava da transakcija postavlja write lock na low
podatkovne elemente iako high transakcija drži read lock na tom podtakovnom elelmentu.
Povjerljivi Oracle u drugu ruku koristi kombinaciju zaključavanja i tehnike

multiverzioniranja..
Istraživanja
Postoji dosta istraivačkih radova koji se odnose na rjeenja za:

 repliciranu i
 jezgrastu arhitekturu višerazinskih DBMS sustava.
Replicirane arhitekture kao što je poznato proizvode višerazinski DBMS iz jednorazinskog

DBMS-a.. Izazov je kako kreirati prokol za kontrolu replika da bi se zadovoljilo svojstvo
serijabilnosti za jednu kopiju podatkovnih elemenata.
Jezgrasta arhitektura poboljava tu situaciju učinkovitosti koritenja resursa.

Kroz upotrebu jezgraste arhitekture predloena su neka od slijedećih rješenja:
 Slabiji kriteriji ispravnosti

 Korištenje analize transakcija za postizanje serijabilnosti
 Sigurni Commit protokoli (S2PL i SEP)
 i dr.
Slabiji kriteriji ispravnosti. Moguće je zauzeti stav da je tradicionalni zahtjevi ispravnosti

preoštri za MLS baze podataka.
Korištenje analize transakcija za postizanje serijabilnosti. Tu se koristi prethodnica

raspoređivača koja analizira transakcije na skupove čitanja i pisanja te ih prosljeđuje
raspoređivaču prema specifičnom poretku kako bi se zadovoljila serijabilnost.
Sigurni Commit protokoli (S2PL i SEP). Jajoida i McCollum su predložili algoritam za

sigurni 2PL (S2PL) protokol, dok je Alturi sa suradnicima predložio sigurni EP (SEP)
algoritam.

13. SUSTAVI ZA RANO OTKRIVANJE NAPADA (IDS/IPS - Intrusion

Detetction/Prevention Systems)
DEFINIRANJE SUSTAVA ZA DETEKCIJU UPADA
Detekcija upada je proces praćenja događaja koji se zbivaju u računalnom sutavu ili
računalnoj mrei te njihovoj analizi za otkrivanje sigurnosnih problema.
Pojam i definicija detekcije
Naziv detekcija se također koristi u vojnom okruenju za nadzor fizičkih entiteta (kao to su
komunikacijski kabeli) za detekciju provaljivanja ili drugih fizičkih izmjena. Vojni standardi
opisuju sistemske funkcije i testove za to područje.
Ovdje ćemo pod detekcijom upada smatrati funkcije praćenja (nadzora), detekcije i odgovora
koje su usmjerene na aktivnosti u računalnim sustavima i mrežama.
KONCEPT SUSTAVA ZA DETEKCIJU UPADA
Arhitektura
Odvojena od sustava koji se štiti:
 Kako bi se spriječilo uspjenog napadača da onemogući IDS sa brisanjem slogova

zapisa.
 Kako bi se spriječilo uspjenog napadača od izmjene rezultata IDS-a kako bi prikrio
svoju prisutnost.
 Kako bi se smanjilo opterećenje koje proizlazi iz rada IDS-a na operativnom sustavu.
Sustav koji izvodi IDS - host računalo,

Sustav ili mreža koji se motri - ciljni sustav.
Strategija motrenja
 Monitori zasnovani na hostu skupljaju podatke iz izvora interno na računalu, obično

na razini operacijskog sustava.
 Mrežni monitori skupljaju mrežne pakete.
 Monitori aplikacije skupljaju podatke iz aplikacije koja se izvodi.
 Monitori cilja funkcioniraju malo različito od dosad navedenih, budući oni generiraju
svoje vlastite podatke.
Vrste analiza
 Detekcija zlouporabe – Stroj gleda i traži nešto što je definirano da bude "loše".
 Detekcija anomalija – Stroj gleda i trai neto to je rijetko ili neobično.

Slika 2.2 Generički IDS
Vremenski raspored
 Intervalni/Batch mod
 Stvarno vrijeme
Ciljevi detekcije
 Odgovornost
Odgovornost (accountability) je sposobnost povezivanja aktivnosti ili događaja
unatrag sa odgovornom stranom
 Odgovor
U detekciji upada, odgovor se događa kada analiza proizvede rezultat koji
zahtjeva akciju.
o zapis rezultata analize u log datoteku,

o okidači za alarme za različite predodređene vrste upada,
o izmjena IDS-a na ciljanom sustavu,
o skretanje pažnje putem tiska,
o poruke vatrozidovima (firewalls) ili usmjernicima (routerima).
Problemi upravljanja
 Centralizacija

Centralizirano izvještavanje i upravljanje arhitekturom.

 Integracija sa alatima za upravljanje mrežom
Sagledavanje detekcije upada kao funkcije upravljanja mrežom
Određivanje strategije za detekciju upada

Optimalna strategija:
 Kritičnost ili osjetljivost sustava koji se titi
 Priroda sustava (na primjer, složenost sklopovske i programske platforme)
 Priroda sigurnosne politike organizacije
 Razina prijetnji u okolini u kojoj sustav radi
SHEME ZA PROVOĐENJE ANALIZE
Za dobivanje bogatih izvora informacija suočeni smo sa monitoriranjem, a slijedeći

korak na krugu detekcije upada je analiza tih informacija. Kroz ovu analizu suočeni
smo s problemima detekcije upada: to se događa, i da li smo zainteresirani za to ?
Razmišljanja o upadima
Definiranje analize
Slika 4.1 Opći model upravljanja sigurnosnim sustavom
Ciljevi
 Značajno zastraivanje (odvraćanje)

 Kontrola kvalitete izgradnje sigurnosnog sustava i njegove administracije

 Korisna infromacija o aktualnim napadima
Podržani ciljevi
Kako svaki od navedenih ciljeva usmjerava specifične funkcionalne zahtjeve za IDS

sustave:
 Zahtjevi
o odgovornost,
o detekcija u stvarnom vremenu i odgovor.
 Podciljevi
o zadrati informaciju u formi koja podrava forenzičarsku analizu mree.
o zadržavanje znanja o performansama sustava ili identificiranje problema
koji djeluju na performanse.
o arhiviranje i zatita integriteta slogova događaja zbog zakonskih obaveza.
 Postavljanje prioritetnih ciljeva

 Odnosi
U nekom trenutku , ciljevi i zahtjevi mogu biti u konfliktu.
Detektiranje upada
 Ljudski detektor
 Vanjski događaji
 Prethodnica upada
o napadač koji ima temeljni sustav za buduće napade
o znakovi smještaja Trojanskog konja
o probijene sistemske datoteke
o novlašteni ID u datoteci lozinki
 Tvorevina upada
o njuškala (snifers) lozinki po log datotekama,
o neobjanjene greke rač. sustava,
o otećene datoteke,
o nenormalni uzorci koritenja računalnih sredstava,
o nered u zapisima za obračun,
o neuobičajena razina mrenog prometa.
 Motrenje napada u stvarnom vremenu
Otvara vrata blokirnaju napada te drugim adaptivnim odgovorima na

detektirane probleme.

AUTOMATIZIRANI ALATI ZA DETEKCIJU UPADA
Slika 6.1. Struktura IDS-a
Namjera automaiziranih alata :

 evidentirati pokušaje kršenja sigurnosti ili off-line ili on-line prijetnje koje se
obrađuju iz revizijskih podataka u stvarnom vremenu
o prijetnje vanjskih napadača (intrudera)

o prijetnje unutarnjih napadača (ovlatenih korisnika koji koriste
računalna sredstava na neovlaten način)
o ovlašteni korisnici koji zlorabe svoje pristupne privilegije (misfeasors).
Metode:
 metoda usporedbe profila korisničkih aktivnosti (detekcija anomalija),
 metode poznatih napada (detekcija zlouporabe),
 kombinacije gornjih metoda.
Faze aktivnosti:
 prihvaća revizijske zapise od jednog (vie) host računala

 izdvaja ono što je relevantno za analizu,
 generira profil aktivnosti koji uspoređuje sa svojom internom bazom.
o baza anomalija usporedba je statističkog tipa;
o baza zlouporabe usporedba uključuje prepoznavanje uzoraka.
 rezultat analize se sprema u IDS bazu podataka
 izmjena revizijskih zapisa kod analize modela ponašanja
Rješenja:

 uvođenje pozadinskih vrata (trapdoor) za uljeze (napadače) (dummy ID i magična

lozinka koja okida alarm ukoliko se koristi)
 definirati pravila koja definiraju uzorke ponašanja za klase korisnika –normalno i
abnormalno ponašanje (razvoj ekspertnih IDS-a.)
 formiranje korisničkog profila koji se periodički aurira na osnovi korisničkog
ponaanja (adaptivno učenje).
 kodificirati ranjivost sustava i scenarij poznatog napada u sigurnosna pravila
 korištenje modela zasnovanog na zaključivanju (model prethodno definiranih poznatih
napada)
 pristupi, koji nisu zasnovani na sumnji, definiraju prihvatljiva ponašanja
 koriste potencijal neuronskih mreža kako bi adaptivno reagirali na napad upada
 monitori pojava i monitori ponašanja za specijalne upade (virusi).
Postojeći alati i prototipovi rjeenja:
Mnogi IDS sustavi su zasnovani na analizi revizijskih zapisa koje osigurava

operacijski sustav ačunala (OS).
Primjeri su:
 SRI – ov IDES,
 NSA-ov MIDAS,
 Haystack Laboratories –ov Haystack System,
 Los Almos national Laboratory –ov Wisdom & Sens (W&S),
 AT&T-ov Compute Watch,
 Planning Research Corporation-ov Information Security Officer's Assitant
(ISOA).
Pristup zasnovan na ekspertnom sustavu: IDES sustav

Osnovni razlozi :
 Mnogi postojeći informacijski sustavi imaju sigurnosne rupe koje ih čine ranjivim na
prijetnje upada. Često je ne moguće označiti ili ukloniti ove rupe, iz tehničkih ili
ekonomskih razloga.
 Postojeći sustavi sa poznatim sigurnosnim rupama ne mogu biti lako zamijenjeni sa
sigurnim ustavima budući oni često zavise o aplikacijskom sustavu ili supstitucija
zahtjeva značajni ekonomski ili tehnički napor.
 Razvoj apsolutno sigurnih sustava je ekstremno teak posao, a često i nemoguć.
 Čak i jako sigurni sustavi su ranjivi na zlouporabu od strane legitimnih korisnika.
IDES je real-time sustav koji spada u kategoriju sustava koji su zasnovani na iskustvu i
učenju koje se dobiva kroz promatranje, a ne na čvrstim pravilima.
Osnove IDES-a
IDES koristiti rješenje kroz ekspertni sustav, uz pretpostavku da eksploatacija ranjivosti za

zloporabu sustava vodi abnormalnom korištenju (anomaliji) sustava.

Odnosi između prijetnji i ponaanja
 Pokušaj upada.
 Maskiranje.
 Upadi od strane legitimnih korisnika.
 Širenje podataka od strane ovlaštenih korisnika.
 Zaključivanje od strane ovlaštenih korisnika.
 Trojanski konji.
 Virusi.
 Odbacivanje usluga (DoS).
Analiza anomalijskog ponašanja
Definiranje modela za detekciju upada zahtjeva profile i pravila koja treba odrediti.
Metrika
 Brojač događaja
 Vremenski interval
 Mjerenje sredstava
Statistički modeli
 Operacijski model. On je zasnovan na pretpostavci da se anomalija može

odrediti usporedbom nove promatrane vrijednosti od x sa čvrstim
ograničenjem
 Model prosjeka i standardne devijacije. On je zasnovan na pretpostavci da
bi nova promatrana vrijednost bila smatrana “normalnom” ako ona leži
unutar povjerljivog intervala:
avg  d x stdev
gdje je avg prosječna veličina, a stdev je standardna devijacija, a d je

parametar.
 Multivarijantni model. On je sličan modelu prosjeka/standardnoj devijaciji,

izuzev činjenici da je on zasnovan na korelaciji između dve ili vie mjera
(metrika).
 Markovljev model. Ovaj model razmatra svaki tip događaja (korisnički

zahtjev) kao varijablu stanja, te koristi matricu promjene stanja za
krakterizaciju učestalosti tranzicije među stanjima.
 Model vremenskih serija. Ovaj model, koristeći brojač događaja i mjerenje

sredstava te metriku intervala, uzima u obzir poredak te vrijeme intervala
koji se dogodio između observacija kao i vrijednosti tih observacija
(opažanja).

Svojstva profila
Slika 6.2 Hijerahija elemenata za koje se mogu definirati profili ponašanja
Profili su definirani u odnosu na subjekte koji izvode akcije prema objektima na kojima se te
akcije izvode, te prema vrsti akcije.
Prijava na sustav (login) i profili aktivnosti sekcije (session)
 Učestalost prijave.
 Učestalost lokacija.
 Posljednja prijava.
 Trajanje sekcije.
 Izlaz sekcije.
 CPU po sekciji, I/O po sekciji, stranice po sekciji, i td.
 Greške lozinki.
 Greške lokacija.
Profili izvođenja naredbi i programa
 Učestalost izvođenja.
 CPU po programu, I/O po programu, i td.
 Odbačeno izvođenje.
 Zasićenje programskih resursa.

Profili pristupa datotekama
Profili pristupa datoteka se mogu definirati u odnosu na:
 Učestalost read, vrite, create i delete operacija.

 Pročitani/zapisani slogovi.
 Greške read, write, create i delete operacija.
 Iscprljenost dadtotečnih resursa.
Profili pristupa bazama podataka:
 "retrive", "update", "insert" i "delete" pristup mora se razmatrati za slogove u

relaciji,
 "create" i "delete" mod za cijelu realciju.
 "Retrive" operacije na bazi podtaka odgovaraju "file read" operacijama;
 "update", "insert" i "delete" operacije odgovaraju "file write" operacijama.
Korištenjem baze podataka i skupa procesa IDES nadgleda:
 Prijetnje upada;
 Maskiranje;
 Upad u sustav od strane vanjskih korisnika;
 Prijetnje zaključivanja i agregacije;
 Kanale za širenje informacija: prate se dva tipa tajnih kanala: memorijski kanali,
koji uključuju zasićenje računalnih sredstava i izuzetnih uvjeta; te vremenskih
kanala (koji vode do zakljiučivanja o svojstvima korištenja sistemskog vremena);
 Odbacivanje usluga (DoS);
 Popratni efekti: prouzročeni virusima, crvima, ili sličnim programima koji dovode
do DoS ili otećenja podataka i programa.
IDES model
IDES sigurnosni model sadri slijedeće elemente (slika 6.3):
1. Subjekte: inicijatore aktivnosti sustava koji se monitorira (nadgleda).

2. Objekte: to su sredstva sa kojima radi informacijski sustav: a to su entiteti na kojima
se izvode akcije.
3. Revizijski slogovi (audit records). to su slogovi zapisa akcija koje zahtjevaju korisnici
na sustavu koji se nadgleda.. Svaki slog se sastoji od šestorke tipa:
(subjekt, akcija, objekt, uvjet-izuzeća, koritenje resursa, vrijeme)

gdje je:
 Akcija: operacija pristupa (npr. login, logout, read, execute);

 Subjekt: subjekt koji je zahtjevao akciju;
 Objekt: objekt koji se zahtjeva od akcije;
 Uvjet izuzeća: opisuje moguće izuzeće koje se vraća subjektu u slučaju
djelomičnog/potpunog odbijanja zahtjeva za izvođenje akcije od strane

sustava. Taj uvjet može biti, pored jasnog opravdanja za odbijanje servisa koji
se vraća korisniku, i slijedeći motiv koji se ne vraća korisniku iz sigurnosnih
razloga (budući korisnik iz toga moe zaključiti na informaciju iz danog
motiva);
 Korištenje sredstava: Lista kvantitativnih elemenata od kojih svaki daje iznos
korištenja svakog sredstva. Na primjer, broj linija ili štamapnih stranica, broj
pročitanih/zapisanih slogova, vrijeme koritenja CPU-a ili I/O jedinica, trajanje
sekcije;
 Vrijeme: pojava akcije izvođenja
Slika 6.3 Elementi IDES modela
4. Profili: strukture koje opisuju (karakteriziraju) ponašanje subjekata nad objektima u

formi metričkih ili statističkih modela.
Profil aktivnosti opisan je desetorkom:
(ime varijable, uzorak akcije, uzorak izuzeća, uzorak koritenja sredstava, period, tip
varijable, prag, uzorak subjekta, uzorak objekta, vrijednost)

gdje je:
 Ime varijable: ime varijable;

 Uzorak akcije: odgovara nula ili više akcija u revizijskom slogu (npr., "login",
"read", "execute", i td.);
 Uzorak izuzeća: odgovara poljima uvjeta izuzeća u revizijskom slogu;
 Uzorak korištenja sredstava: odgovara polju korištenja sredstva revizijskog
zapisa;
 Period: opisuje dužinu vremenskog perioda na koji se odnosi period
nadgledanja: npr. dan, sat, minuta. Ta komponenta je nula ako period nije
fiksiran;
 Tip varijable: definira metrički ili statistički model na kojem se definira profil:
na primjer brojač događaja ili model prosjek/standardna devijacija;
 Prag: parametar koji definira granicu (granice) koji se koristi u statističkom
testiranju kako bi se odredila anomalija.
 Uzorak subjekta: odgovara polju subjekta na revizijskom zapisu;
 Uzorak objekta: odgovara polju objekta na revizijskom slogu (zapisu);
 Vrijednost: vrijednost najnovijih observacija (promatranja) i parametara koji se
koriste u statističkom modelu kako bi prezentirali distribuciju prethodnih
vrijednosti.
5. Zapisi anomalije: to su slogovi koji opisuju nelegitimno ponašanje korisnika
Anomalijski zapisi su definirani sa trojkama oblika :
(događaj, vrijeme, profil)
gdje je:
 Događaj indicira događaj koji je pokrenuo anomaliju.

 Vrijeme.
 Profil je profil aktivnosti prema kojem je određena anomalija.
6. Pravila za izvođenje aktivnosti: ona opisuju akcije koje se moraju izvesti kada su
zadovoljeni dani uvjeti.
Pravila aktivnosti se mogu grupirati u četiri klase:
 Pravila revizijskog zapisa.

 Pravila za periodičko auriranje aktivnosti.
 Pravila zapisa anomalije.
 Pravila za periodičku analizu anomalija.
Modeli profila aktivnosti (ponašanja) i upravljanje profilima aktivnosti

Modeli profila su uzorci koji se koriste za definiranje novih profila aktivnosti. Dakle,
svaki profil aktivnosti je kreiran na osnovi nekog modela profila, uz specifikaciju
subjekta i objekta na koji se profil odnosi.
Arhitektura sustava IDES
IDES baza podataka sadrži (slika 6.4):
 Revizijski podatak. To se odnosi na revizijski zapis koji se šalje IDES-u od strane

nadgledanog sustava. On je smješten u tabelu i ispitan kako bi ažurirao aktivni ili
anomalijski podatak;
 Aktivni podatak. Sadri veličinu aktivnosti koja se provodi od strane korisnika za
pojedinačnu varijablu koja se mjeri.Tabela razmatranih upada se koristi za svaku
varijablu. Podatci se periodički koriste za auriranje korisničkih profila, a koji se
odnose na danu varijablu;
 Arhivirani podatak. To su ispitani revizijski podatci, koji su već obrađeni za potrebe
ažuriranja ili analizu anomalije. Oni su smjeteni u tablicu i periodički odstranjivani;
 Podatak profila. On definira profile normalnog ponašanja svakog korisnika ili grupe
korisnika. On je smješten u skup tablica (je dana za svaki razmatrani upad za svaku
varijablu);
 Podatak rasporeda. On pokazuje period ažuriranja svakog profila te datum
posljednjeg ažuriranja profila. On je spremljen u skup tablica (jedna za upade za svaku
varijablu koja se mjeri);
 Anomalijski podatak. To je anomalijski zapis koji se vidi u modelu. Oni su smještenu
u skup tablica ( po jedna za svaki tip anomalije).
Procesi koji implementiraju IDES komuniciraju jedan sa drugim kroz bazu IDES-a. Oni su:
 Prijemnik. On implementira IDES protokol.

 Detektor anomalije. On uzima zapis koji se odnosi na revizijski podatak i ažurira
aktivni podatak.
 Arhivar. On periodički back-upira podatke;
 Ažurnik profila. Ovaj proces ažurira profile na osnovi aktivnog podatka na kraju
vremenskog perioda koji se odnosi na profil koji se razmatra;
 Čistač (reset) aktivnog podatka. Skupljena aktivnost unutar perioda se ugrađuje u
globalnu aktivnost, broj perioda se povećava za jedan, a aktivnost se postavlja na 0;
 Administratorsko sučelje. IDES sučelje zasnovano na Windows sustavu, osigurava:
o monitor stanja, koji pokazuje trenutno stanje IDES-a;

o monitor anomalija, koji pokazuje abnormalno ponaanje određeno u sustavu za
mjeru (ili mjere) koje su se dogodile u prošlosti ili u sadašnjosti;
o monitor upita, koji dozvoljava administratoru da pristupa IDES bazi,
upotrebom prethodno definiranih SQL upita.

Slika . 6.4 Struktura IDES prototipa
. IDES prototip radi na drugom stroju od nadgledanog sustava. To donosi prednosti u smislu:
 Performansi. Prisustvo IDES-a ne povećava vrijeme odziva;

 Sigurnost. IDES se može zaštitti u odnosu na nadgledani sustav, tako da korisnici
nadgledanog sustava ne mogu pristupiti IDES-u kako bi ga ispiatali i izmjenili.
 Integracija. IDES se moe lako prilagoditi različitoj okolini i integrirati.

Slika 6.5 Interakcija između IDES komponenti (R=čitaj, I=umetni, D=izbrii,

M=izmjeni).
IDES je pokazao:
 dobru snagu u razlikovanju između normalnog i abnormalnog ponaanja koritenja

sustava,
 upotreba prototipa je pokazala nizak broj pogrešnih alarma,
 te prilično zadovoljavajući postotak detekcije sigurnosnih prekršaja.

14. UPRAVLJANJE I NADZOR SIGURNOSNOG SUSTAVA IS (ISMS)

Kako bi informacijski sustav bio zatićen na pravi način potrebno je uspješno uskladiti,
implementirati i nadzirati sve potrebne mjere zaštite, koje se odnose na ljude, tehnologiju i
procese.
ISMS familija normi
Ova familija normi pomae organizacijama svih vrsti i veličina da implementiraju i pogone
ISMS a sastoji se se od slijedećih normi pod općim nazivom: Information technology -
Security techniques:
 ISO/IEC 27000:2009, Information security management systems - Overview and

vocabulary
 ISO/IEC 27001:2005, Information security management systems -Requirements
 ISO/IEC 27002:2005, Code of practice for information security management
 ISO/IEC 27003, Information security management systems implementation guidance
 ISO/IEC 27004, Information security management - Measurement
 ISO/IEC 27005:2008, Information security risk management
 ISO/IEC 27006:2007, Requirements for bodies providing audit and certification of
information security management systems
 ISO/IEC 27007, Guidelines for information security management systems auditing
 ISO/IEC 27011, Information security management guidelines for telecommunication
organizations based on ISO/IEC 27002.
Međunarodne norme koje nisu pod gore navedenim općim nazivom, a također pripadaju
ISMS familiji normi su:
 ISO 27799:2008, Health informatics - Information security management in health

using ISO/IEC 27002
Sustav upravljanja informacijskom sigurnoću (ISMS)
Sve organizacije, svih vrsta i veličina:
 Skupljaju, obrađuju, pohranjuju i prenose velike količine informacija;

 Prepoznaju da su informacije i njima pripadni procesi, sustavi, mreže i ljudi vrlo važna
imovina za postizanje poslovnih ciljeva organizacije,
 Suočavaju se sa irokom područjem rizika koji utječu na funkcioniranje njihovr
imovine i
 Modificiraju rizike kroz implementaciju sigurnosnih kontrola.
Budući se rizici informacijske sigurnosti te učinkovitost kontrola mijenjaju ovisno o

promjenama okoline, svaka organizacija treba:
a) Nadzirati i vrednovati učinkovitost implementiranih kontrola i procedura

b) Identificirati pojavu rizika koji se moraju obraditi
Odabrati, implementirati i poboljšavati kontrole kada je to potrebno.

Što je to ISMS ?
Sustav upravljanja informacijskom sigurnoću - ISMS (Information security management

system) osigurava model za uspostavu, implementaciju, rad, nadzor, preglede, održavanje i
poboljšanje zaštite informacijske imovine u cilju postizanja poslovnih ciljeva koji su
temeljeni na procjeni rizika te na prihvatljivoj razini rizika za organizaciju na kojima se
zasniva učinkovita obrada i upravljanje rizika.
Analiza zahtjeva za zatitu informacijske imovine te primjena odgovarajućih kontrola za

njihovu zaštitu ako je potrebno, doprinosi uspješnoj implementaciji ISMS-a. Slijede osnovni
principi koji također doprinose uspjenoj implementaciji ISMS-a:
a) Podizanje svijesti o razumijevanju i potrebi za informacijskom sigurnoću

b) Pridruživanje odgovornosti za informacijsku sigurnost
c) Uključivanje podrke Uprave organizacije i interesa zainteresiranih strana
d) Unapređenje sociolokih vrijednosti
e) Procjena rizika određuje odgovarajuće kontrole kako bi se dosegla prihvatljiva razina
rizika
f) Sigurnost uključiti kao vaan element informacijskih sustava i mreža
g) Aktivna prevencija i detekcija incidenata informacijske sigurnosti
h) Osiguranje sveobuhvatnog rjeenja za upravljanje informacijskom sigurnoću i
i) Kontinuirana procjena informacijske sigurnosti te provođenje izmjena kada je to
potrebno
Procesni pristup
Procesno rješenje za ISMS koje je korišteno u ISMS familiji normi , a koje je bazirano na
principu na koje radi ISO sustavi upravljanja je općenito poznat kao Plan-Do-Check-Act
(PDCA) proces (Deming-ov ciklus) :
a) Plan - postavljanje ciljeva i izrada planova ( analiza situacije u organizaciji, uspostava

sveukupnih ciljeva, razvoj planova koji trebaju realizirati te ciljeve);
b) Do - implementirati planove (učiniti ono to je planirano da se učini)
c) Check - mjeriti dobivene rezultate (mjerenje/nadziranje postignutih rezultata u odnosu
na planirane ciljeve) i
d) Act -Ispravi i poboljaj aktivnosti (uči iz greaka na poboljanju aktivnosti kako bi se
postigli bolji rezultati).
Ovaj proces pokazan je na donjoj slici.

Aktivnosti koje se provode u ovom procesu dane su u sljedećoj tablici:
Plan Uspostavljanje ISMS politike, ciljeva, procesa i procedura

(uspostavljanje ISMS) vanih za upravljanje rizikom i povećanje informacijske
sigurnosti kako bi dali rezultate u skladu s ukupnom politikom
i ciljevima organizacije
Do Implementiranje i pokretanje ISMS politike, kontrola i
( implementacija i pokretanje ISMS) procedura
Check Procjena i gdje je primjenjivo, mjerenje performansi procesa u

(nadgledanje i kontrola ISMS) odnosu na ISMS politiku, ciljeve i praktično iskustvo te
izvještavanje uprave o rezultatima.
Act Izvođenje korektivnih i preventivnih akcija zasnivanih na

(odravanje i unapređivanje ISMS) rezultatima ISMS procjene (audita) i procjene uprave ili
ostalim bitnim informacijama, kako bi se ISMS kontinuirano
usavršavao.
Zašto je ISMS važan ?
Uspješno usvajanje i uspostava ISMS-a je važno zbog zaštite informacijske imovine što
omogućuje organizaciji da:
a) Postie veću garanciju sigurnosti u zatiti informacijske imovine od informacijskih

rizika na kontinuiranoj osnovi
b) Održava strukturiran sveobuhvatan radni okvir za identifikaciju i procjeni rizika
informacijske sigurnosti, odabir i primjenu odgovarajućih sigurnosnih mjera
(kontrola) te mjerenje i poboljanje njihove učinkovitosti.
c) Kontinuirano poboljšava kontroliranu okolinu i
d) Djelotvorno postie zakonsku i regulatornu usklađenost.

Uspostava, nadzor, održavanje i poboljšanje ISMS-a
Organizacija treba poduzeti slijedeće korake u uspostavi, nadzoru, odravanju i poboljšanju

ISMS-a:
a) Identificirati informacijsku imovinu te njihove sigurnosne zahtjeve

b) Procijeniti rizike informacijske sigurnosti
c) Odabrati i implementirati odgovarajuće kontrole kako bi upravljali sa neprihvatljivim
rizicima
d) Nadzirati, održavati i poboljšavati učinkovitost sigurnosnih kontrola koje su povezane
sa informacijskom imovinom koja se štiti.
Identifikacija zahtjeva informacijske sigurnosti
a) Identificirane informacijske imovine i njenih vrijednosti za organizaciju

b) Poslovnih potreba za obradom i uskladištenje informacija
c) Zakonskih i regulatornih i ugovornih zahtjeva i obveza
Procjena rizika informacijske sigurnosti
Upravljanje rizicima informacijske sigurnosti zahtjeva prihvatljivu procjenu rizika te metodu

obrade rizika koja uključuje procjenu trokova i dobiti, zakonske zahtjeve, sociološke,
ekonomske i ekološke aspekte, brigu sudionika (zainteresiranih), prioritete i ostale
odgovarajuće ulaze i varijable.
Odabir i implementacija kontrola informacijske sigurnosti
Jednom kada su identificirani zahtjevi informacijske sigurnosti te kada su određeni i

procijenjeni rizici na identificiranu informacijsku imovinu (uključujući i odluku o obradi
sigurnosnih rizika), odabiru se i implementiraju odgovarajuće kontrole.
Nadzor, odravanje i unapređenje učinkovitosti ISMS-a
Organizacija treba odravati i unapređivati ISMS kroz nadzor i procjenu performansi prema
sigurnosnoj politici organizacije i njenim ciljevima, te treba izvještavati upravu za ocjenu
postignutih rezultata.
Kritični faktori uspjeha ISMS-a
Velik je broj kritičnih faktora za uspjeh implementacije ISMS-a kako bi organizacija ostavrila
svoje poslovne ciljeve. Primjeri kritičnih faktora uspjeha su:
a) Politika informacijske sigurnosti, ciljevi i aktivnosti koje su podešene ciljevima

b) Rješenje i radni okvir za projektiranje, implementaciju, nadzor i unapređenje
informacijske sigurnosti koje je konzistentno s kulturom organizacije
c) Vidljiva podrška i predanost na svim razinama upravljanja, posebno na razini visokog
menedžmenta
d) Razumijevanje zahtjeva na zaštitu informacijske imovine koja se postiže kroz
primjenu upravljanja rizikom informacijske sigurnosti (vidi ISO/IEC 27005)

e) Učinkovit program podizanja svijesti o informacijskoj sigurnosti, treningu i edukaciji,

informiranje svih zaposlenika i ostalih strana o njihovim obvezama koje su
postavljene u sigurnosnim politikama, normama i dr.; kao i njihovo motiviranje da
djeluju u skladu s tim politikama
f) Učinkovit proces upravljanja incidentima informacijske sigurnosti
g) Učinkovito rjeenje za kontinuitet poslovanja, te
h) Sustav mjerenja koji se koristi za vrednovanje performansi u upravljanju
informacijskom sigurnoću te sugestije za unapređenje koje iz tog mjerenja proizlaze
Kako će organizacija uspostaviti sustav upravljanja (ISMS) ?
 ISO/IEC 27001:2005, Information security management systems -Requirements

 ISO/IEC 27002:2005 (proizašla iz norme ISO/IEC 17799:2005) , Code of practice
for information security management
Norma ISO/IEC 27001:2005

Uspostavljanje ISMS-a
Organizacija mora učiniti slijedeće:
 Odredititi opseg i granice ISMS-a

 Definirati pristup procjeni rizika organizacije
 Identificirati rizike
 Analizirati i vrednovati rizike
 Identificirati i vrednovati opcije za obradu rizika
 Odabrati ciljeve kontrola i kontrole za obradu rizika
 Dobiti odobrenje uprave za predloženi nivo rezidualnog rizika
 Dobiti ovlaštenje uprave za implementaciju i rad ISMS
 Pripremiti izjavu o primjenjivosti
Implementiranje i rad ISMS-a

 Formulirati plan za obradu rizika
 Implemetirati plan za obradu rizika
 Implementirati odabrane kontrole kako bi zadovoljila ciljeve kontrola
 Implementirati programe obuke i podizanja svijesti o informacijskoj sigurnosti
 Upravljati radom ISMS-a
 Upravljati resursima za ISMS
 Implementirati procedure i druge kontrole sposobne za omogućavanje trenutne
detekcije sigurnosnih događaja i odgovor na sigurnosne incidente

Nadziranje i provjera ISMS-a

 Izvršavati, nadzirati i provjeravati procedure i ostale kontrole
 Izvoditi redovitu provjeru učinkovitosti ISMS-a
 Mjeriti učinkovitost kontrola
 Provjera procjena rizika u planiranim intervalima
 Izvoditi interne prosudbe (audite) u planiranim intervalima
 Izvoditi provjeru ISMS-a od strane Uprave
 Nadopunjavanje sigurnosnog plana
 Bilježenje akcija i događaja
Odravanje i unapređivanje ISMS-a
 Implementirati uočena poboljanja ISMS-a

 Poduzeti odgovarajuće korektivne i preventivne radnje
 Obavijestiti prikladnom detaljnoću sve zainteresirane strane o uvedenim izmjenama
i poboljšanjima
 Osigurati da poboljšanja postignu namjeravane ciljeve.
Zahtjevi za dokumentaciju
Sadržaj ISMS dokumentacije
 Dokumentirane izjave ISMS politike i ciljeve;

 Opseg ISMS
 Procedure i kontrole koje podupiru ISMS
 Opis metodologije procjene rizika
 Izvještaj procjene rizika
 Plan obrade rizika
Kontrola dokumenata
Dokumenti zahtijevani od ISMS-a moraju biti zatićeni i kontrolirani
Kontrola zapisa
Moraju se uspostaviti i odravati zapisi koji pruaju dokaze o usklađenosti sa zahtjevima i
efikasnom radu ISMS-a.

Odgovornost uprave
Obveza uprave
 Uspostavljanje ISMS politike;

 Osiguravanje da su ciljevi i planovi ISMS uspostavljeni;
 Uspostavljanje funkcija i odgovornosti za informacijsku sigurnost;
 Prenoenje kroz organizaciju značenja o ispunjavanju sigurnosnih ciljeva i
zadovoljavanju sigurnosnih politika , zakonskih odgovornosti i potrebe za konstantnim
unapređivanjem;
 Pružanje dostatnih sredstava za uspostavljanje, implementaciju, rad, nadzor,
provjeru, odravanje i unapređivanje ISMS
 Odlučivanje o kriterijima za prihvaćanje rizika i prihvatljivoj razini rizika;
 Osiguravanje provođenja internih prosudbi (audita) ISMS
 Provođenje provjera ISMS od strane uprave
Upravljanje sredstvima
 Dodjeljivanje sredstava
 Obučavanje, razina svijesti i stručnosti
Interne prosudbe (auditi) ISMS
Organizacija će u planiranim intervalima izvoditi interne prosudbe ISMS kako bi ustanovila da

ciljevi kontrola, kontrole, procesi i procedure ISMS:
 Udovoljavaju zahtjevima ovog međunarodnog standarda i relevantnim zakonima i
propisima;
 Udovoljavaju identificiranim zahtjevima informacijske sigurnosti;
 Su efikasno implementirani i održavani; i
 Djeluju kako se od njih očekuje
Provjera ISMS od strane uprave

Uprava će u planiranim intervalima (minimalno jednom godinje) provjeravati ISMS
organizacije kako bi osigurala njegovu kontinuiranu primjerenost, adekvatnost i učinkovitost.
 Ulazni podaci za provjeru
 Rezultati provjere
Unapređivanje ISMS-a

 Kontinuirano unapređivanje
 Korektivna aktivnost
o Identificiranje nesukladnosti;
o Ustanovljavanje uzroka nesukladnosti;
o Procjenu potrebe za aktivnostima koje bi osigurale da se nesukladnost ne
ponovi;
o Ustanovljavanje i implementiranje potrebnih korektivnih akcija;
o Zapisivanje rezultata poduzetih aktivnosti (vidi 4.3.3): i
o Provjeru poduzete aktivnosti
 Preventive aktivnosti
o Identificiranje potencijalnih nesukladnosti i njihovih uzroka;
o Vrednovanje potrebe za poduzimanjem aktivnosti za spriječavanje pojave
nesukladnosti;
o Zapisivanje rezultata poduzete aktivnosti /vidi 4.3.3); i
o Kontrola poduzete preventivne aktivnosti.
Norma ISO/IEC 27002:2005

Ova norma sadrži sigurnosne domene, ciljeve kontrola i same kontrole koje se referenciraju u
Dodatku A norme ISO/IEC 27001.
Sigurnosne domene (kategorije) koje su pokrivene ovom normom su:
 Politika sigurnosti (1);

 Organizacija informacijske sigurnosti (2);
 Upravljanje imovinom (2);
 Sigurnost ljudskog potencijala (3);
 Fizička sigurnost i sigurnost okruenja (2);
 Upravljanje komunikacijama i operacijama (10);
 Kontrola pristupa (7);
 Nabava, razvoj i održavanje informacijskih sustava (6);
 Upravljanje sigurnosnim incidentima (2);
 Upravljanje kontinuitetom poslovanja (1);
 Sukladnost (3).
U zagradama su navedeni brojevi sigurnosnih viljeva koje trebaju zadovoljiti predložene

kontrole. Ukupno ih ima 39.
Svaka glavna sigurnosna kategorija sadrži:
 cilj kontrole koji definira to treba postići; i

 jednu ili više kontrola koje se mogu primijeniti za postizanje tog cilja.
Opisi kontrola imaju sljedeću strukturu:

Kontrola
Određuje specifični kontrolni iskaz za zadovoljenje cilja kontrole.
Smjernice za primjenu
Sadrže detaljnije informacije koje podržavaju primjenu kontrola i postizanje cilja kontrole.
Neke od smjernica moda nisu pogodne u svim slučajevima i zato neki drugi načini primjene
kontrole mogu biti primjereniji.
Ostale informacije
Sadrže dodatne informacije koje je možda potrebno razmotriti, primjerice zakonske okvire i
reference na druge standarde.
Politika sigurnosti
 Politika informacijske sigurnosti
Cilj: Osigurati podršku uprave i njenu usmjerenost ka informacijskoj sigurnosti u

skladu s poslovnim zahtjevima i odgovarajućim zakonima i propisima
Organizacija informacijske sigurnosti
 Unutarnja organizacija
Cilj: Upravljanje informacijskom sigurnoću unutar organizacije.
 Vanjski suradnici
Cilj: Održavanje sigurnosti informacija i opreme za obradu informacija organizacije

kojima pristupaju, koje obrađuju, prenose ili kojima upravljaju vanjski suradnici.
Upravljanje imovinom
 Odgovornost za imovinu
Cilj: Postizanje i odravanje odgovarajuće zatite imovine organizacije.
 Klasifikacija informacija
Cilj: Osiguranje odgovarajuće razine zatite informacija.
Sigurnost ljudskog potencijala
 Prije zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje

njihovih odgovornosti, provjeriti njihovu podobnost za posao koji im je namijenjen i
smanjiti rizik od krađe, prijevare ili zloporabe opreme.
 Tijekom zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i trećoj strani razumijevanje

prijetnji informacijskoj sigurnosti, njihovih odgovornosti i obveza kao i opremiti ih za

podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik
ljudske greške.
 Prekid ili promjena zaposlenja
Cilj: Osigurati zaposlenicima, ugovornim suradnicima i korisnicima treće strane uredno

napuštanje organizacije ili promjenu zaposlenja.
Fizička sigurnost i sigurnost okruenja
 Osigurana područja
Cilj: Sprječavanje neovlatenog fizičkog pristupa, otećenja i ometanje prostora i

informacija organizacije.
 Sigurnost opreme
Cilj: Sprječavanje gubitka, otećenja, krađe ili ugroavanja imovine i prekida aktivnosti
organizacije.
Upravljanje komunikacijama i operacijama
 Operativne procedure i odgovornosti
Cilj: Osigurati ispravan i siguran rad opreme za obradu informacija.
 Upravljanje pruanjem usluge treće strane
Cilj: Primjenjivanje i odravanje odgovarajuće razine informacijske sigurnosti i pruanje

usluge u skladu sa sporazumima o pruanju usluge treće strane.
 Planiranje i prihvaćanje sustava
Cilj: Smanjenje rizika od zastoja u radu sustava.
 Zatita od zloćudnog i prenoljivog koda
Cilj: Zaštititi cjelovitost softvera i informacija.
 Sigurnosne kopije
Cilj: Održavanje cjelovitosti i raspoloživosti informacija i opreme za obradu informacija.
 Upravljanje sigurnoću mree
Cilj: Osiguranje zatite informacija u mreama i zatite prateće infrastrukture.
 Rukovanje medijima
Cilj: Sprječavanje neovlatenog otkrivanja, promjene, uklanjanja ili unitenja imovine i

prekida poslovnih aktivnosti.
 Razmjena informacija
Cilj: Održavanje sigurnosti informacija i softvera razmijenjenih unutar organizacije i s

trećom stranom.
 Usluge elektroničke trgovine
Cilj: Osigurati sigurnost usluga elektroničke trgovine i njihove sigurne uporabe.
 Nadzor
Cilj: Otkrivanje aktivnosti u vezi neovlaštene obrade informacija.
Kontrola pristupa
 Poslovni zahtjevi za kontrolu pristupa
Cilj: Kontrola pristupa informacijama.
 Upravljanje korisničkim pristupom
Cilj: Osigurati pristup ovlatenih korisnika i spriječiti neovlateno pristupanje

informacijskim sustavima.
 Odgovornosti korisnika
Cilj: Sprječavanje pristupa neovlatenih korisnika i ugroavanja ili krađe informacija i

opreme za obradu informacija.
 Kontrola pristupa mreži
Cilj: Spriječiti neovlateni pristup mrenim uslugama.
 Kontrola pristupa operacijskom sustavu
Cilj: Sprječavanje neovlatenog pristupa operacijskim sustavima.
 Kontrola pristupa aplikacijama i informacijama
Cilj: Spriječiti neovlateni pristup informacijama prisutnim u aplikacijskim sustavima.
 Uporaba mobilnih računala i rad na daljinu
Cilj: Ostvariti informacijsku sigurnost pri uporabi mobilnih računala i opreme za rad na
daljinu.
Nabava, razvoj i održavanje informacijskih sustava
 Sigurnosni zahtjevi informacijskih sustava
Cilj: Sigurnost kao sastavni dio informacijskih susta.
 Ispravna obrada u aplikacijama

Cilj: Sprječavanje greaka, gubitka, neovlatene promjene ili zloporabe informacija u

aplikacijama.
 Kriptografske kontrole
Cilj: Zaštita povjerljivosti, vjerodostojnosti ili cjelovitosti informacija uz uporabu

kriptografskih tehnika.
 Sigurnost sistemskih datoteka
Cilj: Ostvariti sigurnost sistemskih datoteka.
 Sigurnost u procesima razvoja i podrške
Cilj: Održavanje sigurnosti softvera i informacija aplikacijskog sustava.
 Upravljanje tehničkom ranjivoću
Cilj: Smanjenje rizika od iskorištavanja objavljenih tehničkih ranjivosti.
Upravljanje sigurnosnim incidentom
 Izvjećivanje o sigurnosnim događajima i slabostima
Cilj: Osiguranje izvjećivanja o sigurnosnim događajima i slabostima vezanim uz

informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih
akcija.
 Cilj: Osiguranje izvjećivanja o sigurnosnim događajima i slabostima vezanim uz

informacijske sustave na način koji omogućuje pravovremeno izvođenje korektivnih
akcija.
Cilj: Osiguranje primjene dosljednog i učinkovitog pristupa upravljanju sigurnosnim

incidentima.
Upravljanje kontinuitetom poslovanja
 Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja
Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te zatititi ključne

poslovne procese od utjecaja velikih zastoja informacijskih sustava ili katastrofa i
osigurati pravodoban nastavak rada.
Sukladnost
 Sukladnost sa zakonskim propisima
Cilj: Sprječavanje krenja svih pravnih, zakonskih, regulativnih ili ugovornih obveza i
sigurnosnih zahtjeva.
 Sukladnost sa sigurnosnim politikama i standardima i tehnička sukladnost

Cilj: Osigurati sukladnost sustava sa organizacijskim sigurnosnim politikama i

standardima.
 Razmatranja revizije informacijskih sustava
Cilj: Povećati učinkovitost i smanjiti ometanja od ili prema procesu revizije

informacijskih sustava.

15. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA I KONTINUITET

POSLOVANJA (BCMS)
I. UPRAVLJANJE SIGURNOSNIM INCIDENTIMA
Ključna komponenta programa sigurnosti organizacije je dobro strukturirano rješenje za

upravljanje sigurnosnim incidentima. Pri tome pod sigurnosnim incidentima
podrazumijevamo incidente koji su vezani na narušavanje ciljeva informacijske sigurnosti
(povjerljivost, integritet, raspoloživost, neporecivost i dr.)
Ciljevi
 Detekcija sigurnosnih događaja

 Identifikacija sigurnosnih incidenata, njihova procjena i odgovor na odgovarajući i
učinkovit način
 Minimiziranje negativnih posljedica na organizaciju i na njezine poslovne operacije
primjenom odgovarajućih sigurnosnih kontrola, kao dio odgovora na incidente, po
mogućnosti u vezi s odgovarajućim elementima Plana kontinuiranog poslovanja
(BCP)
 Brzo učenje iz pojave sigurnosnih incidenata i njihovog upravljanja.
Procesi
 Plana i pripreme
 Upotrebe
 Pregleda i analize
 Poboljšanja
Plan i priprema
 Izrada i dokumentiranje politike upravljanja sigurnosnim incidentima

 Izrada i detaljno dokumentiranje sheme za upravljanje sigurnosnim incidentima
 Ažuriranje politike informacijske sigurnosti te politike upravljanja rizicima na svim
razinama
 Uspostava odgovarajuće organizacijske strukture za upravljanje sigurnosnim
incidentima tj. formiranje Tima za odgovor na sigurnosne incidente (ISIRT -
Information Security Incident Response Team)
 Informiranje svih djelatnika organizacije o postojanju sheme za upravljanje
sigurnosnim incidentima
Upotreba

 Detekcija i izvjećivanje o pojavi sigurnosnih

 Skupljanje informacija koje su vezane na sigurnosni događaj
 Odgovor na sigurnosni incident:
o Neposredno u stvarnom vremenu ili vrlo blizu stvarnog događaja
o Ako je sigurnosni incident pod kontrolom treba provesti aktivnosti koje
dovode do potpunog oporavka od katastrofe/prekida kroz neko prihvatljivo
vrijeme
o Ukoliko sigurnosni incident nije pod kontrolom treba potaknuti "krizne"
aktivnosti (npr. poziv vatrogasnoj brigadi, ili aktiviranje Plana kontinuiranog
poslovanja (BCP))
o Provesti forenzičku analizu
o Ispravno zapisati sve aktivnosti ili odluke radi daljnje analize
o Zatvaranje incidenta po njegovom rješavanju.
Pregled i analiza
 Provođenje daljnje forenzičke analize ako je potrebno

 Identifikacija pouka iz sigurnosnog incidenta
 Identifikacija poboljšanja sigurnosnih kontrola
 Identifikacija poboljšanja sheme upravljanja sigurnosnim incidentima
Poboljšanje
 Revizija rezultata pregleda izvršavanja analize rizika informacijske sigurnosti i

njegovog upravljanja
 Poboljšanje sheme upravljanja sigurnosnim incidentima i pripadne dokumentacije
 Iniciranje poboljšanja razine informacijske sigurnosti organizacije
Politika upravljanja sigurnosnim incidentima
 Važnost upravljanja sigurnosnim incidentima za organizaciju

 Pregled detekcije sigurnosnih događaja, izvjetavanja i prikupljanja relevantnih
informacija
 Pregled ocjene sigurnosnih incidenata, uključujući tko je odgovoran, to treba biti
učinjeno, obavjećivanje o incidentu i eskalacija
 Sumarni prikaz aktivnosti koje slijede nakon potvrde da je sigurnosni događaj
zapravo sigurnosni incident to uključuje:
o Neposredan odgovor
o Forenzičku analizu
o Komunikaciju koja uključuje osoblje i relevantne treće strane
o Razmatranja o tome da li je sigurnosni incident pod kontrolom

o Naknadni odgovor
o Iniciranje ¨kriznih˝ aktivnosti
o Kriteriji za eskalaciju incidenta
o Tko je odgovoran
 Potreba da su sve aktivnosti ispravno zapisane za kasniju analizu, te da se provodi
kontinuirani nadzor
 Aktivnosti nakon rjeavanja sigurnosnog incidenta to uključuje učenje i poboljanje
nakon sigurnosnog incidenta
 Detalje o smještaju dokumentacije o shemi upravljanja sigurnosnim incidentima
uključujući i procedure
 Pregled Tima za odgovor na sigurnosne incidente (ISIRT)
 Pregled programa za podizanje svijesti i obuku za upravljanje sigurnosnim
incidentima
 Sumarni pregled zakonskih i drugih propisa koji se trebaju uzeti u obzir.
Uspostava Tima za odgovore na incidente (ISIRT)
Članovi i struktura ISIRT-a
Veličina, struktura i sastav ISIRT-a određena je veličinom i strukturom organizacije. Iako

ISIRT moe biti izolirani tim ili odjel , članovi tima najčeće dijele i druge dunosti i dolaze
iz različitih dijelova organizacije. To je najčeće virtualni tim koji je vođen i koordiniran od
strane uprave . Članovi tog tima su specijalisti u različitim područjima, kao to su obrada
zloćudnih napada na software, a koji se pozivaju prema vrsti incidenta.
Odnosi s drugim dijelovima organizacije
 Tko će unutar organizacije raditi na upitima medija

 Kako će dijelovi organizacije surađivati i komunicirati sa ISIRT-om.
Odnosi sa vanjskim stranama
 Ugovorno vanjsko osoblje, na primjer iz CERT-a (Computer Emergency Response

Team)
 Vanjski ISIRT tim od organizacije ili CERT
 Organizacije za provođenje zakona
 Javna služba za izvanredne situacije (vatrogasci,..)
 Neke vladine organizacije (HNB,HANFA,.)
 Predstavnici medija
 Poslovni partneri
 Korisnici
 Javnost

Sigurnosni incidenti i njihovi uzroci
Sigurnosni incidenti mogu biti namjerni ili nesretni događaji (kao to su tehničke greke
sklopova ili djelovanje prirode) prouzročeni na tehnički ili fizički način.
Odbacivanje usluga (DoS)
Postoje dvije vrste DoS incidenata: eliminacija usluge ili njena potrošenost.
Neki DoS incidenti mogu biti prouzročeni slučajno kao to je primjer loeg konfiguriranja
sustava ili nekompatibilnost softwarea. Neki DoS incidenti su namjerno lansirani kako bi
srušili sustav, servis ili mrežu, dok ostali mogu bit rezultat ostalih zlonamjernih aktivnosti.
Skupljanje informacija
Općenito, ova kategorija incidenata uključuje one aktivnosti koje su povezane s

identifikacijom potencijalnih meta napada te istraivanje servisa koji se obrađuju na tim
metama napada. Ova vrsta incidenta uključuju izviđanje s ciljem da se identificira:
 Postojanje mete napada, saznanje o topologiji mreže koja ju okružuje, te sa kime meta
obično komunicira
 Potencijalna ranjivost mete napada ili njezinog mrežng okruženja koja se može odmah
eksploatirati
Neovlašteni pristup
Ova kategorija incidenta uključuje one koji ne spadaju u prve dvije kategorije. Općenito ova
se kategorija incidenta sastoji od stvarno neautoriziranih pokušaja pristupa ili zlouporabe
sustava, servisa i mreže.
Struktura i korištenje sustava za upravljanje sigurnosnim incidentima
Prema normi BS 25999-1:2006, Business Continuity Management definirana je struktura

reakcije na incident koja treba biti implementirana u organizaciji.
Prema normi ISO/IEC TR 18044, Information Security Management definiran je način

korištenja sustava za upravljanje incidentima.
Struktura reakcije na incident
U bilo kakvim incidentnim okolnostima trebala bi postojati jednostavna i brzo zasnovana

struktura koja će organizaciji omogućiti:
 potvrdu prirode i razmjera incidenta,

 preuzimanje kontrole nad okolnostima,
 zadravanje incidenta u određenim okvirima i
 komunikaciju sa zainteresiranima.

Vremenski slijed incidenta
Korištenje sustava za upravljanje incidentima
Korištenje sustava za upravljanje incidentima sastoji se od dvije faze: upotreba i

pregled/analiza na koje se nadovezuje faza poboljšanja kada se identificirju poboljšanja kao
rezultat naučenih lekcija.
Pregled ključnih procesa
 Detekcija i izvjećivanje o pojavi sigurnosnog događaja

 Prikupljanje informacija o sigurnosnom događaju i provođenje prve ocjene
sigurnosnog događaja
 Provođenje druge ocjene od strane ISIRT tima, koji prvo potvrđuje da je sigurnosni
događaj stvarno sigurnosni incident, i tada ako je, on potiče neposredni odgovor,
neophodnu forenzičku analizu i aktivnosti komuniciranja.
 Pregled od strane ISIRT-a da li je sigurnosni incident pod kontrolom
 Eskalacija ako je potrebna za daljnju ocjenu i/ili donošenje novih odluka
 Osiguranje da su sve aktivnosti, posebno ISIRT ispravno zapisane za kasniju analizu
 Osiguranje da su svi elektronički dokazi prikupljeni i sigurno smjeteni

Obrada sigurnosnog događaja i incidenta
Korisnik/ Grupa za
Izvor operativnu Interni ISIRT Organizacija
podršku za krizne
(24x7) situcije
Događaj uključujući
eksterni
Detekcija
ISIRT
Detekcija i
izvješćivanje Izvještaj
Prikupljanje
informacija
Ocjena i odluka
Prva ocjena
NE DA
Relevantno?
Druga ocjena
NE
Relevantno?
DA
Pozitivna
greška
NE NE
Incident pod Aktiviranje krizne

kontrolom? organizacije?
DA DA
Odgovor
Naknadni odgovori Krizne aktivnosti
Pregled/Analiza
Poboljšanje
Dijagram toka obrade sigurnosnog događaja i incidenta
Detekcija i izvjećivanje
Sigurnosni incident se može detektirati direktno od osoblja koje je nešto zapazilo što bi moglo
biti vano, bilo da je tehničke, fizičke ili proceduralne prirode. Detekcija moe biti također od
detektora vatre/dima ili alarma provale sa prethodno definiranom lokacijom za uzbunjivanje
za ljudsku akciju. Sigurnosni događaji tehničke prirode mogu se detektirati automatski od na
primjer sigurnosne stijene, sustava za detekciju upada, antivirusnih alata i dr.

Prva ocjena i inicijalna odluka
Osoba iz Odjela za informacijsku sigurnost (Grupa za operativnu podršku) treba potvrditi

prijem ispunjenog izvjeća o sigurnosnom događaju, treba ga unijeti u bazu podataka
događaja/incidenata te ga treba pregledati. Ona treba , ukoliko je potrebno, razjasniti sve
nejasnoće s osobom koja je podnijela izvjeće o sigurnosnom događaju, te prikupiti sve
poznate i raspoložive informacije.
Druga ocjena i potvrda incidenta
Druga ocjena i potvrda sigurnosnog incidenta je zadaća ISIRT tima. Osoba unutar ISIRT tima
koja zaprima izvjeće o sigurnosnom incidentu treba:
 Potvrditi prijem obrasca za sigurnosni incident koji treba to je moguće prije biti
završen od Odjela za sigurnost (Grupe za operativnu podršku)
 Unijeti obrazac u bazu događaja/incidenta
 Zatražiti sva eventualna pojašnjenja od operativne grupe,
 Pregledati sadraj tog izvjeća
 Prikupiti sve daljnje informacije koje su raspoložive, bilo od operativne grupe za
podrku, osobe koja je ispunila izvjeće o sigurnosnom događaju ili drugog izvora.
Odgovori na incidente:
 Neposredan odgovor
 Incident pod kontrolom ?
 Naknadni odgovori
 Krizne aktivnosti
 Forenzička analiza
 Komunikacije
 Eskalacija
 Zapisi i upravljanje promjenama
Izvjeća o sigurnosnom događaju i sigurnosnom incidentu
Podatci koji trebaju biti u obrascu za izvjeće o sigurnosnom događaju
 Datum događaja
 Broj događaja (osigurava Odjel za sigurnost i ISIRT)
 Podatci o osobi koja podnosi izvjeće
 Opis sigurnosnog događaja
 Detalji sigurnosnog događaja

Podatci koji trebaju biti u obrascu za izvjeće o sigurnosnom incidentu
 Datum incidenta
 Broj incidenta (osigurava ISIRT, a povezuje se s brojem sigurnosnog događaja)
 Detalji o članu grupe za podrku radu sustava (analitičar sigurnosnog događaja -
identificira sigurnosni incident)
 Detalji o članu Tima za odgovor na sigurnosne incidente (ISIRT)
 Opis sigurnosnog incidenta
 Detalji o sigurnosnom incidentu
 Vrsta sigurnosnog incidenta
 Koja su sredstva pogođena incidentom
 Neželjeni efekti i posljedice na poslovanje.
 Ukupna cijena troškova oporavka od incidenta.
 Rješenje incidenta
 Uključene osobe i počinitelji incidenta
 Opis počinitelja
 Stvarna ili percipirana motivacija
 Poduzete akcije na rješavanju incidenta
 Planirane akcije za rješavanje incidenta
 Neriješene akcije (zahtijevaju istraživanje od drugih osoba)
 Zaključak
 Popis osoba ili entiteta koji su obaviješteni
 Uključene osobe
II. KONTINUITET POSLOVANJA
Upravljanje kontinuittetom poslovanja provodi se kroz primjenu dobre prakse koja je

definirana normama BS 25999-1:2006, Business Continuity Management- Code of practice i
BS 25999-2: 2007, Business Continuity Management - Specifications. Ove norme omogućuju
uspostavu Sustava upravljanja kontinuitetom poslovanja (BCMS - Business Continuity
Management System) koji se može uskladiti i certificirati prema normi BS 25999-2: 2007
koja određuje zahtjeve na takav sustav.
1. Uspostava programa kontinuiranog poslovanja (BC program)
Ciljevi BC programa
 Smanjenje vjerojatnosti pojave prekida poslovanja od strane neočekivanih događaja

koji uzrokuju prekid
 Održavanje kontinuiteta poslovanja za vrijeme prekida koji je nastupio od
neočekivanog događaja koji je izazvao prekid

Uzroci takvih događaja mogu biti na primjer:
 Prirodni (poplava, potres)

 Nesreća (kemijski udes)
 Greka uređaja
 Sabotaža
Značenje katasrofe u kontekstu poslovanja:
Websterov riječnik: ˝Katasrofa je neeljeni događaj , posebno onaj koji se dogodi iznennada
te koji prouzrokuje velike gubitke ljudskih ivota, velika otećenja i nevolje, kao to su
poplave, pad aviona ili greka u poslovanju˝.
Vano je uočiti da ova definicija povezuje katastrofu s grekom poslovanja.
Definiranje katastorofe (dizastera) iz poslovne perspektive razmatra se kao posljedice koje se

odnose na:
 Poslovanje (poslovne operacije)

 Poslovne gubitke
Primjer:
Poslovna funkcija; Usluge za korisnike
Poslovni procesi: upravljanje novim korisničkim računima, povratak proizvoda, provjera
korisičke plativosti
Poslovni gubitci se mogu podijeliti u dvije kategorije:

 Finacijski gubitci koji se izraavaju u novčanoj mjeri
 Operativni gubitci koji se ne mogu novčano izraziti
Primjeri finacijskih gubitaka mogu biti:

 Gubitak prodaje uzrokuje gubitak prihoda
 Plaćanje penala to je posljedica ne pridravanja SLA
 Troškovi putovanja koji se ne odnose na normalno poslovanje
 Trokovi rentanja uređaja koji se ne odnose na normalno poslovanje
Primjeri operativnih gubitaka:

 Gubitak dotoka novaca (prihoda)
 Rušenje Imidža (reputacije)
 Gubitak povjerenja dioničara
 Pogoranje odnosa sa dobavljačima
 Zakonske i regulatorne posljedice

Poslovna katastrofa
Definicija: To je pojava događaja koji izaziva prekid (neraspoloivost) poslovnih operacija

(poslovanja) kroz neki vremenski period što uzrokuje pojavu financijskih i operativnih
gubitaka neprihvatljive razine.

Izvori pojave dizastera
 Prirodni
o Snježna oluja
o Potres
o Haricine
o Poplave
o Smrtonosne bolesti
 Tehnički, koji su povezani sa tehnologijom to uključuje komponente kao to su

elktričke, mehaničke, IT i dr.
o Nestanak elelktrične struje
o Curenje vode
o Curenje plina
o Avionska nesreća
o Eksplozija nuklearnog reaktora
o Greke računalnih sustava
 Ljudski , uzrokovani od strane ljudi namjerno ili slučajno,

o Sabotaža
o Računalno hakiranje
o Štrajkovi
o Računalni virusi
o Nesreće na radu
o Kemijski incidenti
BC program zahtjeva procjenu rizika od svih navedenih uzroka katastrofa (prirodnih,

tehničkih i ljudskih.
Statistika o katastrofama
 2 od 5 businesa nikada nisu ponovo zaživjela

 1 od 3 businesa koji je zaživio je nestao nakon 2 godine
Važnost BC programa
1. Minimiziranje pojave prekida poslovanja od strane neočekivanih prekidnih

(naruavajućih) događaja
2. Odravanje kontinuiranog poslovanja za vrijeme pojave prekidnog događaja
Komponente BC programa
1. Planiranje kontinuiranog programa (BC programa)

2. Upravljanje sa BC programom
Razvoj BC programa

BC program se je tradicionalno fokusirao na:

 Ljude
 Komunikacije
 Radni prostor
 IT infrastrukturu
 Ljudska bića kao uzroke dizastera
ER plan (Emergency Response Plan) sadrži smjernice i procedure koje slijede odmah iza
pojave dizastera kako bi:
1. Spriječili gubitak ljudskih ivota i ranjavanje
2. Smanjili štetu nad imovinom organizacije
Današnji fokus BCP-a na :
 Ljude
 Kritične poslovne procese, ne samo na oporavak IT-a
 Kritične resurse i servise koji podupiru kritične poslovne procese
 Prirodne, ljudske i tehničke kategorije izvora dizastera

BC program mora se nositi sa slijedećim vrstama dizastera:
 Velikim katastrofama
 Manjim prekidima rada sustava
MTD-Mean Tolerable Downtime:
 1990 - 3 do 4 tjedna , što je regulirano finacijskim i poslovnim propisima

 2000 - 1 dan, uglavnom određeno sa Zahtjevima na Y2K problem
 Danas - do 1 sat, uglavnom uvjetovano e-trgovimom i Internetom
Razlozi za BC program
Zašto organizacija treba implementirati BC program ?
 Preživljavanje poslovanja
 Sprečavanje gubitka ljudskih ivota ili ranjavanja
 Sprečavanje gubitka u prihodu organizacija
 teta na kritičnim resursima
 Minimiziranje tete na kritičnim resursima nakon pojave dizastera
 Zatita poslovne reputacije, u smislu povjerenja u upravljanje te imiđ i brand.
 Usklađenost sa zakonima i propisima koji se odnose na poslovanje.
 Zaštita od kaznene i prekršajne odgovornosti
 Usklađenost sa ugovorima i SLA sporazumima.
Ključni principi BC programa
 Fokus
 Preventiva
 Plan
 Zaštita
Proces planiranja kontinuiteta poslovanja
Proces slijedi četiri glavna principa koji se implementiraju u BC programu kroz proces
planiranja u šest koraka:
1. Upravljanje rizikom
2. Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
3. Razvoj strategije kontinuiranog poslovanja
4. Razvoj BC plana
5. Testiranje BC plana
6. Održavanje BC plana

BC plan
Testiranje Upravljanje
BC plana
5 1 rizikom
Održavanje
BC plana
Razvoj BC
plana
4 2 BIA
Razvoj BC
strategije
Preventiva Plan
Fokus Zaštita
Ciljevi BC programa
Upravljanje rizikom
 Procjena prijetnji i rizika za kontinuitet poslovanja
 Upravljanjem rizikom koji prijeti kontinutetu poslovanja
Analiza posljedica na poslovanje (BIA – Business Impact Analysis)

 Identifikacija ključnih poslovnih funkcija i procesa
 Analiza posljedica koje mogu nastupiti prekidom ključnih poslovnih
funkcija i procesa.
 Identifikacija zahtjeva za oporavak nakon pojave dizastera
Razvoj strategije kontinuiranog poslovanja

 Ocjena zahtjeva za oporavak prekinutih ključnih poslovnih procesa.
 Identifikacija opcija za oporavak ključnih poslovnih procesa. Te opcije su
alternativne rješenja koja zadovoljavaju zahtjeve ocijenjene u prethodnom
koraku.

 Odabir najisplativijih mogućih rjeenja, koja su identificirana u

prethodnom koraku, kao dio strategije
Razvoj BC plana
 Zatita ključnih procesa i sredstava od različitih prijetnji i rizika
 Oporavak ključnih poslovnih procesa i resursa od dizastera na siguran i
vremenski privaćen način
Testiranje BC plana
 Testirati izrađen BC plan kako bi se osiguralo da je plan
 Testiranje sposobnosti i učinkovitosti tima za oporavak
 Testiranje učinkovitosti i sposobnosti dobavljača robe i usluga
Održavanje BC plana
 Odravati plan u spremnom stanju za njegovo izvođenje cijelo vrijeme, a za
slučaj pojave neočekivanog prekida poslovanja
Ova metodologija odgovara u potpunosti uspostavi kontrola za kontinuitet poslovanja koji je

određen standardom ISO 27001 (Anex A).
A.14 Upravljanje kontinuitetom poslovanja

A.14.1 Stanovišta informacijske sigurnosti pri upravljanju kontinuitetom poslovanja
Cilj: Ostvariti protumjeru u slučaju prekida poslovnih aktivnosti te zatititi ključne poslovne procese od utjecaja
velikih zastoja informacijskih sustava ili katastrofa i osigurati pravodoban nastavak rada.
A.14.1.1 Uključivanje informacijske Kontrola
sigurnosti u proces upravljanja Potrebno je razviti i održavati proces upravljanja
kontinuitetom poslovanja kontinuitetom poslovanja u cijeloj organizaciji koji
obrađuje zahtjeve informacijske sigurnosti potrebne
za kontinuirano poslovanje organizacije.
A.14.1.2 Kontinuitet poslovanja i procjena Kontrola
rizika Potrebno je prepoznati događaje koji mogu
uzrokovati prekide poslovnih procesa, zajedno s
vjerojatnoću i utjecajem takvih prekida i njihovih
posljedica po informacijsku sigurnost.
A.14.1.3 Razvoj i primjena planova Kontrola
kontinuiteta poslovanja koji Potrebno je izraditi i primijeniti planove za
uključuju informacijsku sigurnost održavanje ili obnavljanje aktivnosti i osiguravanje
dostupnosti informacija na zahtijevanoj razini u
zahtijevanom vremenu nakon prekida ili zastoja
ključnih poslovnih procesa.
A.14.1.4 Okosnica planiranja kontinuiteta Kontrola
poslovanja Potrebno je održavati jednu okosnicu planova
kontinuiteta poslovanja kako bi se osiguralo da su svi
planovi dosljedni, da bi se dosljedno uvažavali
zahtjevi informacijske sigurnosti i da bi se mogli
odrediti prioriteti ispitivanja i održavanja.
A.14.1.5 Ispitivanje, održavanje i ponovno Kontrola
procjenjivanje planova kontinuiteta Potrebno je redovito ispitivati i obnavljati planove
poslovanja kontinuiteta poslovanja kako bi uvijek bili suvremeni
i učinkoviti.

2. Aktivnosti za izvođenje BC programa
Glavne aktivnosti izvođenja BC programa mogu se podijeliti u dvije glavne skupine:
 Upravljanje s BC programom (BCP upravljanje) i

 Izvođenje BCP procesa (BCP proces)
Početak Uspostva programa za Završetak Prekid

obuku i podizanje
BCP svijesti BC Plana poslovanja
Kreiranje politike Koordinacija BCP sa

kontinuiranog zakonom, propisima i
BCP Upravljanje
poslovanja standardima
Uspostava Koordinacija s drugim

upravljačke unutarnjim/vanjskim
skupine agencijama Održavanje
Izvođenje
spremnosti na
BC plana
prekid
Uspostava BCP
Projekt razvoja BC plana
projekta
Upravljanje
BCP Proces
rizicima
Utjecaj na Testiranje
poslovanje - BC plana
BIA
Razvoj BC Održavanje i
strategije redovito
testiranaje BC
plana
Razvoj BC plana
Upravljanje s programom kontinuiranog poslovanja (BCP upravljanje)
 Uspostava i donošenje politike kontinuiranog poslovanja na razini cijele organizacije

 Uspostava tijela za upravljanje i nadzor provođenja BC programa
 Formalno inicirati projekt za razvoj BC plana
 Osigurati da je osoblje koje je uključeno u razvoj BC plana odgovarajuće obučeno.
 Osgurati da je BC program usklađen sa relevantnim zakonima i propisima i
industrijskim standardima
 Koordinirati aktivnosti s relevantnim agencija za oporavak od katastrofa i održavanje
kontinuiteta poslovanja (vladinim ili lokanim)
 Osigurati i voditi brigu daje BC plan uvijek u stanju spremnosti
 Upravljati i nadzirati izvođenje BC plana u slučaju pojave prekidnog događaja

BCM politika
 Identifikacija pojma kontinuiteta poslovanja

 Identifikacija relevantnih standarda, propisa, i zakona koje politika treba uključiti
 Identifikacija BCM politika drugih organizacija koje će posluiti za benchmark
 Pregled i provođenje "gap" analize postojeće politike prema drugim politikama ili
novim zahtjevima
 Razvoj novog dokumenta BCM politike
 Pregled dokumenta politike u prema postojećim standardima organizacije i drugim
politikama u organizaciji (npr. Politika informacijske sigurnosti i dr.)
 Izvršiti konzultacije za dokument politike
 Uključiti usvojene primjedbe i dopune na dokument kao rezultat konzultacija
 Odobrenje uprave za BCM politiku i strategiju njene implementacije (BC plan)
 Publiciranje BCM politike
Opseg BC programa
 Vie lokacija preko irokog geografskog područja

 Različiti odjeli na svakoj lokaciji
 Poslovni procesi koji zahvaćaju više odjelsku suradnju
 Sutave od stolnih računala do LAN-ova, sigurnih mreža do više Data centara sa više
servrea , itd.
 Telekomunikacije (podatake, glas, video, multimedija) koje poslužuju interne i
klijentskae potrebe
Pretpostavke za BC program (primjeri)
 BC plan će biti auran i drat će se na sigurnom mjestu

 Backupovi aplikacijskih programa i datoteka podataka potrebnih za oporavak bit će
raspoloživi na udaljenim lokacijama za uskladištenje
 Kopije BC plana bit će raspoloive na lokacijama ili kod djelatnika poimenično
 Dogodilo se totalno uništenje Data centra
 Vie od jedne zgrade neće biti pogođeno katastrofom
 Telekomunikacijske potrebe već su ugovorene unaprijed
 Minimalni broj osoba bit će raspoloiv za provođenje kritičnih funkcija BC plana
 Katastrofa moe nastupiti za vrijeme vrnog opterećenja
 Odjel za upravljanje rizicima će provoditi slijedeće zadatke:
 Katastrofe će se deklarirati i obrada će biti prebačena na lokaciju za oporavak kada se
očekuje prekid dui od 48 sati
BCP proces
Aktivnost BCP procesa su:
1) Upravljanje rizikom
2) Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
3) Razvoj strategije kontinuiranog poslovanja
4) Razvoj BC plana

5) Testiranje BC plana
6) Održavanje BC plana
Upravljanje rizikom
Različite prijetnje mogu dovesti do prijetnji poslovanju sa značajnim posljedicama, gubitak

ivota, unitenje uređaja, financijski gubitci i dr. iako je često jako teko ukloniti te rizike u
potpunosti, organizacija može smanjiti te rizike na prihvatljivu razinu kroz primjenu metoda
za učinkovito upravljanje rizicima.
Analiza posljedica za poslovanje - BIA

BIA identificira slijedeće informacije:
 Kritična područja poslovanja i njihove procese

 Veličine potencijalnih financijskih i operativnih rizika za organizaciju
 Zahtjeve na oporavak prekinutih poslovnih procesa
Zahtjevi na vrijeme oporavka
Okvir vremena pojave prekida i oporavka

Vremenski periodi:
 MTD je dužina vremena za koju poslovni proces može biti neraspoloživ prije nego
organizacija pretrpi značajne gubitke. MTD odgovara vremenskom periodu između
prekidnog događaja i početka normalnog poslovanja.
 RTO je povezan sa oporavkom resursa kao to su računalni sustavi, uređaji za

proizvodnju, komunikacijski uređaji, zgrade, radni prostor i dr. RTO odgovara dužini
vremena između prekidnog događaja i oporavka sustava/resursa. To pokazje na
vrijeme raspoloživo za oporavak onesposobljenih sustava/resursa.
 RPO se odnosi na toleranciju gubitka podataka mjereno kroz vremeske jedinice, tj kao
vrijeme između posljednjeg backupa i prekidnog događaja. RPO je indikator koliko
mnogo podataka se može oporaviti jednom kada su sustavi oporavljeni i ažurirani sa
backupiranim podatcima .
 WRT se mjeri kao vrijeme između opravljenih sustava/resursa i početka normalnog

poslovanja. WRT pokazuje na vrijeme potrebno za oporavak izgubljenih podataka,
backloga, i ručno uhvaćenih podtaka jednom kada su sustavi/resursi
oporavljeni/popravljeni.
Strategija razvoja kontinuiteta poslovanja

Područja oporavka:
 Radni prostori
 IT sustavi i infrastruktura
 Proizvodna
 Podatci i kritični/vitalni zapisi
Primjeri zahtjeva za oporavak za navedena područja oporavka su:

 Radni prostori:
o Priprema alternativnog radnog prostora za Tim za krizne situacije
o Priprema alternativnog uredskog prostora za osoblje
 IT sustavi i infrastruktura
o Priprema alternativne lokacije za oporavak IT sustava
o Oporavak otećenih sustava
 Proizvodnja i obrada
o Oporavak otećenih uređaja za proizvodnju
 Podatci i kritični/vitalni zapisi:
o Obnova otećenih kritičnih zapisa
o Obnova izgubljenih podataka

Optimalna strategija
Strateška rješenja

Razvoj BC plana (BCP)

Izvođenje BC plana:
1. Početni odgovor i obavijest (rezultira u preliminarnom izvjeću o problemu)

2. Procjena problema i eskalacija (rezultira u detaljnom izvjeću o problemu)
3. Izjava o katastrofi/prekidnom događaju (rezultira u proglašenju
katastrofe/prekidnog događaja)
4. Implementacija plana logistike (rezultira u mobilizaciji timova, backup medija,
kritičnih resursa i uređaja)
5. Oporavak i nastavak poslovanja (rezultira u oporavku kritičnih IT i ne-IT resursa i
nastavak procesa)
6. Normalizacija (rezultira u operativnom statusu koji je bio prije pojave prekida)
Izvođenje
ERP
Stabilizacija
Upravljanje BCP
Početni
odgovor i
obavješći Procjena
vanje problema i
eskalacija Deklaracija Logistika
1. faza prekida implementacije
plana
2. faza
3. faza
Primarna 4. faza Oporavak i nastavak
lokacija poslovanja
Centar za
upravljanje 5. faza Normalizacija
krizom
Alternativna IT 6. faza
lokacija, radni prostor
i proizvodnja Cold Site ili
originalna lokacija
Prekid Vrijeme Normalno stanje

Arhitektura sustava na kojem se provodi izvođenje BC plana
Normalno stanje Krizno stanje Normalizacija
Primarna Lokacija za Centar Nova ili stara

lokacija za kriznu situaciju primarna lokacija
Udaljena lokacija Alternativna Udaljena lokacija

za smještaj backup lokacija za IT za smještaj
podataka oporavak backup podataka
Udaljena lokacija Udaljena lokacija

Alternativni za radni
za smještaj kritičnih za smještaj
prostor
zapisa kritičnih zapisa
Alternativna
BC Upravljački
BC Upravljački tim lokacija za
tim
proizvodnju
BC koordinator Tranzicija BC koordinator
BC timovi BC timovi
BC timovi

Uloge i odgovornosti za izvođenje BC plana

Testiranje BC plana
Održavanje BC plana
 Upravljanje promjenama BC plana

 Testiranje BC plana
 Obuku i trening za izvođenje BC plana
 Revizije (audit) BC plana
Raspored testiranja BC plana
 Definiranje intervala testiranja: mjesečno, kvartalno, polugodinje i godinje

 Odabir metode testiranja za svaki interval tetsiranja
 Pridruživanje vremenskog intervala test metodi koje treba uzeti u obzir složenost test
metode, tj nezin opseg, potreban napor, resurse, troškove i dr.


16. ZAKONSKI I ETIČKI ASPEKTI SIGURNOSTI

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

Prof. dr. sc. Nikola Hadjina
Zbirka zadataka iz kolegija “Zaštita i sigurnost

informacijskih sustava”
1. U uvjetima gdje nekoliko korisnika dijeli pristup jednoj bazi podataka, kako se može
dogoditi neograničeno odlaganje pristupa (zastoj) ? Opišite scenarij u kojem dva korisnika
mogu dovesti do neograničenog odlaganja svojih zahtjeva.
2. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog sustava

primjenom napada Trojanskog konja ? Navedite i mjeru zaštite od takvog napada.
3. Objasnite razliku između implicitnih i eksplicitnih tokova podataka. Koje relacije između
sigurnosnih klasa objekata (varijabli) moraju biti ispunjene da bi tokovi bili sigurni ? Koji
problemi mogu nastupiti kod implicitnih tokova ?
4. Koja najniža klasa (grupa) prema DoD kriterijima zadovoljava zahtjeve mandatne kontrole
pristupa ? Koja je to funkcija koja se mora realizirati da bi se zadovoljili sigurnosni kriteriji za
tu klasu?
5. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve

sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu
primijeniti na sve ciljeve ? Ako da, kako i gdje ?
6. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti
moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2.
7. Navedite slučajeve i uzroke viepojavnosti kod vierazinskih baza podataka. Prikažite

barem dva primjera višepojavnosti na razini n-torke unutar relacije, te na razini elementa
(atributa) unutar n-torke.
8. Navedite i objasnite glavne korake u analizi rizika sigurnosti informacijskog sustava.
10. Koja svojstva treba zadovoljiti protokol izvođenja digitalnog potpisa ? Kako se to
rješava?
11. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te to znači kvaliteta
virusa?
12. Koja svojstva mora zadovoljiti sigurnosna jezgra operacijskog sustava ? Koje su funkcije
podržane unutar sigurnosne jezgre, te koje su prednosti takvog rješenja izgradnje povjerljivog
operacijskog sustava ?
13. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su
prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?

14. Koji su glavni sigurnosni zahtjevi koji se postavljaju na sustav za upravljanje sa bazom
podataka (DBMS). Koji su principi integriteta prema Sandhu i Jajodia ?
15. Opišite metodologiju projektiranja sigurne baze podataka. Navedite neke od važnih
smjernica u odabiru i implementaciji sigurnosnih mehanizama.
16. Usporedite svojstva enkripcije u očuvanju sigurnosti računalnih mrea (enkripcija veze i
enkripcija sa kraja na kraja) za sigurnost unutar računala u mrei, prema ulozi korisnika, te
prema načinu implementacije.
17. Koji sigurnosni problemi proizlaze iz praćenja prometa na mrei te kako se oni rjeavaju?
18. Koji su prijetnje sigurnosti i zahtjevi na zatitu elektroničke pote? Kako se to rješava
primjenom PEM (Privacy Enhanced (Electronic) Mail) elektroničke pote ? Koji su nedostatci
ove primjene i kako se oni rješavaju ?
19. Opiite svojstva i rad zatićenih usmjerivača (screening routers) te navedite arhitekturu i
primjer primjene.
20. to je sadraj plana sigurnosti (taktičkog plana izvedbe) , to plan razrađuje, to je potpora
planu, te kakav je sastav tima za izradu plana?
21. to znači očuvanje integriteta na mrei računala te kako se on postie ?
22. Zašto Clipper protokol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod
ključem familije F ?
23. Navedite i obrazložite Shanon-ova svojstva dobrog šifriranja ?
24. Opišite svojstva i rad sigurnosne brane (firewall-a) tipa opunomoćenog

prospojnika (Proxy Gateway), te nevedite primjer primjene.
25. Opiite razliku između ranjivosti, prijetnje i kontrole sigurnosti informacijskog sustava.
Navedite odgovarajuće primjere koji su međusobno povezani kroz sve tri razine.
26. Navedite barem tri primjera štete koju podnosi tvrtka koja prolazi kroz napad na integritet
programa ili podataka tvrtke.
27. Očuvanje tajnosti, integritetea i raspoloivosti podataka je ukazivanje na brigu i opasnosti

koje dolaze od prekida, prihvata, izmjena i produkcije postakaka(prijetnje). Kako se prva tri
koncepta odnose na posljednja četri? To znači, da li je jedan od četri ekvivalentan jednom ili
vie od tri ? Da li se jedan od tri obuhvaća jedan ili vie od četri ?
28. Koja svojstva čine postupak kriptiranja podataka potpuno "neprobojnim" (zatićenim) ?
29. Zašto je bolje koristiti neregularne permutacije (u postupku kriptiranja) u odnosu na

permutacije koje slijede neki uzorak kao na primjer: i) = i + 3.

30. Objasnite zašto produkt dvije relativno jednostavne šifre, kao što su supstitucija i
transpozicija moe postići veći stupanj sigurnosti.
31. Kod enkripcije javnog ključa, pretpostavimo da A eli poslati poruku B. Neka su A PUB i
APRIV javni i privatni ključ od A; slično vrijedi i za B. Pretpostavimo da C zna oba javna
ključa, ali niti jedan privatni. Ako A šalje poruku na B, koju enkripciju treba A upotrijebiti
kako bi samo B mogao dekriptirati poruku ? (to je svojstvo tajnosti). Može li A kriptirati
poruku tako da bilo tko primi poruku bude siguran da je poruka stigla samo od A ? (to je
svojstvo autentičnosti). Moe li A postići i autentičnost i tajnost za jednu poruku ? Kako, ili
zašto ne ?
32. Prva predloena kriptografska funkcija plombiranja (zbroj numeričkih vrijednosti svih
bytova poruke) imala je ozbiljne sigurnosnu rupu: izmjena pozicije dva bajta poruke neće se
detektirati ovom funkcijom. Predloite alternativnu funkciju koja neće imati tu slabost.
33. Objasnite zašto protokol digitalnog potpisa koji koristi kriptiranje upotrebom javnog
ključa sprečava primaoca od krivotvorenja poruke poiljaoca , koristeći javni ključ poiljaoca.
34. Zato Clipper protocol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod
ključem familije F ?
35. Koristeći potvrdu u dva koraka (two-step commit), opišite kako izbjegnuti pridruživanje
jednog sjedala (npr. u rezrvaciji sjedala zrakoplova). To jest, navedite precizno korake koje
treba provesti sustav za upravljanje sa bazom podataka (DBMS) u dodjeli sjedala putnicima.
36. UNDO je operacija oporavka za baze podataka. To je naredba kojom se dobiva

informacija iz transakcijskog dnevnika i restauracijom elemenata baze podataka na njihove
vrijednosti koje su bile prije nego je izvedena određena transakcija. Opiite situaciju u kojoj
bi UNDO naredba bila korisna.
37. Odgovor “osjetljiva veličina ; odgovor obustavljen” je sam po sebi otkrivanje

informacije. Predloite način kako sustav za upravljnje bazom podataka (DBMS) moe
obustaviti odgovor koji otkriva osjetljivu informaciju , bez odgovora koji otkriva da je
tražena informacija osjetljiva.
38. Objasnite nedostatke particioniranja kao načina uvođenja vierazinske sigurnosti za baze
podataka.
39. Koja je svrha kriptiranja u sustavu za upravljanje višerazinskim bazama podataka?
40. Korisnik želi uspostaviti tajni kanal sa kontrolom i analizom ukupnog prometa na mreži.
Na kojoj razini OSI protokola se ta analiza treba provesti i zašto ?
41. Proirljivost je prednost koritenja mrea: novi čvorovi se mogu lako dodavati u mreu.
Na koje sigurnosne nedostake to ukazuje ?
42. Gdje (i koliko puta za vrijeme prijenosa) je poruka izložena otkrivanju ako je ona
zatićena koritenjem enkripcije veze ? Gdje je poruka izloena otkrivanju ako se koristi
enkripcija sa kraja na kraj ?

43. Koja su pitanja sigurnosti komunikacija važna u razmatranju lokalnih računalnih mrea
(LAN) ? Koja su važna u konvencionalnim globalnim mrežama (WAN) ? Koja su pitanja
sigurnosti važna za komunikacije striktno unutar jedne zgrade ?
44. Da li je enkripcija djelotvorna kontrola protiv pasivnog prisluškivanja ? Da li je

djelotvorna protiv aktivnog prisluškivanja ? Zašto da, ili zašto ne ?
45. Objasnite kako se jednostavno svojstvo (ss) i *svojstvo Bell-La Padula sigurnosnog
modela odnose prema sigurnosti komunikacija.
46. Objasnite zašto je zapis o događajima (audit trail) nesiguran na osobnim računalima bez
upotrebe privilegiranog moda izvođenja.
47 .Objasnite prednosti i mane postupaka implementacije pristupne matrice A prema

Harrisonu za operacijske sustave. Koji od postupaka implementacije daje najbolju podršku
postupcima ažuriranja pristupne matrice A ?
48. Koji se mehanizmi koriste za kontrolu toka podataka za vrijeme izvođenja, programa, te
koje relacije moraju zadovoljiti sigurnosne klase objekata u instrukcijama pridruženja te u
kondicionalnim instrukcijama. Da li su implicitni tokovi uvijek sigurni ? Zašto da , ili zašto
ne?
49. Obrazložite mane diskrecionog modela sigurnosti (HRU) u realizaciji diskrecionih

politika sigurnosti i navedite primjer.
50. Kako se dijele matemtički modeli sigurnosti , te koji su im osnovi elementi ? Koji od
modela je najprimjereniji za uvođenje sigurnosti relacionih baza podataka sa vierazinskim
pristupom i zašto ?
51.Koristeći primitivne operacije Harrison modela matrice pristupa napite naredbe za

kreiranje novog procesa (subjekta) s1 koji kreira (vlasnik) datoteke f1, te dodjelu prava
pisanja u datoteku f1 za proces(subjket) s2 , ukoliko proces s2 ima pravo čitanja čitanja
datoteke f2 kojoj je vlasnik proces (subjekt) s3. Pravo za pisanje je W, za čitanje je R, a
vlasništvo je O.
52. Da li je moguće u diskrecionom modelu sigurnosti (Harrison-Ruzzo-Ullman – model)

prenositi pravo vlasništva nad objektom ? Zašto da , ili zašto ne ? Da li subjekt može
dodjeliti pravo drugom subjektu ako ga on ne posjeduje ? Ako da, u kojim slučajevima ?
53. Kako se propagacija prava realizira u Harrison-Ruzzo-Ullman modelu matrice pristupa ?

Koji su nedostaci i prednosti takve propagacije prava ?
54. Navedite primjer ranjivosti diskrecione politike pristupa sredstvima informacijskog

sustava primjenom napada Trojanskog konja. Navedite i mjeru zaštite od takvog napada.
55. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve
sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu
primjeniti na sve ciljeve ? Ako da, kako i gdje ?

56. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti
moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2.
57. Nacrtajte sigurnosnu rešetku za Bell-La Padula model sigurnosti za klasifikaciju (TS-Vrlo
tajno, T- tajno, C- povjeljivo, U-neklasificirano), te za skup kategorija (a, b). Odredite
najmanju gornju granicu (H) , te naveću donju granicu (L) sigurnosnih klasa.
58. Koji su kritički faktori uspjeha izgradnje sigurnosti informacijskih sustava ?
59. Opišite kako radi Sigurni hash algoritam (SHA). Koje su njegove primjene ?
60. Opiite rad Clipper programa, postupka zalonog ključa. Koje su njegove prednosti i
mane?
61. Što je protokol kriptiranja ? Koja su glavna svojstva dobrog protokola kriptiranja ?
62. Prikaite protokol asimetrične izmjene ključa preko posluitelj računala ? Koji su
nedostaci takvog protokola, te kako se mogu riješiti ?
63. Koja svojstva treba zadovoliti protokol izvođenja digitalnog potpisa ? Kako se to rjeava?
64. Navedite vrste programskih greaka, te razloge zbog kojih ne moemo izbjeći sve
programske greške .
65. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te to znači kvaliteta
virusa?
66. Navedite i obrazložite funkcije operacijskih sustava koje su orjentirane na podršku

sigurnosti. Da li su one dostatne za sigurnost informacijskih sustava ? Ako ne zašto ?
67. Navedite i opiite sustave za korisničku identifikaciju/autentifikaciju. Koji su osnovni

kriteriji koji trebaju biti zadovoljeni kod autentifikacije koja je zasnovana na lozinkama ?
68. Navedite i opišite skup kategorija zahtjeva koji su postavljeni "DoD" kriterijima.
69. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su
prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?
70. Koje su moguće politike kontrole pristupa objektima baze podataka , te koja je razlika
između otvorenih i zatvorenih sustava ?
71. Objasnite kako je moguće očuvati integritet transakcija u viekorisničkom informacijskom

sustavu koji realiziran bazom podataka, u slučaju konkurentnog pristupa istim podatcima.
72. Objasnite to je to osjetljivost, koji su faktori koji podatake čine osjetljivim, te koje su
vrste otkrivanja takovih podataka. Kakav je odnos sigurnosti, preciznosti i osjetljivosti ?
73. Koje su vrste napada vezanih na zaključivanje o podatcima? Koje su zatitne

mjere(kontrole) koje se primjenjuju na njihovom suzbijanju ?

74. Koje su metode zaštite sigurnosti višerazinskih baza podataka ? Koje su njihove prednosti
i mane ?
75. Opišite upotrebu komutativnih filtera u zaštiti višerazinskih baza podataka, te navedite
primjer jednog upita koji se time regulira.
76. Koje su razlike između operacijskih sustava i sutava za upravljanje bazom podatataka
(DBMS) u pogledu sigurnosnih problema i njihovog rješavanja ? Navedite i opišite barem
četiri.
77. Opišite zaštitu objekata baze podataka primjenom autorizacijskog modela (Sistem R).
Kako se provodi postupak opoziva prava ? Kako je provedena implementacija, te koja su
proširenja modela ?
78. Navedite i objasnite koji su sigurnosni problemi, prijetnje te kategorije prijetnji sigurnosti
računalnih mrea i distribuiranih sustava.
79. Navedite i objasnite probleme autentifikacije u distribuiranim sustavima , te koji su

postojeći mehanizmi za njihovo rjeavanje .
80. Opišite rad Kerberos sustava za autentifikaciju u distribuiranim sustavima. Koje su

njegove prednosti i mane ?
81. to znači očuvanje integriteta na mrei računala, te kako se on postie ?
82. Opišite Walker-ov dizajn sigurnosne arhitekture višerazinske mreže. Kako se provodi
komunikacija sa nepovjerljivim hostom ? Navedite primjere sigurne komunikacije prema
Bell-La Padula-ovom modelu.
83. Objasnite što je sigurnosna brana (firewall). Koje su strategije implementacije, koje su
vrste, te njihova usporedna svojstva?
84. Što sigurnosna brana (firewall) može, a što ne može blokirati ?
85. Predložite arhitekturu mree (računala sa pripadnim IP adresama) sa sigurnosnim branama

koja povezuje tri odvojena LAN-a koja omogućuje slanje kriptirane elektroničke pote (PEM)
kroz WAN mrežu. Objasnite svojstva takove arhitekture.
86. to je sadraj plana sigurnosti (taktičkog plana izvedbe) , to plan razrađuje, to je potpora
planu, te kakv je sastav tima za izradu plana?
87. Navedite barem četri stavke sigurnosne politike za Internet.

.

SkriptaZaStudente2009 12

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

SkriptaZaStudente2009 12

Uploaded by

Copyright:

Available Formats

Zaštita i sigurnost informacijskih sustava

Prof. dr. sc. Nikola Hadjina

ZAŠTITA I SIGURNOST INFORMACIJSKIH

Zagreb, srpanj, 2009.

07/2009 FER - Zavod za primijenjeno računarstvo 1

Predavač: prof. dr. sc. Nikola Hadjina

1. Definiranje sigurnosti, problemi, ciljevi, načela i politika sigurnosti.

07/2009 FER - Zavod za primijenjeno računarstvo 2

1. DEFINIRANJE SIGURNOSTI, PROBLEMI, CILJEVI, NAČELA I

 Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih

Informacijska sigurnost i sigurnost informacijskih sustava

Informacija je poslovna imovina

Faktori koji imaju utjecaj, odnosno ugrožavaju, informacijsku sigurnost:

Informacijska sigurnost u kontekstu

Sigurnost je poslovni proces

Sigurnost je proces smanjenja rizika ili vjerojatnosti nastajanja štete.

Informacijska sigurnost je poslovni zahtjev

Dodatni aspekti informacijske sigurnosti:

Izgradnja plana informacijske sigurnosti

Pet glavnih faza svakog Plana informacijske sigurnosti su:

Informacijska imovina su sva ona sredstva koja uskladićuju informaciju, prenose

Sredstva organizacije se mogu stoga grupirati u slijedeće kategorije:

Odnos sigurnosti računarskih sustava i informacijskih sustava

Sigurnost računarskih sustava najčeće podrazumjeva sigurnost u okviru tehničke

 Sigurnost računala (Computer Security -1970)

Osnovne grupe razvoja sigurnosti mogu se podijeliti na:

07/2009 FER - Zavod za primijenjeno računarstvo 5

Računlna sigurnost, informacijska sigurnost i sigurnost informacijskih

Sigurnost je u biti upravljanje rizicima.

Što je i što nije informacijska sigurnost ?

Pogledi na sigurnost (informacijske operacije, zaštitu informacija i ostavrenje ciljeva

→Informacijska sigurnost se ponekad povezuje sa informacijskim operacijama koje štite i

→Informacijska sigurnost je zaštita informacija od velikog broja prijetnji radi osiguranja

→ Omogućiti ostvarenje ciljeva poslovanja na siguran način, u kojem su zadovoljeni

Stoga je informacijska sigurnost:

Informacijska sigurnost nije:

• Odgovornost samo IT-a

Filozofija informacijske sigurnosti je dakle sadrana u slijedećem:

• Vanost i kritičnost informacija se stvara u glavama poslovnih ljudi a ne u njihovim

Što je sigurnost informacijskih sustava ?

Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u

Glavni ciljevi u istraivanju računalne sigurnosti su:

 ispitivanje sigurnosnih rizika u računarstvu

Ranjivost, prijetnja i rizik

Ranjivost (engl. vulnerability) – stanje, nedostatak ili slabost u sigurnosnim procedurama,

07/2009 FER - Zavod za primijenjeno računarstvo 7

Rizik se prepostavlja od strane vlasnika ili administratora sustava, a to je vjerojatnost da

Rizik = F(prijetnji,ranjivosti, vrijednosti informacijske imovine, sigurnosne kontrole)

Svojstva računarskih upada

Princip najlakšeg upada

Vrste sigurnosnih proboja (upada)

Ciljevi sigurnosti računarskog/informacijksog sustava

Računarska sigurnost u uem smislu, općenito, sastoji se od odravanja tri sigurnosna

07/2009 FER - Zavod za primijenjeno računarstvo 8

Neka značenja cjelovitosti su:

 prisutnost objekta ili usluge u upotrebljivom obliku

Ciljevi raspoloživosti su:

Odnos između povjerljivosti, cjelovitosti i raspoloivosti

07/2009 FER - Zavod za primijenjeno računarstvo 9

Ranjivosti računarskog/informacijskog sustava

 Za računalne kriminalce ranjivosti informacijskih sustava i mreža su skriven, ali vrlo

Od kuda dolaze ranjivosti ?

 Greke u programiranju uzrokuju mnoge ranjivosti u softveru. Uobičajena greka je ne

Informacijska imovina su sva ona sredstva koja uskladićuju informaciju, prenose

Sigurnost računarskih sustava najčeće podrazumjeva sigurnost u okviru tehničke

Filozofija informacijske sigurnosti je dakle sadrana u slijedećem:

• Vanost i kritičnost informacija se stvara u glavama poslovnih ljudi a ne u njihovim

Glavni ciljevi u istraivanju računalne sigurnosti su:

Računarska sigurnost u uem smislu, općenito, sastoji se od odravanja tri sigurnosna

Odnos između povjerljivosti, cjelovitosti i raspoloivosti

 Greke u programiranju uzrokuju mnoge ranjivosti u softveru. Uobičajena greka je ne

Ostala izloena sredstva računarkog/informacijskog sustava

na mrei, povećana veze/mreže i gubitak

Model je orijentiran prema poslovnom rjeenju upravljanja informacijskom sigurnoću.

 Minimiziranje raznoličnosti, veličine i sloenosti povjerljivih komponenti

Principi koji djeluju na istraivanja u području računarske/informacijske sigurnosti:

a. učinkovitost politike to će se ogledati u broju i učinku zabiljeenih sigurnosnih