Professional Documents
Culture Documents
SkriptaZaStudente2009 12
SkriptaZaStudente2009 12
SVEUČILITE U ZAGREBU
FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
Zavod za primijenjeno računarstvo
Sadržaj kolegija
Sadržaj po tematskim cjelinama:
LITERATURA ZA KOLEGIJ:
1. Charles P. Pfleger, “Security in Computing”, Prentice Hall PTR, 1997
2. Schneier, B., “Applied Cryptography”, (2nd ed.), Wiley 1996.
3. S. Castano, M. G. Fugini, G. Martella, P. Samarati, "Database Security", ACM Press, 1995
4. Harold F. Tipton, Micki Krause, "Information Security Management", Handbook, 4th edition,
CRC Press LLC, 2000
5. Menzies, A.J., von Oorschot, P.C., and Vanstone, S.A. “Handbook of Applied Cryptography”,
CRC Press, NY, 1996.
6. Douglas R. Stinson, “Cryptography: Theory and practice”, CRC Press, 1995.
7. Deborah Russell, G.T. Gangemi Sr., “Computer Security Basic, O’Reilly & Associates, Inc.,
1991
8. Steven L. Shaffer, Alan R. Simon, “Network Security”, Academic Press, Inc, 1994
9. Glen Bruce, Rob Dempsey, “Security in Distributed Computing”, Prentice Hall PTR, 1997
10. Simson Garfinkel, Gene Spafford, “Web Security & Commerce”, O’Reilly & Associates, Inc.,
1997.
11. Richard Barkserville, “Designing Information System Security”, John Wiley & Sons, 1988
12. Sushil Jajodia, "Data Base Security XII", Status and Prospects, Kluwer Academic Publisher,
1999
13. V. Atluri, S. Jajodia, B. George, "Multilevel Secure Transaction Processing", Kluwer Academic
Publisher, 2000.
Stanje i problemi:
Osnovni pojmovi
Podatak
Informacija
Računalni sustav
Informacijski sustav
Atributi:
Povjerljivost (tajnost) .
Točnost
Raspoloživost
Prekid
Presretanje
Izmjene
Produkcija
Neki od aspekata informacijske sigurnosti o kojima treba voditi računa ovaj poslovni proces
su:
Pristup
Identifikacija
Autentifikacija
Autorizacija
Odgovornost
07/2009 FER - Zavod za primijenjeno računarstvo 4
Zaštita i sigurnost informacijskih sustava
Podizanje svijesti
Administracija (upravljanje)
Inspekcija
Zaštita
Detekcija
Reakcija
Refleksija
Informacijska imovina
Ljudi
Posjed
Informacija
Infrastruktura
Reputacija
Prema tome razvoj je iao od tehničkih rjeenja (IT orijentacije ) prema poslovnim potrebama
i zahtjevima organizcija i ostvarenju njihovih poslovnih ciljeva :
IT orjentirana sigurnost
Poslovno orjentirana sigurnost
(informacijska sigurnost je poslovni problem, čije rjeenje unapređuje poslovanje)
privatnost,
ograničenje fizičkog pristupa,
raspoloživost aplikacija,
mrežna povjerljivost,
integritet sadržaja (podataka i programa)
politika pristupa.
• Način razmiljanja
• Beskonačan proces
• Upravljanje rizikom
• Jamstvo poslovnog uspjeha
• Odgovornost svakog zaposlenika
“Jedini informacijski sustav koji je zaista siguran je onaj koji je ugaen, isključen iz
napajanja, zaključan u sefu od titana, zakopan u betonskom bunkeru, te okruen nervnim
plinom i dobro plaćenima naoruanim čuvarima. Čak ni tad, ne bih se ba kladio na
njega.”
Eugene Spafford
Direktor Computer Operations, Audit and Security Technology (COAST)
Purdue University
Prijetnja (engl. threat) - mogućnost izvora prijetnje da iskoristi neku ranjivost slučajnim ili
namjernim aktiviranjem i eksploatacijom.
Rješenja:
izbjegavanje
upravljanje
prihvaćanje
transfer
prekid,
presretanje,
izmjene i
produkcija.
Autentifikacija (Autentification)
Kontrola pristupa (Access control
Nadzorni zapisi (Audit trail)
Povjerljivost (Confidentiality)
Cjelovitost (Integrity)
Raspoloživost (Availability
Neporecivost (Nonrepudtaion)
Povjerljivost
Povjerljivost zvuči prilično jasno; samo ovlateno osoblje moe vidjeti zatićene podatke.
Cjelovitost
Točnost (precise)
Ispravnost (accurate)
Neizmjenivost
Izmjenjivost samo na prihvatljiv način
Izmjenjivost samo od starne ovlaštenih osoba
Izmjenjivost samo od ovlaštenih procesa
Konzistentnost
Unutarnja konzistennost
Značajni i ispravni rezultati
Raspoloživost
Očekivanja:
vremenski odziv
prihvatljiva dodjela veličine sistemskog resursa
neosjetlivost na greške
korisnost ili upotrebljivost ( može se koristi kao namjeravana)
nadzirana paralelnost-konkurentnost: potpora istovremenim pristupima, kontrola
potpunog zastoja, ekskluzivni pristup ( ako se zahtjeva).
Povjerljivost
Cjelovitost Raspoloživost
Prekid HARDWARE
(Sprečavanje usluga) Presretanje
(krađa)
Prekid
Prekid (gubitak)
(Brisanje)
Presretanje
Presretanje
PROGRAMI PODACI
Izmjene
Izmjene
Produkcija
Vrste prijetnji
1. Prirodne prijetnje
2. Nenamjerne prijetnje (nesreća)
3. Namjerni (ljudski) aktivni napadi
4. Namjerni (ljudski) pasivni napadi
Prirodne prijetnje
Nenamjerne prijetnje
Korisničke pogreke
Operaterske pogreške
Pogreške administriranja (specijalnih komponenti ili programa konfiguracije )
Greške pripreme podataka
Greške izlaza
Greke računalnih sustava
Komunikacijske pogreške
Greške aplikacijskih programa
Kategorije prijetnji
Neovlašteno otkrivanje
o Nenamjerno otkrivanje može biti izazvano od korisnika, operatera, kod
pripreme podataka, grešaka izlaza, grešaka sustava ili grešaka u
komunikaciji
o Kršenje postavljenih procedura za kontrolu pristupa (ovlaštenja)
o Zlonamjerne akcije personala
o Aktivni pokušaji (napadi) ovlaštenog personala da pristupe osjetljivim
informacijama
Neovlaštene modifikacije
o Osoblja (djelatnici - insideri) koje aktivno rade na sabotaži ili prekidu rada
mrežnih operacija ili usluga IS-a.
Poslovni model
Programi informacijske sigurnosti trebaju uzeti u obzir kako su tvrtka, njezino osoblje,
procesi i tehnologija međusobno povezani i kako međusobno djeluju , te kako vođenje i
upravljanje tvrtkom (governance), kultura, ljudski faktor i arhitektura podupiru ili
oteavaju mogućnost tvrtke da zatiti svoje informacije i upravlja rizikom koji dovodi do
kršenja informacijske sigurnosti i sigurnosti IS-a
Struktura modela
Kao to slika prikazuje to je trodimezionalni oblik piramide koji se sastoji od četiri elementa i
i est dinamičkih međuveza. Svi aspekti modela međusobno su povezani. Ukoliko se bilo koji
dio modela mijenja ili se upravlja na neodgovarajući način to izaziva neravnotežu modela
koja predstavlja potencijalni rizik..
Elementi modela
Dinamičke međuveze
Upotreba modela
Definiranje domena
Kriptografija (enkripcija/dekripcija)
Kontrole
U nastavku dat ćemo pregled kontrola ili kontrolnih mjera koje će pokuati spriječiti
koritenje ranjivosti računarski/informacijskih sutava.
Enkripcija
Programske kontrole
Sklopovske kontrole
Politike
Fizičke kontrole
Učinkovitost kontrola
Vjerojatnost upotrebe
Preklapanje kontrola
PRISTUP
PROGRAMIMA
FIZIČKI PODATCI
PRISTUP
PRISTUP
DATOTEKAMA
FIZIČKI
PRISTUP LOGIČKI
PRISTUP
HARDWARE PROGRAMI
PRISTUP
DATOTEKAMA
Cilj normi
Sigurnosna politika
Revizija i vrednovanje
to se tiče politike, treba postojati osoba odgovorna za odravanje i reviziju prema
definiranim revizijskim procesima. Taj proces mora osigurati reviziju kao odgovor na sve
promjene koje utječu na primarnu procjenu rizika, npr. značajni sigurnosni incidenti, nove
povrede ili promjene organizacijske ili tehničke infrastrukture. Također treba planirati
periodičke preglede slijedećeg:
Sigurnosna politika
Identifikacija
Autentifikacija
Autorizacija
Lozinke
Informacijski integritet
Mrežne politike
o Vanjski pristup mreži
o Udaljeni pristup mreži
o Privatnost komunikacija
Politike za korisnike
o Briga korisnika
o Korisnička odgovornost
Programske politike
o Prava kopiranja
o Zaštita od virusa
07/2009 FER - Zavod za primijenjeno računarstvo 21
Zaštita i sigurnost informacijskih sustava
Ostale politike
o Razvoj aplikacija
o Vanjske obrade
o Fizička sigurnost
o Korištenje standarda
Odgovornosti
Priručnik o sigurnosnoj politici (Vodič)
Briga o sigurnosti i izobrazba
Proces implementacije sigurnosne politike
Scenario poslovnog rizika koji je vezan na snježnu oluju koja izaziva prekid eleketrične
mreže Data centra koji je nužan za obavljanje poslovne funkcije :
Prijetnja:
Vjerojatnost : 25% da nastupi prekid električne mreekao posljedica oluje
Izvor prijetnje: snježna oluja
Događaj prijetnje: prekid električne mree
Posljedice:
Očekivani gubitak prihoda kao rezultat nerada Data centra i ureda: 2.5 M$
Upravljanje rizikom
Donošenje odluke o :
prihvaćanju rizika
smanjenje rizika
prijenosu rizika
To je veličina koja daje frekvenciju pojave prijetnji koja se očekuje kroz godinu.
Ovaj faktor predstavlja mjeru veličine gubitka ili utjecaja prijetnje na vrijednost
informatičkog sredstva.. Taj faktor se koristi u računaju JOG veličine.
Informacijsko sredstvo
Informacijsko sredstvo je dio informacijskog sustava koje organizacija mora imati kako bi
obavila svoju poslovnu misiju.
Kvalitativnost/Kvantitativnost
Tehnike analiza rizika i procjene ne mogu se promatrati binarno, kao kvantitativne ili
kvalitativne, nego prema stupnju u kojem se neki elementarni faktori kao vrijednost sredstva,
faktor izlaganja (kompromitiranja sredstva) i frekvencija prijetnja mogu imati pridružene
kvantitativne vrijednosti.
Vjerojatnost
Ovaj pojam opisuje ansu ili mogućnost da se dogodi neki događaj, odnosno da se dogodi
gubitak ako se taj događaj desi.
Rizik
Potencijal za pojavu štete ili gubitka, koji se najbolje izražava kao odgovor na četiri pitanja :
Analiza rizika
Procjena rizika
Upravljanje rizikom
Ovaj pojam podrazumijeva cjelokupni proces, analizu rizika i procjenu rizika, te samo
upravljanje to uključuje proces pridruivanja prioriteta, financiranja, implementiranja i
održavanja sigurnosnih mjera.
Ovaj pojam podrazumijeva mjere i mehanizme koji smanjuju rizik a djeluju kroz detekciju,
prevenciju ili minimizaciju gubitaka koji su povezani sa specifičnom pojavom prijetnje ili
cijele kategorije prijetnji. Sigurnosne mjere se ponekad zovu i kontrole, zaštitne mjere.
Ovaj pojam predstavlja stupanj, izražen u postocima 0 do 100 %, prema kojem sigurnosna
mjera smanjuje ranjivost.
VS - vrijednost sredstva
FI - faktor izlaganja
JOG - jednostruki očekivani gubitak
Prijetnja
Definira događaj (poar, krađu, računalni virus i dr) čija pojava ima neeljene rezultate.
Neizvjesnost
Ranjivost
Ovaj pojam podrazumijeva nepostojanje ili slabost sigurnosnih mjera koje smanjuju rizik
Frekvencija Iznos
Više od jednom dnevno 10
Jednom dnevno 9
Jednom u svaka tri dana 8
Jednom tjedno 7
Jednom u dva tjedna 6
Jednom mjesečno 5
Jednom svaka četiri mjeseca 4
Jednom godišnje 3
Jednom u tri godine 2
Manje od jednom u tri godine 1
autentifikacija/ovjera
izgradnja i uvođenje sigurnih operacijskih sustava
kontrola pristupa bazama podataka
kontrola raspoloživosti baza podataka
kontrola i nadzor zaključivanja o podacima u bazi
višerazinske kontrole za podatke, baze podatka, mreže i operacijske sustave
kontrola osobnih računala, proceduralne, fizičke, sklopovske i programske
kontrola pristupa mreži
kontrola cjelovitosti mreže
fizičke kontrole i dr.
Stavka Iznos
Rizik
Novlašteni pristup podatcima na kom. liniji):
$100 000 (VS) uz 2% vjerojatnosti na godinu $2 000
Neovlateno koritenje rač. sredstava (aplikacije)
$10 000 (VS) uz 40% vjerojatnost na godinu $4 000
Godinji očekivani gubitak (GOG) $6 000
Učinkovitost mrene kontrole: 100 % (FI = 0%) -$6 000
Troškovi kontrole
Hardware ($50 000 uz 5 godišnju amortizaciju) +10 000
Programi ($20 000 uz 5 godina amortizacije) + 4 000
Podrška(ljudi) (svaku godinu) +40 000
Godišnji troškovi $54 000
Očekivani godinji trokovi:
6 000-6 000+54 000 $54 000
Ušteda: $6 000 - $54 000 (gubitak) -48 000
Veličina rizika izraena je u skali od 0 do 8, gdje je 8 veličina najvećeg rizika koji se moe
promatrati u skali :
RAZINA
SIGURNOSTI
100%razina
sigurnosti
(nije moguća)
100%
Malo napora
(velika
učinkovitost)
TROŠKOVI
07/2009 FER - Zavod za primijenjeno računarstvo 30
Zaštita i sigurnost informacijskih sustava
Ušteda
zbog
sigurnosnih
mjera
Dobit zbog
sgurnosnih mjera
Netočnost/nepreciznost
Pogrean osjećaj preciznosti
Nepromjenjivost
Nema znanstvene podloge
Predloženi sigurnosni
sustav
prstenasti model
matrični model
model životnog ciklusa. (Fischerova metoda, PDCA,..)
Zakonski i socijalno
Raspoloživost sustava zahtijevano
ovlaštenje
KONTROLA
Štrajk PRISTUPA
INPUT/
PROGRAMI
OUTPUT BAZA
Sabotaža PODATAKA
KOMUNIK
ACIJE
SPREMIŠTE
Krađa
Oluja Razuzdanost
Zemljotres Štrajkovi
Vatra Industrijske nesreće
Potop Gubitak opksrbe
Svjetlo
Kontrola skladišta
Primljeni računi
Time Sharing
Upravljanje
Operacijski
Nadzor
Plaće
.
.
.
Ispravak APLIKACIJE Sustavsko
planiranje &
Standardi
Oporavake
Otkrivanje
FUNKCIJE
Sigurnosne
Dimenzije
Programiranje
aplikacija
Sprečavanje
Operacije
(obrada)
Zastrašivanje
Odvraćanje
STRUČNE EXPERTIZE
Operativne
Fizičke
Tehničke
Personalne
Proceduralne
Upravljačke
logički modeli,
dinamičniji,
fluidni
aktivni;
modeli koji dozvoljavaju razmatranje različitih informacijskih
sustava.
Statički modeli sigurnosti :
SIGURNOSNA POLITIKA +
DIREKTNE TEHNIČKE MJERE SIGURNOSTI +
NADZOR/AUDIT
Provođenje Implementacija i
ocjene stanja provođenje
rizika sigurnosnih mjera
Procedure
Tehničke mjere
#3. #2.
Mjerenje učinkovitosti Implemetacija sigurnosnog
(Pregledi i nadzor) programa i upravljanje
Praksa 14. Nadzor faktora koji utječu na rizik i koji pokazuju učinkovitost informacijske
sigurnosti (IA).
Praksa 15. Upotreba dobivenih rezultata za usmjeravanje budućih napora i odravanje
odgovornosti rukovoditelja.
Praksa 16. Potrebno je konstanto biti u potrazi za novim alatima i tehnikama za nadzor
(monitoring).
Zaključak
Proces upravljanja rizikom je integralni dio svakog programa sigurnosti (IA). Potrebno je započeti sa
identifikacijom postojećih prijetnji na informacijske sustave te povezati te prijetnje sa ranjivoću
informacijskih sustava. Tada kroz proces ocjene rizika, moguće je početi razvijati isplativi sigurnosni
(IA) program.
Kontrola pristupa
Računalni sustavi upravljaju pristupom podatcima i dijeljenim resursima kao što su memorija,
tampači, diskovi i dr. Oni moraju osigurati pristup tim resursima primarno zbog očuvanja
integriteta informacijske sigurnosti, a ne toliko za očuvanje njegove povjerljivosti.
Subjekti i objekti
Možemo specificirati:
Operacije pristupa
Modovi pristupa
Na osnovnoj razini subjekti mogu pregledavati ili mijenjati objekte. Prema tome definiramo
dva moda pristupa:
Unix
Ove operacije se razlikuju od BLP modela. Na primjer, operacija pisanja UNIX-a ne uključuje
pristup za čitanje.
Kada se primjenjuju prava pristupa na direktorij, tada ta prava imaju slijedeće značenje:
Vlasništvo
Vlasnik resursa određuje kome se dozvoljava da ima pristup. Takva se politika naziva
diskreciona budući je upravljanje pristupom u nadlenosti vlasnika.
Politika na razini sustava određuje tko ima pravo na pristup. Iz jasnih razloga takva
politika se naziva obvezatna (mandatory).
Sposobnosti
Potekoće:
Sigurnosne politike
Sigurnosna politika:
Centralizirana
Decentrlizirana
Mandatna (MAC)
Diskreciona (DAC)
07/2009 FER - Zavod za primijenjeno računarstvo 46
Zaštita i sigurnost informacijskih sustava
Mandatna politika
0 = Neklasificirano
1 = Povjerljivo
2 = Tajno
3 =Vrlo tajno
Kategorije :
SC = (A,C)
SC SC’
A A’ i C’ C
Tako je realcija:
nije .
Diskrecione politike
Matrica autorizacije.
Ulaz u matrici A[i,j]
Primjer matrice autorizacijedan je u tablici 1.1.
Kontrole pristupa:
pristup ovisan o imenu (tablica 1.1)
kontrole koja zavisi od sadržaja.
Sigurnosno pravilo :
(s, o, t, p)
(a,s,o, t,, p, f)
(a,s,t,o,p,f,{Ci,APi})
Matrica pristupa direktno radi sa pristupnim pravima i dodjelom ili opozivom pristupa
resursima (objektima IS-a) prema pojedinačnim dozvolama za subjekte:
Fino podešavanje
Veliki trošak upravljanja i administriranja za velik broj korisnika i resursa
Djelomično rjeenje - korisničke grupe
RBAC - Koncept grupiranja korisnika ,gdje korisnici dijele slične pristupne sposobnosti :
Lakše administriranje
Reprezentacija upravljanja pristupom u stvarnom svijetu.
Generalizirani oblik modela za kontrolu pristupa (simulacije DAC i MAC politika).
RBAC kao općeniti model kontrole pristupa podrava dva dobro poznata sigurnosna principa:
ur:USERS →2ROLES
ur−1:ROLES →2USERS
Hijerarhijski RBAC
Matematički gledano hijerarhija uloga predstavlja parcijalno uređen odnos između uloga
(ROLES x ROLES) to se označava simbolom ≥. Svaki par vezanih uloga (tj. r1, r2 ∊
ROLES) takav da je r1 ≥ r2 opisan slijedećim svojstvima:
SIGURNOSNI MEHANIZMI
Neispravne implementacije :
1. Odbacivanje dozvoljenih pristupa.
2. Dodjela zabranjenih pristupa.
Vanjski mehanizmi
Cilj :
Minimizirati moguće prekraje;
Minimizirati moguće naknadne tete;
Osigurati procedure oporavka.
Interni mehanizmi
1. Autentifikacija.
Nešto što korisnikzna (lozinke, kod )
Nešto što je vlasništvo korisnika (mad. kartice, bađ, i dr)
Fizičke karakteristike korisnika (otisci , potpis, glas, i dr.)
2. Kontrole pristupa .
3. Mehanizmi nadzora.:
Faza zapisivanja, gdje su zapisani svi upiti o pristupu i njihovi odgovori (kako
ovlateni tako i odbačeni);
Faza izvjećivanja, gdje se provjeravaju izvjeća iz predhoden faze kako bi se
detektirali mogući prekraji ili napadi.
Ukoliko elimo govoriti o specifičnom svojstvu sustava, kao to je sigurnost, koristeći model
konačnog automata, moramo:
Matematički modeli
Podjela:
diskrecioni
nediskrecioni (mandatni) modeli.
Smith- * * * *
Winslett
Rešetka * *
(Denning)
Ostale podjele:
Ciljani sustav: na primjer, modeli za zaštitu OS-a, modeli za zaštitu baza podataka ili
oboje
Vrsta politike: mandatna ili diskreciona.
Adresirani pogledi na sigurnost: tajnost ili cjelovitost
Vrste kontrola: neki modeli su orijentirani na kontrolu direktnog pristupa, indirektnog
pristupa ili kontrolu toka informacija.
Subjekti.
Objekti.
Načini pristupa.
Politike.
Autorizacije/ovlaštenja.
Administrativn prava.
Axiomi.
Subjekti
Zahtjevi za
operacijama admin.
Administrativna
Procesi Kontrola prava
operacija
administriranja
Zahtjevi za
pristupom
Zahtjev
Kontrola Zahtjev autoriziran
pristupa odbačen
Autorizacija
Načini Zahtjev
pristupa odbačen Aksiomi i
politike
Zahtjev
autoriziran
Objekti
.
Stanje autorizacije/ovlaštenja
S je skup subjekata, koji predstavljaju aktivne entitete koji koriste sredstva sustava, te od
kojih se sustav mora zaštititi.
O je skup objekata, koji predstavljaju entitete koji se moraju zaštititi. Takav skup se
sastoji i od pasivnih entiteta(sredstva sustava) i od aktivnih entiteta (subjekata).
A je matrica pristupa. Redovi matrice odgovaraju subjektima, a stupci objektima. Element
matrice A[s,o] sadri podatke o načinu pristupa za koje je ovlaten subjekt s kad pristupa
objeku o.
Matrica pristupa
Načini/modovi pristupa
čitaj,
piši,
dodaj,
izvedi,
“vlastitost” privilegija (pokazuje na vlasništvo).
Operacije
Uništi subjekt si si S
S' = S - { si}
O' = O - { si}
A'[s,o] = A[s,o] s S', o '
Naredbe
command CONFERread(owner,friend,file)
if O in A[owner,file]
then enter R into A[friend, file]
end.
command NEWCREATE(process,file)
create object file
enter O into A[process, file]
enter R into A[process,file]
enter W into A[process, file]
end.
Administriranje ovlaštenja/autorizacije
Primjena modela
A[s,o]
S O
P1 F1 Own, R, W
P1 F2 E, R+
P1 M1 R, W, E
P1 P2 Ctrl
P2 F1 R, W
P2 M1 W
P3 F1 R, W, E+
P3 F2 Own, E
P3 M2 W, E
a)
F1 Own,R,W
+
F2 E, R
P1 M1 R,W,E
P2 P2 Ctrl
F1 R,W
P3
M1 W
+
F1 R,W,E
F2 Own, E
M2 W, E
M1 W
b)
P1 Own,R,W
P2 E, R+
F1
P3 R,W,E
P4 Ctrl
F2
P1 R,W
M1
P2 W
P1 R,W,E+
P2 Own, E
P3 W, E
P4 W
c)
Program P
(a)
.........
.........
read f1
write f2
Datoteka f1 Datoteka f2
A
B
C
D
vlasnik y
vlasnik x (x, write, f2)
P rogram P
(b)
.....
.....
read f1
w rite f2
datoteka f1 datoteka f2
A A
B B
C C
D D
vlasnik x vlasnik y
(x, w rite, f2)
Primjer Trojanskog konja: (a) program P sadrži skriveni kod za pristup datoteci f1 i f2; y
može dodjeliti pravo pisanja na f2; (b) nakon to korisnik x započne program, korisnik y ima
pristup informaciji koja je prenesena iz datoteke f1(na koju korisnik y nema pravo čitanja) u
f2 (koju on moe čitati).
.
klasifikacija
skup kategorija.
Klasifikacija je element skupa koji se sastoji od četiri elementa: Vrlo tajno(TS); Tajno(S);
Povjerljivo(C); Neklasificirano(U). To je potpuno uređen skup za koji vrijedi:
TS > S > C > U.
Skup sigurnosnih razina formira rešetku , koja je parcijalno uređena prema relaciji
dominacije ().
Sigurnosna razina L1=(C1,S1) je viša ili jednaka (dominira) nad sigurnosnom razinom
L2=(C2,S2) onda i samo ako vrijede slijedeće relacije:
Za dvije sigurnosne razine L1 i L2 za koje ne vrijedi da je L1L2 niti L2L1 kažemo da nisu
usporedive.
Modovi pristupa:
Samo za čitanje
Dodavanje
Izvođenje: izvedi objekt (program)
Čitaj-piši : piši u objekt.
Stanje sustava
Operacije
Aksiomi
Ova svojstva (pravila) mogu se prikazati slikovito prema sigurnosnom dijagramu toka koji je
Biba model
Razina cjelovitosti:
klasifikacija
skup kategorija.
Klasifikacija je element uređenog tročlanog skupa : krucijalno (C), vrlo važno (VI) i važno
(I) uz C>VI>I.
Skup kategorija odgovara skupu kategorija u Bell-LaPadula modelu.
Dion model
U ovom se modelu kombinira kontrola tajnosti iz Bell-LaPadula modela i principi striktnih
prava integriteta iz Biba modela podataka. Razine sigurnosti i razine integriteta se koriste
kako su definirani u modelu Bell-LaPadula i Biba modelu
Clark-Wilson model
Clark-Wilson model koristi se kod sigurnosnih zahtjeva komercijalnih aplikacija koji se
uglavnom odnose na integritet podataka, a to znači sprečavanje neovlaštene izmjene
podataka, prijevare i greške.
Biti ovlašten koristiti program za pristup podatcima kojima se može pristupiti samo
preko tog programa.
U formalizaciji ovog modela, podatci kojima se upravlja kroz sigurnosnu politiku nazivaju se
ograničeni podatci (CDI-constrained data items). Ulazni podatci u sustav uključeni su kao
neograničeni podatci (UDI - unconstrained data items) .
Sa CDI podatcima mogu raditi samo transformacijske procedure (TP). Integritet stanja tih
podataka se kontrolira kroz verifikacijske procedure za integritet (IVP).
1. IVP provjerava da li su svi CDI podatci u ispravnom stanju po svakom izvođenju TP-
a.
2. TP-ovi moraju biti certificirani da su ispravni, tj. valjani CDI mora biti transformiran
opet u valjani CDI podatak. Svaki TP je certificiran za pristup posebnom skupu CDI
podataka.
3. Pravila pristupa moraju zadovoljiti svaki zahtjev za razdvajanjem dužnosti.
Četiri pravila za provođenje opisuju sigurnosne mehanizme unutar računalnog sustava koji
provode sigurnosnu politiku. Ova pravila ukazuju na sličnost sa kontrolom pristupa u BLP
modelu.
1. Sustav mora održavati i zaštiti listu ulaza (TPi:CDIa, CDIb, …) koja daje popis CDI-a
za koje je TP certificiran za pristup.
2. Sustav mora održavati i zaštiti listu ulaza (UserID, TPi:CDIa, CDIb, …) koja daje
specifikaciju TP procedura koje mogu izvoditi korisnici.
3. Sustav mora autentificirati svakog korisnika koji zahtjeva izvođenje TP procedure.
4. Samo subjekt koji je certificiran za izmjenu pristupnih pravila TP-a može mijenjati
odgovarajuće ulaze u listi. Taj subjekt nema prava za izvođenje te TP procedure.
a ≤ u, b ≤ u i za svaki v є L : (a ≤ v ۸ b ≤ v ) → (v ≤ u)
l ≤ a, l ≤ b i za svaki k є L : (k ≤ a ۸ k ≤ b ) → (l ≤ k)
Tipičan primjer:
L je P ({a, b, c}), skup svih podskupova (power set) od {a, b, c}.
Parcijalno uređenje je relacija između podskupova, a to je relacija podskupa .
Rešetka (P({a,b,c}), )
Za realizaciju tih kontrola pristupa koriste se mandatne politike (MAC) prema principima
BLP i Biba modela (Sea View model).
Označavanje objekata
Oznake su:
Oznaka baze podataka: za odluku da li korisnik može pristupiti relacijama unutar
baze
Oznaka relacije: za odluku da li je korisniku dozvoljeno da pristupa n-torkama unutar
relacije (tablice)
Oznaka n-torke: za odlučivanje da li je korisniku dozvoljeno da pristupi svim
elementima unutar n-torke
Oznaka elementa: za odlučivanje da li je korisniku dozvoljeno da pristupi elementu.
Konzistentno adresiranje
Bazu podataka D;
Relaciju R unutar baze podataka D;
Primarni ključ za n-torku r unutar relacije R
Atribut i , koji identificira element ri unutar n-torke r.
fo(ri) ≤ fo(r)
Višepojavnost (polyinstantiation)
U MLS DB modelu (˝low˝ korisnik), korisnik niske razine povjerenja ne zna za postojanje
podataka visoke razine.
Imamo tri opcije:
Ako dvije n-torke u relaciji imaju isti primarni ključ i odgovarajući ulazi za neke atribute
imaju istu pristupnu klasu tada su i vrijednosti podataka tih atributa iste. Ako dvije n-torke
relacije u bazi imaju isti primarni ključ i ako postoje neki atributi koji imaju različite
pristupne klase tada i vrijednosti podataka tih atributa moraju biti različite
Drugi dio pravila osigurava da trebamo samo jednu elementarnu operaciju kako bi došli do
podatka iz višepojavne relacije.
Razine modela:
Model kontrole mandatnog (obvezatnog) pristupa ( MAC – model, Mandatory
Access Control ) -Referentni monitor.
Model povjerljive baze ( TCB – model, Trusted Computing Base )-diskrecijska
kontrola za višerazinske relacije.
Subjekti
Objekti
Diskreciona
politika
TCB Model Višerazinska baza
(MLS DB)
MAC objekti
Jednorazinska baza
(SL DB)
Pristup subjekta
odbačen ili
odobren
MAC model
Klase pristupa
klasa tajnosti
klasa integriteta.
Pristupne klase Sea View modela formiraju rešetku prema parcijalno uređenoj relaciji
dominacije ().
Na primjer:
Pristupna klasa {(TS,Nato), (I,Nato)} dominira nad klasom {(S,Nato), (VI,Nato)}; dok su
klase {(TS,Nato), (VI,Nato)} i {(S,Nato), (I,Nato)} neusporedive.
Objekti
Objekti u MAC modelu su kontejneri koji sadrže informacije, a pristup kojima se mora
kontrolirati.
Subjekti
Subjekti u MAC modelu su procesi pokrenuti na zahtjev korisnika.
Modovi pristupa
čitanje
pisanje
izvođenje
Aksiomi
Izvođenje pristupnih modova nad objektima MAC modela provodi se koritenjem skupa
aksioma. Ti aksiomi sumiraju principe Bell-LaPadula i Biba modela.
Subjekt može izvesti neki objekt samo ako je njegov maxintegritet manji ili
jednak od klase integriteta objekta, ta ako je njegova maxtajnost veća ili
jednaka od klase tajnosti objekta koji se izvodi.
TCB model
Višerazinske relacije
A1 C1 A2 C2 A3 C3
Ime CA1 Odjel CA2 zarada CA3 TC
Branimir U Odjel A U 10000 U TS
Ana TS Odjel A TS 10000 TS TS
Ana U Odjel B U 20000 U C
Stjepan S Odjel B S 20000 S S
Klasa pristupa pogledu (view-u) mora biti nadređena klasi pristupa bilo koje
relacije ili pogleda imenovanog u definiciji pogleda.
Višepojavna n-torka se pojavljuje kada subjekt umeće n-torku koja ima iste
vrijednosti za primarni ključ kao postojeća ali je za taj subjekt nevidljiva.
Višepojavni element se pojavljuje uvijek kada subjekt ažurira ono što se
pojavljuje kao nul element u n-torki, što zapravo skriva podatak sa više (ili
neusporedive) pristupne klase.
Primjer:
Razmotrimo li vierazinsku relaciju sa slijedeće slike :
A1 C1 A2 C2 A3 C3
Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Stjepan TS Odjel B TS 30000 TS TS
A1 C1 A2 C2 A3 C3
Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Stjepan TS Odjel B TS 30000 TS TS
Stjepan S Odjel A S 10000 S S
Kao drugi primjer upotrebimo istu relaciju nad kojom S-subjekt izvodi slijedeću
operaciju:
UPDATE Djelatnik
SET zarada = “20000”
WHERE Ime = “Ana”
A1 C1 A2 C2 A3 C3
Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Ana S Odjel B S 20000 S S
Stjepan TS Odjel B TS 30000 TS TS
UPDATE Djelatnik
SET Odjel = “Odjel A”
WHERE Ime = “Ana”
A1 C1 A2 C2 A3 C3
Ime CA1 Odjel CA2 zarada CA3 TC
Branimir S Odjel A S 10000 S S
Ana S Odjel B S 30000 TS TS
Ana S Odjel B S 20000 S S
Ana S Odjel A TS 30000 TS TS
Ana S Odjel A TS 20000 S S
Stjepan TS Odjel B TS 30000 TS TS
Kao drugi primjer, koristeći za ulaz istu relaciju kao u prethodnom primjeru, te
pretpostavimo da TS-subjekt zahtjeva slijedeću operaciju:
UPDATE Djelatnik
SET Odjel = “Odjel B”, zarada = “20000”
WHERE Ime = “Branimir”
Kontrola pristupa
- Ako korisnik ima eksplicitnu zabranu pristupa objektu, ta zabrana
ima prednost pred pravima koja korisnik ima preko grupe ili
osobno
- Ako korisnik nema osobnu zabranu, a ima osobno pravo na neki mod
pristupa, tada ima samo to pravo pristupa i ne uzima se u obzir pravo
definirano na nivou grupe
- Ako na nivou korisnika nisu specificirana prava na objekt i ako je korisnik
član grupe kojoj pristup nije zabranjen, tada će korisnik imati prava
pristupa jednaka pravima grupe.
Vierazinske baze izgledaju kao niz klasičnih relacijskih baza, po jedna baza za svaku razinu
sigurnosne rešetke.
Sve baze dijele istu strukturu, a svakoj bazi je pridružena klasa ili nivo sigurnosti.
Baza na nekom nivou sadrži uvjerenje korisnika tog nivoa o stanju kakvo se odražava u
toj relacijskoj shemi.
Subjekt vjeruje stanju baze na tom nivou. Subjekt i svi subjekti nižeg nivoa vide ono što
vjeruju da vide.
Sustav se naziva sigurnim ako ne postoji ilegalnih tokova informacija. Prednost je ovih
modela što pokrivaju sve vrste tokova informacija. Nedostatak je što postaje sve teže
dizajnirati sigurnosni sustav.
Formalna definicija
FM=( N , P , SC , , )
gdje je :
07/2009 FER - Zavod za primijenjeno računarstvo 80
Zaštita i sigurnost informacijskih sustava
L1 = (C1,S1) , L2 = (C2,S2)
L1 <= L2 (C1, S1) <= (C2, S2) C1 <= C2, S1 S2
(C1, S1) (C2, S2) = (max (C1, C2), S1 S2 )
(C1, S1) (C2, S2) = (min (C1, C2), S1 S2 )
L = ( Neklasificirano, {} )
H = ( Vrlo tajno, S )
OPIS: PRIKAZ:
SC = { a1, … ,an } An
Ai Aj = amax(i,j)
…..
Ai Aj = amin(i,j)
L=A1 A2
H=An A1
OPIS: PRIKAZ:
{x, y, z} {y,z}
SC = Powerset(S)
AB=AB
L=, H=S
{x, z} {z}
{x}
Primjenom modela rešetke na kontrolu toka, analiza svih tokova u programu postaje vrlo
sloena, jer svi mogući tokovi nisu eksplicitno navedeni. Zbog toga se uvodi pojam
eksplicitnog i implicitnog toka.
Tok u objekt b je eksplicitan kada je to rezultat bilo koje operacije koja direktno iz
operanada prenosi informaciju u b.
Tok u objekt b je implicitan ako se dešava izvršavanjem (ili neizvršavanjem) uvjetne
instrukcije koja izaziva eksplicitni tok u b.
Sa ciljem specificiranja sigurnosnih zahtjeva na programe koji izazivaju implicitni tok, mora
se razmotriti apstraktno predstavljanje programa u kojem je sačuvan tok (ne nuno i
originalna struktura).
Modeli obvezne kontrole i modeli kontrole toka omogućuju praćenje toka informacija
referentnim monitorom koji će osigurati pridravanje obveznih pravila.
Nedostatak primjene matematičkog modela obaveznih smjernica je strogost koja se u
određenim okolinama ne moe primijeniti.
Korisnicima komercijalnih sustava nije uvijek moguće pridijeliti nivo razgraničenja ili
nivo osjetljivosti podataka. Sadašnji sustavi sigurnosti se baziraju na kombinaciji
uvjetnih i diskrecijskih kontrolnih pravila – npr. SEA View model.
Proširenjem modela diskrecijske kontrole u cilju kontrole toka informacija:
o Obavezno poznavanje pravila za ograničenje toka informacija tijekom izvrenja
procesa u operacijskom sustavu.
o Drugim pristupom problemu pokušalo se osigurati pristup datotekama na bazi
nekih spoznaja o samoj datoteci.
o Bertino (1993) za prevladavanje osjetljivosti diskrecijskih kontrolnih prava
objektno orijentiranih sustava predlaže uporabu striktnih “treba-znati” prava.
o Pristup se sastoji u pridruživanju liste s pravima pristupa svakom objektu s
podacima . Pridružuju dvije liste zaštite – trenutni pristup i potencijalni pristup.
Pravilo: Ne smije postojati tok informacija koji moe prouzročiti konflikt interesa.
Stanje sustava kako je definirano BLP modelom mora se malo adaptirati kako bi zadovoljilo
ovoj sigurnosnoj politici:
Subjektu s se dozvoljava pristup objektu o samo ako za sve objekte o' sa Ns,o = 1
vrijedi da je y(o) x(o') ili y(o) = y(o').
Zbog kontrole indirektnog toka informacija uvodimo * svojstvo BLP modela kako bi
kontrolirali pristup za pisanje.
Subjektu s se dozvoljava pristup pisanja u objekt o samo ako s nema pravo čitanja
objekta o' za koji vrijedi y(o) ≠ y(o') i x(o') ≠ Ø .
Kriptoanaliza
Kriptologija
Pojmovi i terminologija
Prijenosni medij
Izvorni tekst (plaintext)
Kriptirani tekst (ciphertext)
Enkripcija (E)
Dekripcija(D)
Ključ ifriranja (K, KE )
Ključ deifriranja (K, KD )
C = E(P) i P = D(C)
Algoritmi enkripcije
simetrična enkripcija
C = E(K,P).
P = D(K,E(K,P)).
asimetrična enkripcija
P = D(KD, E(KE,P))
Enkripcija Dekripcija
Enkripcija
Ključ
Izvorni
Šifrirani tekst
Izvorni tekst
tekst Enkripcija Dekripcija
Ključ enkripcije
KE Ključ dekripcije
KD
Enkripcija sa ključevima
Kriptografski ključevi
Upravljanje ključevima (key management) ima najveće značenje u enkripciji. Stoga je potrebno
postaviti slijedeće pitanja:
Privatnost
Autentifikacija
Identifikacija
Razmjena ključeva
Digitalni potpisi
Kriptoanaliza
Probijena enkripcija
Enkripcijski algoritam može biti probijen, to znači da uz dosta vremena i podataka analitičar
može odrediti algoritam.
SLOVO: A B C D E F G H I J K L M
KOD: 0 1 2 3 4 5 6 7 8 9 10 11 12
SLOVO: N O P Q R S T U V W X Y Z
KOD: 13 14 15 16 17 18 19 20 21 22 23 24 25
Vrste enkripcija:
supstitucija,
transpozicija.
Caesar-ova šifra
ci = E(pi) = pi + 3
Izvorni tekst: A B C D E F G H I J K L M N O P R S T U V W X Y Z
Šifrirani tekst: d e f g h i j k l m n o p r s t u v w x y z a b c
TREATY IMPOSSIBLE
postaje
wuhdwb lpsrvvleoh
ABCDEFGHIJKLMNOPQRSTUVWXYZ
key
Na primjer:
ABCDEFGHIJKLMNOPQRSTUVWXYZ
k e y a b cd f ghi j l mn op q r s t u v w xz
key = spectacular.
ABCDEFGHIJKLMNOPQRSTUVWXYZ
s p e c t a u l rbd f g h i j kn moq v w x yz
key = adgj
ABCDEFGHIJKLMNOPQRSTUVWXYZ
adgj
mod 26
ABCDEFGHIJKLMNOPQRSTUVWXYZ
a d g j mp s vybe h k n q twz c f i l o r ux
E1(T) = a i E2(T) = b dok E1(X) = b i E2(X) = a. dakle, E3 je prikazan kao prosjek od E1 i E2.
Višeabecedna
substitucija
ABCDEFGHIJK LMNOPQRSTUVWX YZ
a dg j nos vybe h k n q t w zc f i l o r ux
ABCDEFGHIJK LMNOPQRSTUVWX YZ
n s x c h m r w bg l q v a f k p u z e j o t y d i
Vigenere tablica
Želimo šifrirati poruku “but soft, what light through yonder window break koristeći ključ
juliet.
One-Time Pad
Dugi nizovi (slijedovi) slučajnih brojeva
Vernam-ova šifra
Numerički ekvivalenti:
V E R N A M C I P H E R
21 4 17 13 0 12 2 8 15 7 4 17
76 48 16 82 44 03 58 11 60 05 48 88
Rezultat:
19 0 7 17 18 15 8 19 23 12 0 1
t a h r s p i t x m a b
...134549273
Duga, neponavljajuća
serija brojeva
Izvorni tekst
kriptirani tekst Izvorni tekst
101101100101011100101101011100101
101111011110110101100100100110001
Kriptirani tekst:
000010111011101001001001111010100
ri+1 = (a * ri + b) mod n
Kriptoanalitički alati:
distribucija frekvencija
indeksi koincidencije
razmatranje visoko vjerojatnih pojava slova i riječi
analiza ponovljivih uzoraka
upornost, organizacija, genijalnost i sreća.
Transpozicije (permutacije)
Stupčaste transpozicije
c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......
c1 c2 c3 c4 c5
c6 c7 c8 c9 c10
c11 c12 c13 .......
Dužina ove poruke je multipl od pet, tako da svi stupci izlaze jednake dužine. Ako poruka
nije multiple od duine redova, zadnji stupci bitće kraći. Slabo učestalo slovo X se koristi da
se ispune kratki stupci.
Složenost enkripcije/dekripcije
Digrami Trigrami
_______ _______
EN ENT
RE ION
ER AND
NT ING
TH IVE
ON TIO
IN FOR
TF OUR
AN THI
OR ONE
___________________________
t n o (m (i m)t s s i l (g (r r) w x s w r (h s) o) c x o
h s (w e) o) n x h a t (u e) k) a x o a o (t o) i s x a s (i (p a) s n x
Ključ
(Opcionalno)
ISSOPMI wdhuw
Y
Izvorni tekst Šifrirani tekst
Šifriranje niza
Ključ
(Opcionalno)
XN
OI
TP
DF
ES
FG
HJ
KL po
IH
Izvorni Šifrirani
tekst tekst
ba
cd
fg
Šifriranje bloka hj
fr
07/2009 FER - Zavod za primijenjeno računarstvo 96
Zaštita i sigurnost informacijskih sustava
Prednosti:
(+) Difuzija.
(+) Imunost na umetanja..
Nedostatci:
Shanon-ova svojstva
Konfuzija i difuzija
Modularna aritmetika
Neka je m cijeli broj (integer). U nastavku ćemo m zvati modulom. Tada možemo definirati relaciju
ekvivalencije ≡ na skupu cijelih brojeva :
Također, za svaki a ≠ 0 mod p, p je prosti broj, postoji cijeli broj a-1 tako da je a* a-1 ≡ 1 mod p.
Definicija : Neka je p prosti broj i neka je a cijeli broj. Mulitlipakativni red od a po modulu p
je najmanji cijeli broj n tako da vrijedi an ≡ 1 mod p.
Fermat Little teorem : Za svaki a ≠ 0 mod p, p je prosti broj vrijedi ap-1 ≡ 1 mod p.
Sigurnost ovih algoritama se često odnosi na tekoću u rjeavanju slijedećih problema iz teorije
brojeva:
Motivacija
Konvencionalni sustavi:
n * (n-1)/2 ključeva.
B
C
A F
D
E
Svojstva sustava
Pe mod n.
(Pe)d mod n = P.
C = Pe mod n.
P = Cd mod n.
Izbor ključeva
e * d 1 mod (p - 1) * (q - 1)
Euler-ova funkcija (n) je broj pozitivnih cijelih brojeva manji od n, a koji su relativno prim
brojevi (relativno prosti) u odnosu na n. Ako p prim broj, tada je
(p) = (p-1)
xn) 1 mod n
e * d 1 mod (n)
ili
e * d = k * (n) + 1 (*)
Pp-1 1 mod p
Pk*n)
k*n)+1
1 P
mod
mod
pp
Množenjem sa P daje
Pk*n)+1 P mod p
Pk*n)+1 P mod q
Kombinirajući ta dva rezultata sa (*) daje
(Pe)d = Pe*d
= Pk*(n)+1
= P mod p
= P mod q
tako da je uz n = p*q
Primjer
Neka su p = 11 i q = 13,
n = p * q = 143 ,
e = d = 11
p – prost broj
a,x – cijeli brojevi ( a < p i x<p)
x – privatni ključ
y - javni ključ
y = ax mod p.
r = ak mod p
Potpis poruke su r i s.
2511 < p < 2512 (tako da je p grubo 170 decimalnih zanamenaka dug).
2159 < q < 2160.
Algoritam eksplicitno koristi H(m) hash vrijednost poruke m.
Izračunavaju r i s po mod q.
Hash algoritmi
Kriptografska hash funkcija koristi kriptografsku funkciju kao dio hash funkcije.
ulazne podatke dužine koja je manja od 264 bitova reducira na 160 bitova(digest).
W(0), W(1),.. W(15), su 32 bitne riječi (512 bitova)
Svaki blok je ekspandiran od 16 riječi na 80 riječi sa
Kod svih kripto sustava sa ključevima, ako je ključ otkriven (ukraden, pogođen, kupljen
ili na drugi način kompromitiran) napadač moe neposredno dekriptirati informaciju koja
im je dostupna.
Distribucija ključeva postaje problem.
Broj ključeva se povećava sa kvadratom korisnika koji izmjenjuju tajnu informaciju.
Simetrični sustavi, opisani kao konvencionalni, prije pojave javnog ključa, su relativno
slabi, ranjivi na različite kriptoanalitičke napade.
Opis algoritma
Pseudo kod
b` = A b-1 + c gdje je
Veličina bloka u C0 C1 C2 C3
bitovima
128 0 1 2 3
192 0 1 2 3
256 0 1 3 4
Proirenje ključa
Pseudo kod za proirenje ključa (izmjena)
Gdje je :
Dekriptiranje bloka
Korištenje inverznih transformacija:
InvShiftRows
InvSubBytes
InvMixColumns
Zaključak:
Enkripcija Dekripcija
Ključ
Izvorni tekst
Šifrirani tekst Izvorni tekst
Enkripcija Dekripcija
Ključ
Založna Dekripcija
agencija
Založna enkripcija
Tehnički aspekti
D(E(M,k),k) = M
Agencijsko polje sadrži
E((E(k,u)&n&a), f)
gdje je:
n – 30 bitni broj koji identificira jednu enkripcijsku jedinicu
u – 80 bitni enkripcijski ključ za n-tu jedinicu
f - 80 bitni enkripcijski ključ za cijelu familiju Clipper chipova
k – 80 bitni ključ za enkripciju poruke M
a - autentifikator založne agencije
1. Prisluškivati komunikaciju.
2. Odrediti da enkripcija koristi Clipper.
3. Dekriptirati E((E(k,u)&n), f) kako bi dobili n.
4. Isporučiti n i kopiju naredbe suda svakoj od agencija.
5. Zaprimiti natrag obje polovice ključa u.
6. Koristiti u za dekripciju E(k,u) kako bi se dobio k, ključ sjednice s kojom je
ova komunikacija (poruka) kriptirana.
7. Dekriptirati komunikaciju (poruku) upotrebom ključa k.
Početak sa porukom M
k n A
M k n,A
Kriptirano pod: k f
Empirijski sigurni
Sigurni uz dokaz
Bezuvjetno sigurni
Algoritam je empirijski siguran kao je on održiv (nije probijen) u nekom vremenu testiranja.
Dokazano sigurni algoritmi mogu ponuditi ono to daje računarska sigurnost, tj dokazanu
sigurnost. Dokazana sigurnost je izražena unutar okvira složene teorije. Neki algoritam je
siguran ukoliko je proboj algoritma barem toliko težak kao rješavanje drugog problema za
koji se zna da je težak.
Bezuvjetno sigurni algoritmi ne mogu biti probijeni od strane napadača čak i uz primjenu
neograničenih računarskih resursa.
Šifarski tekst je zapravo rezultat od XOR bit operacije između niza bitova čistog teksta i niza
bitova ključa. Primatelj provodi XOR nad šifarskim tekstom bit po bit uz isti niz bitova
ključa, kako bi dobio izvorni tekst (Vernamov-a šifra).
Pažnja !
Šifarski tekst 1 Šifarski tekst 2 = Izvorni tekst 1 Ključ Izvorni tekst 2 Ključ
= Izvorni tekst 1 Izvorni tekst 2
Definicija protokola
Protokol je uređena sekvenca koraka koju provode dvije ili vie strana kao bi izveli određenu
zadaću.
Dobar protokol ima slijedeća svojstva:
Kada oblikujemo protokol za razmjenu ključeva moramo dakle odgovoriti na dva pitanja:
Diffie-Hellman protokol
Neka je p veliki i adekvatno izabran prosti broj i neka je g element od skupa cijelih prostih
brojeva po modulu p. Ta dva cijela broja ne trebaju biti tajni.
ya = ga (ya = ga mod n)
yb = gb (yb = gb mod n)
3. Alice izračunava K
K = yba = gba
4. Bob izračunava K´
K´ = yab = gab
Ostaje jo jedan problem. Niti jedna strana nezna sa kime dijeli tajni ključ. Ovdje su S a i Sb
potpisni klučevi od Alice i Bob , sSa i sSb označavaju generirane potpise pod tim ključevima.
Koraci u tom protokolu su:
1. A→ B ga
2. B→A gb, eK(sSb(gb,ga))
3. A →B eK(sSa(ga,gb))
Needham-Schroeder protokol
Distribucijski
centar
(1)Daj mi ključ za
komunikaciju
sa Rinom
(2) Ovdje je ključ za
tebe i kopija za
Rinu
Rina Pavao
(1) - (P,R,Ip)
(2) - E(Ip,R,KPR, E(KPR,P),KR)),KP)
(3) - E((KPR,P), KR)
(1) ER(DP(K))
(3) S(n+1, K)
Gdje je:
n - slučajni broj
S - simetrični algoritam enkripcije
Distribucijski
centar
(1) Molim daj mi
Rinin javni ključ
(P,R)
(4) Molim daj mi
Pavlov javni
ključ (R,P)
(5) Tu je
Pavlov javni (2) Tu je
ključ Rinin
javni ključ
DD(EP, P) DD(ER,R)
R P
I A
N (3) Ja sam Pavao, razgovarajmo, ER(P, IP) V
A A
O
Digitalni potpisi
S R
Sprema D:KS
kopiju za
buduće
nesuglasice M
E:KR Za tajnost
D:KS
D:KS
Dekripcija
Za autentičnost (tajnost) M
nekrivitvorljivost
M
Dekripcija
R M
S (autentičnost)
Sačuvaj D:KS
kopiju za
buduće
nesuglas.
M
Namjena:
Dok je zadaća TCP/IP protokola slanje ispravnih anonimnih paketa između klijenta i
poslužitelja, SSL dodaje:
autentifikaciju,
neporecivost za obje strane putem digitalnih potpisa,
povjerljivost i
integritet (putem MAC-a) informacija koje se šalju.
Napadi:
- duljinu potpisa
- serijski broj certifikata (jedinstven unutar centralne institucije)
- jedinstveno ime (distinguished name)
- potpis algoritma (označava koji je algoritam koriten)
- DNS ime servera - kod Netscapea su dozvoljeni wildcard znakovi dok Verisign i
ostale centralne institucije odbijaju potpisati certifikate sa wildcard znakovima
(budući da se tako daju ovlasti bilo kojem računalu u domeni, a individualna
računala ne moraju imati te ovlasti)
Implementacija:
Postoji više programskih implementacija SSL-a. Ona prva potječe iz Netscapea i bila je
uključena u njegove pretraivače. Za trite SAD-a Netscape je pustio u prodaju referentnu
SSL implementaciju u C-u (SSLRef). Kasnije se pojavila nezavisna implementacija SSLeay
koja je globalno dostupna, a danas postoji i par implementacija u Javi.
TLS je protokol vrlo sličan SSL-u 3.0. sa par razlika u izboru i korištenju enkripcijskih
algoritama.
Nasljednik SSL-a, protokol TLS 1.0 ima istu funkciju kao i SSL no postoje sitne razlike
između njih. Trenutno TLS 1.0 podravaju gotovo svi Internet preglednici, dok verziju TLS
1.1. podržavaju zasad Opera i GnuTLS.
Alert protokol i
Change Cipher Spec protokol.
Paketi se:
rastavljaju na fragmente i komprimiraju ,
izračunava se autentifikacijski kod poruke (MAC),
enkriptiraju, a
rezultat se šalje nižim slojevima.
Kriptirano
Organizacijskog sustava
Sustava upravljanja
Tehnološkog sustava
Sigurnosna arhitektura sustava, koji implementira gore navedeni model, sastoji se od nekoliko
osnovnih blokova, prikazanih na slici 2.2
Povjerenje Kontrola
Kontrola
Integritet Oporavak Upravljanje
pristupa
Performanse Nadzor
Osnova
Model je podijeljen:
osnova,
povjerenje i
kontrola.
Sigurnosna politika
postaviti pravce,
dati potpun vodič i
demonstrirati potporu uprave te odanost sigurnosnom načinu rada
Načela
Kriteriji i standardi
Sigurnosni kriterij :
Edukacija
Povjerenje
Sastav :
sigurnosti,
raspoloživosti i
performansi.
Sigurnost
Komponente:
integritet,
kontrola pristupa (autorizacija) ,
tajnost,
autentifikacija i
neodbacivanje
Integritet
Osnova:
identifikacija
autentifikacija
Tajnost
Autentifikacija
Neodbacivanje
Raspoloživost
Kontinuiranost
Postojanost
Oporavak
Konzistentnost
Napad:
odbacivanje servisa (DoS).
Performanse
Sigurnosni standardi
Principi
Sigurnosna politika
Definicije
Fizička sigurnost
Jedini standard koji postoji je National Communication Security 5100A (NACSIM
5100A) za Vladu USA, a naziva se Tempest standard.
Upravljanje sa sigurnoću
Inačica 2 SNMP (Simple Network Management Protocol) standarda uključuje
RFC 1351: Administracijski model; RFC 1352: Sigurnosne protokole; i RFC
1353: Definiciju objekata za upravljanje za potrebu administriranja SNMP
dijelova..
Monitoriranje i detekcija
OSI standard, ISO/IEC 10164-7 (X.736), Security Alarm Reporting Function, daje 14
tipova alarma te njihov vjerojatni uzrok.
Nadzor
DCE RFC 29.0 prikazuje specifikacije za implementaciju podsustava nadzora u DCE
uvjetima.
ISO/IEC 10164-8 (X.740), Security Audit Trail Function, koji definira slog zapisa i
klasu događaja koji generiraju slog zapisa.
Autentifikacija
ISO/IEC 9594-8 (X.509), Directory Autentification Framework. X.811 standard
Kontrola pristupa
ISO/IEC 10181-3 (X.812), Access Control –kontrola u distribuiranim sustavima
Tajnost
ISO/IEC 10181-5 (X.814), Confidentiality Framework
Neodbacivanje
ISO/IEC 10181-4 (X.813), Nonrepudation Framework - u distribuiranim uvjetima.
Akreditacija
(FIPS PUBS #102) - program za certifikaciju i akreditaciju sigurnosnog sustava.
Vodič
Dokumetirani opis procesa i procedura koje primjenjuju načela, politiku i standarde
na stavrne sigurnosne mehanizme.
Namjena:
Povlašteni korisnici
Korisnici
Vlasnici
Uravnoteženje mogućih konflikata
Svojstva (Atributi)
Svrha
Zatićena sredstva
Zaštita
Pokrivenost
Postojanost (trajnost)
Realnost
Koristnost
Identifikacija
Autentifikacija
Autorizacija
Zaporke
Informacijski integritet
Klasifikacija podataka
Čuvar podataka (vlasnitvo)
Nadzornik podataka (upravljanje)
Integritet podataka
Osobno korištenje
Korištenje informacijskog sustava
Privatnost
Odgovornosti rukovodstva
Upravljanje zapisima
Sigurnosna administracija
Razdvajanje dužnosti
Procjena rizika
Nadzor podudarnosti sa sigurnosnom politikom
Odstupanje od politike
Administracija sustava
Klasifikacija sustava
Kontinuitet poslovanja
.
Mrežne politike
Politike za korisnike
Briga korisnika
Korisnička odgovornost
Programske politike
Prava kopiranja
Zaštita od virusa
Ostale politike
Razvoj aplikacija
Vanjske obrade
Fizička sigurnost
07/2009 FER - Zavod za primijenjeno računarstvo 134
Zaštita i sigurnost informacijskih sustava
Korištenje standarda
Odgovornosti
Priručnik o sigurnosnoj politici
Briga o sigurnosti i izobrazba
Proces implementacije sigurnosne politike
Politika organizacije
Internet
Politika sadrži :
Pogled arhitekta predstavlja sveukupni koncept kroz koji se mogu realizirati poslovni zahtjevi
na sigurnost. Ova razina arhitekture se naziva konceptualna razina jer ona definira principe i
fundamentalne koncepte koji usmjeravaju selekciju i organizaciju logičkih i fizičkih elementa
na nižim razinama SABSA modela.
Pogled graditelja odnosi se na preuzimanje logičke arhitekture, koji logičke opise i sheme
pretvara u tehnološki model koji se koristi za izgradnju sigurnosnog sustava koji se naziva
fizička sigurnosna arhitektura.
Identifikacija je osnova za sve aspekte sigurnosti. Svi korisnici, bilo to informacijska sredstva ili
korisnici IS-a moraju imati jedinstveni identifikator.
Vrsta identifikacije koju koristi tvrtka uvjetuje sve ostale sigurnosne procese. U globalnoj tvrtki
postoji određen broj stvari na koje se treba osvrnuti. Zbog velikog broja stavaka za primjenu
identifikatora uvodi se pojam upravljanja imenima.
Jednoznačnost
Univerzalnost
Ista vrsta (tip) identifikatora treba biti raspoloživa za sve korisnike – pojedince, sustave, ili
programe – sve što zahtjeva pristup informacijama.
Provjerljivost (verifikacija)
Nekrivotvorljivost
Prenosivost (Transportabilnost)
Identifikator mora biti prenosiv sa lokacije na lokaciju sa kojih korisnik treba pristup.
Lakoća koritenja
Izdavanje identifikatora
Privatno izdavanje
Javno izdavanje
Područje upotrebe
Područje upotrebe pokazuje kako iroko će se koristiti identifikator, a prema tome koliko
iroko će on biti prihvaćen.
Usko područje
Usko područje koritenja identifikatora općenito daje vie kontrole lokalnom administriranju
sustava.
Veliko područje
Administriranje identifikatora
Centralizirana administracija
Distribuirana administracija
Mogućnosti implementacije
Smart kartice
Smart kartice se mogu koristiti kako za fizičku identifikaciju tako i za elektroničku (digitalnu)
identifikaciju
Infrastruktura javnog ključa (PKI) je sustav koji koristi certifikate koji su zasnovani na
kriptografiji javnog ključa za autentifikaciju identifikatora.
Greške identiteta
Greke identiteta dolaze od konfuzije identifikatora za dva različita pojedinca. To moe biti da
identifikatori nisu jedinstveni ili zbog nepanje od strane ljudi koji ih uspoređuju.
AUTENTIFIKACIJA
Autentifikacija je postupak verifikacije identiteta korisnika. Korisnici uključuju pojedine osobe,
računalne uređaje i sredstva.
Aautentifikacijska funkcija F :
Faktori autentifikacije
Faktori koji se mogu koristiti za autentifikaciju identiteta nekog entiteta su oni faktori koji su
jedinstveni za taj specifični entitet.
Osnovni faktori
Nešto što znate – dijeljena tajna, lozinka, nešto što korisnik i autentifikator znaju.
Nešto što imate – fizički ID (npr. identifikacijska kartica, token, smart kartica)
Nešto što jeste – mjerljiva svojstva (otisak prsta, facijalne karakteristike, boja glasa..)
Implicitni faktori
Implicitni faktori su atributi entiteta koji se mogu odrediti bez interakcije sa entitetom.
Fizička lokacija
Logička lokacija.
Višestruki faktori
Modeli autentifikacije
Višestruka autentifikacija
Višerazinska autentifikacija
Vierazinska autentifikacija je proces koji zahtjeva različite vrsta autentifikacije koje ovise o
metodi pristupa, zahtijevanim sredstvima, te zahtijevanim dozvolama.
OPCIJE AUTENTIFIKACIJE
I Dvo-strana autentifikacija
Autentifikacijska informacija moe biti ili statička (napr. fiksna lozinka) ili dinamička (npr. one-time
lozinka OTP)
Lozinke
OTP lozinke
Token kartica
Uređaj koji donosi lozinke. Token kartica generira različiti niz od osam znakova svaki
puta kada se upotrijebi, pa je ona specijalni slučaj OTP sheme. (SecureID, od RSA
Security )
Smart kartice
Naziv smart kartica opisuje komplet malog, veličine kreditne kartice, elektroničkog
uređaja koji se koristi za pohranu podataka i identifikaciju.
Kontaktno sučelje
Beskontaktno sučelje
Kartice s dva sučelja
HHAD su prenosivi uređaji, obično u veličini kreditnih kartica, koji imaju lokalno
spremište podataka i mogučnost računanja.
Biometrijska autentifikacija
Biometrička autentifikacija koristi jedinstvenost izvjesnih fizičkih svojstava i
karakteristika pojedinaca, kao što su otisci prstiju, slika rožnice oka, uzorak glasa ili
facijalne karakteristike. Ta fizička svojstva ili karakteristike mogu se reprezentirati
digitalno kao biometrični podatak ili biometrika.
Osnove biometrike
Otisci prstiju
PPP AUTENTIFIKACIJA
PPP protokol (Point-to-Point Protocol) osigurava standardnu metodu za enkapsulaciju
informacije mrenog protokola na linijama od točke-do-točke. Da bi se uspostavila veza preko
komunikacijske linije, svaki kraj linije mora prvo razmijeniti Link Control Protocol (LCP)
pakete kako bi dogovorio konfiguraciju veze koja se eli uspostaviti. On uključuje i protokol
autentifikacije.
PAP
CHAP
EAP
RADIUS
Tipična RADIUS autetifikacijska sjednica u dial-in uvjetima radi kako je dano na slici 5.4
S/KEY i OTP
Ideja je da korisnik i usluno mjesto svako konstruira dugu listu OTP lozinki, svaka slijedeća
proizašla je iz predhodne.
x1 = H(S)
x2 = H(H(S))
= H(H(x1))
xi = H(xi – 1)
Kerberos
Uloga autentifikacije u VPN-u je da se verificira identitet strana uključenih u uspostavu VPN tunela.
Upravljanje autentifikacijom
Autentifikacijski server
Narušavanje autentifikacije
Autentifikacija zahtjeva da entitet koji se autentificira šalje potvrde (vjerodajnice) entitetu koji
provodi autentifikaciju.
Direktni napadi
Indirektni napadi
cerifikaciju,
validaciju,
i opozivanje certifikata.
PKI arhitektura
Certifikacija
Validacija
Certifikat mora biti validiran prije nego mu se vjeruje. Validacija certifikata uključuje
slijedeće korake:
Provjerava se integritet kroz verifikaciju digitalnog potpisa koristeći javni ključ od CA.
Provjerava se valjanost intervala digitalnog certifikata.
Provjerava se CRL lista od CA kako bi bili sigurni da certifikat nije opozvan.
Opoziv certifikata
Cerifikat se može opozvati prije njegovog isteka važenja, ukoliko postane neupotrebljiv zbog
nečega, npr. kada se otkrije privatni ključ, ili informacija unutar njega vie nije valjana.
Modeli povjerenja
Izvrsna matematička svojstva kriptografije javnog ključa ne mogu rijeiti problem kako se
povjerenje ugrađuje i delegira u PKI infrastrukturi.
Neki ljudi imaju viziju jednog globalnog PKI preko cijele kugle. Drugi vide konfederaciju
PKI-ova zasnovanih na političkim strukturama kao to su nacije i građanstvo. Neki drugi
preferiraju model u kojem, povjerenje smjeteno u CA je ograničeno za specifične namjene
za koje se uspostavlja CA.
Model jednog CA povlači jedan PKI za cijeli svijet, gdje svatko koristi jedan CA kako bi
dobio i verificirao certifikat.
Hijerarhijski model ima jedan root CA koji nastavno delgira povjernje drugim CA-ovima u
hierhijaskoj formi. PEM (Privacy Enchanced Mail – RFC 1422) i DNSSEC (Secure Domain
Name System – RFC 2065) koriste taj pristup.
Distribuirani modeli pretpostavljaju da su svi CA-ovi kreirani jednako. Svaki CA ima svoju
vlastitu domenu povjernja i odgovoran je za konfiguriranje svojih vlastitih ključeva u
aplikaciju. (PGP).
Sigurni WF model
Definicija 2. Sigurni WFMS je sustav za upravljanje WF-a koji može specificirati, upravljati
i izvoditi sigurni WF.
Opis modela:
Autorizacijske funkcije
Funkcija 1: Assign (t,a) se koristi kako bi se osiguralo svojstvo autorizacije, gdje sigurni
WF model pridružuje zadatak agentu onda i samo onda ako ga agent može izvesti.
Rad modela:
Za svaki zadatak mora postojati najmanje jedan agent koji ga može izvršiti.
Invarijatni izraz 2: Agent a može izvoditi zadatak t onda i samo onda ako je
t T , N(t) = a.
Kontrolana razina
"acquire(d, pr)", "release (d, pr)" ili "process(d, pr) gdje je d D i pr PR.
Ovi događaji za pristup dokumentu okidaju razinu podataka koja se treba izvesti.
Razina podataka
Agent moe pristupiti dokumentu sa specifičnim pravom onda i samo onda ako je
pravo pristupa dokumentu dodijeljeno agentu, koji može pristupiti dokumentu samo za
vrijeme izvođenja zadatka. Sigurni WF treba opozvati prava pristupa dokumentu od
agenta čim to pravo vie nije potrebno.
Pored gore navedenog rjeenja za WAM moguće je koristiti formalni model za tokove
procesa korištenjem Petrijevih mreža (PN).
Virus
Tranzietni virus
Rezidentni virus
Trojanski konj
Logička bomba
Vremenska bomba
Vrata upada ili zadnja vrata(back door)
Crv.
Zec
Dodani virusi
Originalni
program
Fizički Logički
Originalni
program
Virusni kod
Dio (b)
Originalni Virusni
program + kod =
Modificirani
program
Kvaliteta virusa:
težak za detekciju
težak za uništenje ili deaktiviranje
iroko područje irenja
mogućnost reinfekcije
lakoća kreiranja
strojno neovisan (neovisan i od OS-a)
Bootstrap Inicijalizacija
loader sustava
Virusni potpisi
Akcije:
smještaj
izvođenje
širenje
Memorijski uzorci
Uzorci izvođenja
Uzorci prijenosa
Polimorfni virusi
Napadi virusa koriste (exploit) nedostatak kontrola integriteta informacijskog sustava. Kako
bi se obranili moramo sami uključiti te kontrole. Neki od rapoloivih zatitnih mehanizama su
specifični za viruse, ali oni općenito adresiraju integritet. Strategija obrane treba imati
slijedeće komponente:
Fizičke i administrativne kontrole su izvrstan put za sprečavanje ulasaka virusa u sustav. Neke
od tih mjera su iznenađujući jednostavne. Ako ne želite pisanje na flopy disk postavite zaštitu
pisanja, pa niti jedan virus neće moći inficirati disketu. Ako operacijski sustav ima kontrolu
pristupa, treba je ispravno iskoristiti. Na primjer treba postaviti skup dozvola za pristup
datotekama s aplikacijama na mrenom serveru samo za čitanje i izvođenje.
Postaviti sigurnosne mjere na mjesta gdje virusi mogu ući u sustav. Testirati novi software na
karantenskim računalima gdje je instaliran anti-virusni software. Testirati sa računom koji
ima samo neka moguća prava, kao to je Gost. Jo bolje koristiti prospojno računalo
(gateway) za izvođenje virusnog scanera , ispitati sve diskete koje ulaze u sustav. Ako je
floppy disk čisti, on dobiva oznaku te je tada spreman za koritenje unutar organizacije. Ako
je oznaka (stiker) na disku, tada je to briga korisnika da detektira neovlašteni disk unutar
organizacije. Ako je oznaka elektronička zapisana na disk, tada računalo unutar organizacije
može kontrolirati prisutnost oznake i odbaciti neovlašteni disk. Danas su vatrozidovi
(firewall) opremljeni virusnim scanerima za pregled virusa koji dolaze s mreže.
Treba provoditi regularnu (redovitu) kontrolu i držati anti-virusni software ažurnim. Anti-
virusni software treba uključiti u svaku login skriptu korisnika. Sistemski programi mogu
automatski provesti kontrolu u unaprijed određeno vrijeme. Na primjer, u Unixu sistemski
administrator moe reći cron programu da izvede programe za kontrolu integriteta. Ne treba
se oslanjati na samo jednu kontrolu, treba koristiti kombinacije kontrola.
Treba postojati plan za izvanredne situacije (contigency plan), tj. Kako reagirati na pojavu
virusnog incidenta. Često se događa da neadekvatna reakcija moe izazvati vie tete nego
sam virus. Jasno je , da su čisti back-up-ovi neobično vani za restauraciju IS-a nakon
virusnog napada. Ipak, nije rijetko da se u vrijeme kad je detektiran virus, da je on već nađen
na svim backup-ovima koji se čuvaju.
Kada sigurnosni sustav zna kako izgleda objekt koji zatićuje, on ne mora znati kako izgleda
napadač. On treba pregledati izmjene u objektu.
Scanneri
Konačno tu je i problem pozitivne greke. Datoteka moe slučajno sadravati virusni potpis ,
pa će scanner pogreno alarmirati postojanje virusa. to vie virusnih potpisa scanner ima u
bazi to je i veća vjerojatnost za pogreni alarm.
Kada sigurnosni sustav ne zna kako izgleda objekt koji titi, budući je on legitimno izmijenjen,
on mora znati kako izgleda napadač, ili kako se on ponaa. Jedino tada on moe provjeriti
njegovu prisutnost.
Preporuke
zaboravi ih odstraniti
namjerno ih ostavlja zbog testiranja
namjerno ih ostavlja zbog održavanja završenih programa
namjerno ih ostavlja u programu kao tajni način pristupa programima nakon što su
oni prihvaćeni za produkciju.
modularnost,
nezavisno testiranje,
zatvorenost , enkapsulacija
skrivanje informacije
upravljanje konfiguracijom
dokaz ispravnosti programa, verifikacija
pridržavanje standarda, ISO9000 i dr
i td.
Administrativne procedure
Aplikacije
Operacijski sustav
Asemblerski stroj
Firmware stroj
Sklopovski
stroj
OS funkcije :
Upravljanje procesima i procesorom.
Upravljanje sredstvima.
Supervizija.
.
OS funkcije orjentirane na podršku sigurnosti:
Korisnička identifikacija/autentifikacija
Zaštita memorije
Nadzor pristupa sredstvima rač. sustava
Kontrola toka informacija
Zapisi i nadzor (Auditing)
Korisnička identifikacija/autentifikacija
Korisnici trebaju:
Izabirati lozinke pridravajući se gornjih kriterija
Upamtiti svoju lozinku, nikada je ne pisati
Nikada ne otkrivati lozinke
Mijenjati svoje lozinke često i regularno.
Otkrivanje lozinki
Dodatak
Datoteka
lozinki
Lozinka DES Kriptirana lozinka Dodatak
Unesena
lozinka od
korisnika
Kriptirana lozinka
Datoteka lozinki
Usporedba
Zaštita memorije
Zahtjevi na zaštitu:
Konkurentni pristupi
Zatvorenost (samo za programe)
Adresa ograde
Relokacije
Granični registri (baza/granica)
Straničenje (paging)
Segmentacija
Adresa ograde
Relokacija
za vrijeme kompilacije
za vrijeme punjenja programa u memoriju (statička relokacija)
za vrijeme izvođenja (dinamička relokacija)
Vrijednosti granica:
1. Registri granica.
2. Registri baza/granica.
Parovi registara:
za instrukcije - zajedničko područje
za podatke – privatna područja
Straničenje (Paging)
Pn = L DIV Sp
Po = L MOD Sp
L – logička adresa
Sp – veličina stranice
samo za čitanje,
čitanje/pisanje,
samo za izvođenje.
Implementacija
Problemi
dekompozicija programa
različitost prava objekata u stranici
Segmentacija
glavni program
procedure, funkcije
polja
i dr.
Dijeljnje programa:
Segmentiranje
homogenost zahtjeva – jedinstveni segment
snažnije dijeljnje (procedure, funkcije, polja,.)
Straničenje
raznovrsnost objekata - heterogenost
Starničenje i segmetiranje
dijeljenje programa
"čisti" kod
isti modovi pristupa (operacija)
kontrola pristupa
kontrola toka podataka
mehanizni nadzora i revizije
Identifikacija sredstava
Identifikacija procesa
operacija nad sredstvima
o CPU: izvođenje
o Memorijski segmenti: čitaj/pii
o Ulazni uređaji: čitaj
o Izalazni uređaji: piši
o Trake: čitaj/pii
o Datoteke podataka: kreiraj, otvori, čitaj, pii, dodaj, zatvori, izbrii
o Datoteke programa: čitaj/pii, izvedi.
Način rada:
Pristupne hierarhije
Matrica zaštite ( matrica pristupa).
Pristupne hierarhije
privilegirani modovi
o privilegirani i korisnički
o hierarhija zaštitnih razina –pristupna domena
. <U5<<<U1>U2>U3><U4>>
(U1 ne može pristupiti objektima U4)
A[Si,Oj]
Tehnike implementacije
Tabela
Pristupne liste
Liste sposobnosti (Capability Lists)
Liste ovlaštenje-stavka (Authority-item lists)
Mehanizmi brava-ključ (Lock-key)
Zaštita datoteka
y := f(x1,.,xn),
implicitni tokovi
Bell-LaPadula model
o p (ss-property)
o p o’.( + *-property)
eksplicitni tokovi
xi y (statička i dinamička veza)
x1 ... xn y
implicitni tokovi
y se pridružuje klasa :
x1 ... xn.
i vrijedi:
x1 ... xn y
Instrukcije:
pridruženja,
sekvence,
kondicionalne,
iteracijske
i pozivi procedurama.
.
Instrukciju pridruženja:
y := f(x1,.,xm), relacija je
x1 ... xm y
Instrukcija sekvence:
Za uvjete :
relacija je:
x1 ... xm z1 ... zm
Za iteraciju:
x1 ... xm z1 ... zm
za procedure oblika:
begin
procedure body
end;
ai bj if xi yj 1 i m i 1 j n
bi bj if yi yj 1 i m i 1 j n
Sustav dedukcije
program
procedure
instrukcije
Ispravnost programa:
Izolacija
Multiprocesiranje.
Preklapanje domena izvođenja.
- jezgra,
- supervizor,
- korisnik
Zaštita memorije..
U/I operacije
Prednosti :
Izolacija i separacija. Sigurnosni mehanizmi su odvojeni od OS-a i od korisničkog
prostora; zatita od korisničkog/sistemskog upada je veća;
Smanjena veličina i verifikacija. Jezgra je mala, koja je odgovorna samo za sigurnosne
funkcije, pa se stoga može formalno verificirati.
Izmjenjivost. Moguće izmjene sigurnosnih mehanizama su lagane za implemnetaciju i
testiranje.
Potpuni nadzor. Svi pristupi se provode pod kontrolom sigurnosne jezgre.
Druge inicijative
o X/Open organizaciju koja je osnovana 1984, koja uključuje grupu Europskih i
US proizvođača u definiranju standarda za otvorene sustave koji su bazirani na
integracijskom okruženju
X/Open Security Guide opisuje sigurnosne standarde koji promoviraju
portabilnost. Familija X/Open standarda , pod nazivom XPG, raspoloživa je u
raznim verzijama (XPG1, XPG2, XPG3)
o American National Standards Institute ANSI je odgovoran za
odobrenje standarda. Upravo sada, različita ANSI povjerenstva razvijaju
standarde za kriptografiju i autentifikaciju poruka.
o International federation for Information processing (IFIP) okuplja
multinacionalne profesionalne i tehničke organizacije koje rade u području
informacijskih sustava. n.11 Tehnička komisija (TC-11) od IFIP-a za Zaštitu i i
sigurnost informacijskih sustava .
o Institute of Electrical and Electronics Engineerrrs (IEEE) je
međunarodna profesionalna organizacija čiji je zadatak, među ostalima, razvoj
standarda koji se podnose ANSI na odobrenje. Među IEEE standarddima,
najvažniji su:
Standard za aplikacijsku portabilnost u otvorenim sustavima (Portable
Operating System Interface for Computer Environments – POSIX). POSIX
je razvijen u suradnji sa ISO;
Standard za razvoj sigurnosnih sustava prema POSIX kriterijima; on je još
uvijek pod razvojem od IEEE 1003.6 Security Extensions Commitee.
DoD kriteriji
DoD zahtjevi:
Trusted Computing Base (TCB)
Referencijski monitor
Sigurnosna politika.
a) DAC.
b) MAC.
c) Oznake.
d) Ponovna upotreba objekata.
a) Identifikacija/Autentifikacija
b) Nadzor (Audit).
c) Povjerljivi put.
Jamstvo (Assurance)
a) Pouzdanost operacija:
I. Arhitektura sustava.
II. Integritet(cjelovitost) sustava.
III. Analiza tajnih kanala.
IV. Upravljanje sa povjerljivoću.
V. Obnova povjerljivosti.
b) Pouzdanost razvoja
I. Testiranje sutava
II. Specifikacija dizajna i verifikacija.
III. Upravljanje konfiguracijom..
IV. Povjerljiva distribucija.
Dokumentacija.
Dijelovi DBMS_a
DDL kompilacija
Obrada DML instrukcija
Upiti u bazu podataka
Upravljanje bazom podataka
Upravljane datotekama
Logički pogledi
Logička shema podataka
Fizička shema podataka
d1 D1, d2 D2, …, dn Dn
Selekcija : koji se primjenjuje na relaciju r, a kao rezultat vraća novu relaciju s koja
je formirana od n-torki od r uz verifikaciju predikata ( koji su izraženi kroz formule
koje uključuju konstante i operatore usporedbe).Taj operator provodi horizontalnu
dekompoziciju od r;
Sigurnosne kontrole
Zatita baze podataka se postie kroz slijedeće sigurnosne mjere:
Kontrola toka
Kontrola zaključivanja o podacima
Kontrola pristupa
Kontrola toka
Tok između objekta X i objekta Y se događa kad naredba čita vrijednost iz X i upisuje
vrijednost u Y. Kontrola toka provjerava da informacija koja je sadržana u nekom objektu
(npr. izvjeću) ne odlazi eksplicitno (kroz kopiranje) ili implicitno (preko grupe instrukcija
koje uključuju među objekte) u nie tićene objekte.
Kontrola zaključivanja
Kontrola zaključivanja usmjerena je na zatitu podataka od indirektne detekcije.
Kanal zaključivanja je kanal gdje korisnici mogu naći podatak X i tada ga koriste da bi
dobili Y kao Y = f(X).
1. Indirektni pristup.
2. Korelacioni podaci.
3. Nepostojeći podaci.
Statističko zaključivanje
Statistički napadi mogu se suzbiti kroz dve vrste kontrole:
1. Perturbacija podataka.
2. Kontrola upita.
Zaključak
faza namjere,
faza izručenja (commiting)
1. Skladite provjerava bazu podtaka dali postoji traena količina od 50 kutija. Ako ne
zahtjev se odbija i transakcija završava.
2. Ako postoji dovoljno kutija na skladištu, smanjuju se količine sa skladita u bazi podtaka .
(107 – 50 = 57).
3. Skladite naplaćuje konto nabave odjela (također i u bazi) za 50 kutija papirnatih
spajalica.
4. Skladite provjerava preostalu količinu (57) kako bi se odredilo da li su količine pale
ispod točke naručivanja. Budući da je, zahtjev za novom nabavom se generira, te se
postavlja zastavica u naruđbi u bazu podataka.
5. Priprema se nalog za isporuku kako bi se 50 kutija odaslalo u odjel za računovodstvo.
Faza namjere:
4. Provjeri da lije TCLIPS ispod koločine za novu narudbu; ako da postavi TREODER =
TRUE; inače TREODER = FALSE.
Redundancija/Interna konzistetncija
Oporavak
zapisi
back-up
Konkurentnost/konzistencija
Rješenje: DBMS tretira cijeli upit-izmjena ciklus kao jednu nedijeljivu operaciju.
Monitori
Usporedba područja
Ograničenja stanja
Ograničenja prijelaza (tranzicije)
Odlučivanje o pristupu
Stvarni podatak
Granice
Negativan rezultat
Postojanje
Vjerovatne vrijednosti
Direktni napad
Indirektni napad
- Suma
- Brojanje
- Sredina (Median)
- Napadi tragača
je oblika
q = count (a b c).
count (SEX=F)
minus
q1 = c1 + c2 + c3 + c4 + c5
q2 = c1 + c4
q3 = c3 + c4
q4 = c4 + c5
q5 = c2 + c5
q1 = s1 s2 s3 s4 s5
Kombiniranje rezultata
Slučajni uzorak
Analiza upita
Diferencirana sigurnost
Problemi sigurnosti
Integritet
Tajnost
Particioniranje (podjela)
Kriptiranje
nekrivotvorljiva.
jedinstvena
skrivena.
Povjerljivi Front-End
Komutativni filteri
na razini sloga
na razini atributa,.
na razini elementa
Primjer upita:
Upit postaje:
Prozor/pogled (view)
view AGENT-INFO
FLTNO := MASTER.FLTNO
ORIG := MASTER.ORIG
DEST := MASTER.DEST
DEP := MASTER.DEP
ARR := MASTER.ARR
CAP := MASTER.CAP
where MASTER.TYPE = ‘PASS’
class AGENT
auth retrieve
Tajnost i integritet
Problem zaključivanja u statističkim bazama
Višerzinska sigurnost podataka
o pogledi,
o povjerljivi front-end (TFE) sa modifikaciojom upita,
o komutativni filteri.
Sigurni DBMS :
‘visoki sustav’
‘višerazinski’
Višerazinske arhitekture:
1. Objektna “zrnatost”
Stupanj “zrnatosti” u OS-u je razine datoteke. “Zrnatost” u DBMS-u je veća (relacije,
polja, kolone, redovi).
2. Metapodatak
U DBMS, metapodaci postoje i prikupljaju informacije o strukturi podataka u BP. Na
razini OS-a ne postoje metapodaci.
6. Višerazinske transakcije
U DBMS-u često je neophodno izvoditi transakcije, uključujući podatke na različitim
sigurnosnim razinama. DBMS mora osiguravati izvođenje vierazinskih transakcija na
siguran način.
U relacijskoj bazi, kontrola pristupa ovisna o podacima je obično implementirana ili kroz
pogled ili tehnike upita, gdje je inicijalni upit ograničen prema korisnikovim pravima.
Dinamička autorizacija
DBMS treba podravati mogućnost izmjene korisničkih prava, dok je baza operativna.
Višerazinska zaštita
Kada se zahtjeva, DBMS treba nametnuti višerazinsku zaštitu preko mandatne kontrole
pristupa.
Tajni kanali
DBMS treba biti bez tajnih (skrivenih) kanala, odnosno korisnik ne smije dobiti
neovlašteno informaciju indirektnim metodama komuniciranja.
Višepojavnost
Ova tehnika se koristi od strane DBMS-a da spriječi dobivanje dodatnih informacija
(inference control), tako da dozvoljava da BP sadrži više razina istog podatka (data item),
pri čemu svaki od njih ima svoju klasifikacijsku razinu.
Kontrola toka
Kontrola toka provjerava odredište izlaza dobivenog autoriziranim pristupom.
Uniformnost mehanizama
Sve sigurnosne kontrole trebaju biti realizirane sa to manjim brojem različitih
mehanizama.
Razumne performanse
Sigurnosne kontrole troše dodatno vrijeme, ali treba nastojati da se to svede na što manju
mjeru.
Dobro-napravljena transakcija
Podaci mogu biti mijenjani samo putem dobro-napravljenih transakcija, a ne putem
proizvoljnih procedura.
Autorizirani korisnici
Ovaj princip znači da promjene moe izvoditi samo korisnik koji je autoriziran za tu
operaciju. Autorizacija korisnika je u nadležnosti OS-a i ne treba ju duplicirati na razini
DBMS-a.
Najniža privilegija
Problem realizacije je u balansiranju najniže privilegije korisnika sa privilegijom procesa,
jer su korisnik i proces dva različita entiteta.
Razdvajanje dužnosti
Ovaj princip nalae da pojedinac ne moe unititi podatke, već to moe tek nekoliko
udruenih pojedinaca u određenoj točki lanca.
Kontinuitet operacije
Ovom se problemu pridaje veliki značaj u teoriji i praksi, a predloena su rjeenja
bazirana na replikaciji.
Rekonstrukcija događaja
Rekonstrukcija se moe zbiti na različitim razinama detaljnosti i moe značiti različite
stvari: zadržati cijelu povijest svake izmjene ili spremiti identitet svakog pojedinačnog
spremanja.
Prema autorima Sandhu i Jajodia (1990), principi integriteta (cjelovitosti) DBMS-a se dijele
na tri grupe:
SQL jezik je proširen setom naredbi, kojima korisnik zahtjeva izvršenje dodjele ili
oduzimanja prava.
ALL RIGHTS
GRANT privileges ON (table) TO (user-list) WITH GRANT OPTION
ALL BUT
privileges
Umjesto ključne riječi user-list moe se koristiti public to znači da je pravo dodjeljeno svim
korisnicima baze.
Svaki korisnik koji ima pravo dodjeljivanja prava drugim korisnicima, moe također ta prava
oduzimati, ali samo ona koja je sam dodjelio.
REVOKE
ALL
RIGHTS
privileges
ON (table) FROM (user-list)
Oduzimanje prava
Sistem R podržava kaskadno oduzimanje prava.
Pogledi
Predstavljaju jednostavan i učinkovit mehanizam autorizacije, ovisne o sadraju.
Npr. pretpostavimo da korisnik A kreira tabelu T i eli dati korisniku B prava čitanja redaka
tabele T, pri čemu je vrijednost atributa a1 veća od 1000. Korisnik A će definirati pogled uz
pomoć SELECT naredbe
Implementacija modela
Informacije o korisničkim pravima su smjetene u dvije relacije – Sysauth i Sycolauth.
Relacija Sysauth ima slijedeće atribute:
.
Primjer SYSAUTH tabele u skladu sa dodjelom prava na slici 4.1a.
Proširenje modela
Komercijalni proizvodi
Autorizacija korisnika – provodi se putem OS-a ili lozinke. Izuzetak je Oracle, koji radi sa
oba načina.
Autorizacije sustavom – vezana je za definiciju autorizacije nad tipovima objekata baze
podataka (baza podataka, tabele, pogledi) i nad korisnicima. Svi DBMS serveri imaju
pravo kreiranja, izmjene i brisanja tipova objekata i korisnika. Neki DBMS imaju i
superuser operacije (npr. podizanje i spuštanje servera).
Autorizacije podataka – specificiraju operacije koje se mogu izvršavati na podacima
spremljenim u objektima baze. Svi DBMS serveri imaju SELECT, INSERT, UPDATE i
DELETE prava za tabele i poglede. Samo neki DBMS serveri imaju i ALTER, INDEX i
REFERENCES prava za tabele.
Neki DBMS podržavaju kontrolu na razini kolone. Ta prava se daju korisnicima putem
naredbe SQL GRANT.
Upravljanje autorizacijama – ova funkcionalnost je povezana sa mogučnoću dodjele
prava, zbog potrebe za podjelom odgovornosti i prava unutar organizacije.
Uloge, ako su podržane, koriste se za definiranje prava, povezanih sa danom aplikacijom.
Snimanje događaja – primjereno je za određene analize i rekonstrukciju događaja.
1. Uvodna analiza
2. Sigurnosni zahtjevi i politike
3. Konceptualni dizajn
4. Logički dizajn
5. Fizički dizajn
Alat za dizajniranje
Struktura za istraživanje – model može biti izabran, od postojećih ili novi model moe biti
razvijen od početka
Didaktički alat – za pojednostavljenje opisa sustava
Alat za uspoređivanje/procjenu – za uspoređivanje/procjenu različitih sigurnosnih sustava
Uvodna analiza
Rizici sustava
Karakteristike okruženja baze podataka
Aplikativnost (applicability) postojećih sigurnosnih produkata
Mogućnost integracije sigurnosnih produkata
Performanse rezultirajućeg sigurnosnog sustava
Konceptualni dizajn
Definira se kroz:
Logički dizajn
Fizički dizajn
Ekonomija mehanizama.
Djelotvornost
Linearnost cijene.
Minimalna prava.
. Prednosti su:
- ograničenje pogreaka
- održavanje
- obrana od Trojanskog konja
- prikazivanje točnosti
Kompletno posredovanje.
Poznat dizajn.
Sigurnost po default-u.
Minimum općih mehanizama.
Psihološka prihvatljivost.
Fleksibilnost.
Izolacija.
Potpunost i konzistentnost.
Preglednost.
Problem residuala.
Nevidljivost podataka.
Namjerne zamke.
Mjere u slučaju nude.
Programski jezik..
Točnost.
Verifikacija i testiranje
Sigurnosni problemi:
Dijeljenje.
Složenost sustava.
Nepoznate granice(perimetar).
Mnogo točaka napada.
Anonimnost.
Nepoznati put.
Dijelovi mreže:
lokalnii čvorovi, povezani preko
lokalnih komuniakcionih veza na
Prijetnje:
Čitanje komunikacije od A do B.
Izmjena komunikacije od A na B.
Krivotvorenje komunikacije koja navodno dolazi od A do B.
Spriječitii komunikaciju od A do B..
Spriječiti sve komunikacije koje prolaze kroz neku točku..
Čitanje podataka na C ili D
Izmjeniti ili uništiti podatke na C ili D..
Prijetnje su:
Kategorije prijetnji:
Pasivno priključenje
Aktivno priključenje.
Kabel
Mikrovalovi
Satelitske komunikacije
Optičko vlakno
Nepostojeća autentifikacija
Dobro-znana autentifikacija
Povjerljiva autentifikacija
Kriva isporuka
Izlaganje (exposure)
Analiza toka prometa na mreži
Krivotvorenje poruka
Napadač moe
izmjeniti sadržaj poruke
promijeniti bilo koji dio sadržaja poruke
može zamjeniti cijelu poruku
ponovo upotrebiti staru poruku
izmjeniti stavrni izvor poruke
preusmjeriti poruku
uništiti ili izbrisati poruku
Izvori napada:
aktivni priključak na icu
Trojanski konj
impersonizacija
zaposjednuto računalo
zaposjednuta stanica
Šum
Hacking
Integritet koda
Greške Jave
Povezanost
Preopterećenje (Flooding)
Problemi usmjeravanja
Prekid usluge
Enkripcija
Kontrola pristupa
Zaštita portova
Automatski povratni poziv (call-back)
Različita pristupna prava
Tihi modem.
Dva problema:
impersonizacija poslužitelja
prihvat ili modifikacija podataka koji se izmjenjuju između posluitelja
ponavljanje prethodne autentifikacije
Kerberos
Korisnička stanica alje alje korisnički identitet prema Kerberos posluitelju kada se
korisnik prijavljuje na sustav.
Kerberos poslužitelj verificira ovlašetonost korisnika, te šalje dvije poruke:
Dizajn :
DCE
SESAME
Protokoli
Kontrolne sume
Paritet
Mnogo mudriji kodovi greške Na aplikacijskoj razini program moe izračunati hash
vrijednost ili kriptografsku kontrolnu sumu.
Digitalni potpisi
Javno bilježništvo
enkripcija,
kontrola pristupa,
autentifikacija korisnika,
autentifikacija distribuiranih sustava,
kontrola prometa,
integritet podataka.
Zahtjevi i rješenja
Prijetnje elektroničkoj poti:
Zaštite :
tajnost poruke ( poruka nije izložena na putu do primaoca)
integritet poruke (ono što primaoc vidi je ono što je poslano)
neodbacivanje (neporecivost) (poiljaoc se nemoe odreći da nije poslao poruku)
Format poruke:
PEM osigurava:
autentičnost
neodbacivanje
integritet (hash funkcija-MIC)
tajnost
PEM (raspoloživost)
Cambridge i University of Michigan
BBN, RSA-DSI, Trusted Information Systems
Problemi:
krajnje točke (primaoc-pošiljaoc)
upravljanje ključevima (hierarhija)
Osnova:
PEM
jednostavnost upravljanja ključevima (prsten ključeva),
prijateljski odnosi
PEM algoritmi (DES,RSA,IDEA i dr).
Problem:
- prevelik krug prijatelja (prijatelj prijatelja)
- nedirektni prijatelji
PEM je bio rani IETF standard za sigurni prijenos poruke i imao je dva nedostatka. Prvi je bio
nekompatibilnost sa MIME standardom poruke i perspektivnim PKI ( Public Key
Infrastructure) zahtjevima.
Slično PEM-u, S/MIME radije govori o specifikaciji nego o proizvodu (kao što je PGP).
S/MIME je za razliku od PEM-a uspješno zaživio na tržištu.
S/MIME izgrađen na standardu kriptiranja javnim ključem, dok PEM koristi znakovno
orijentirane protokole. To nije fundamentalna, već implementacijska razlika.
Postoje tri verzije S/MIME od kojih se samo druga i treća koriste u praksi:
Obje razlike vode u situaciju u kojoj PGP i S/MIME implementacije. nisu kompatibilne.
Kako ime govori SMIME ima zadatak osiguranja MIME entiteta. MIME entitet može biti dio
poruke, skup dijelova poruke ili cijela e-mail poruka (sa svim dijelovima ali bez zaglavlja
poruke). U svakom slučaju S/MIME se definira kako kriptografska zatita MIME entiteta
prema PCKS .
S/MIME se bazira na enkripcijskoj sintaksi poruke, tj. CMS (eng. Cryptographic Message
Syntax). CMS je izveden iz PKCS #7.
CMS je prilično općenit i S/MIME moe podravati viestruke algoritme saetka, kriptiranih
podataka, kriptiranih ključeva i digitalnih potpisa.
Treba reći da S/MIME nije ograničen na e-mail. Tako može biti korišten da osigura bilo
kakav sistem koji prenosi MIME entitete. Tako HTTP može iskoristiti S/MIME da sigurno
prenese MIME entitete između web servera i preglednika. S/MIME može biti korišten i da
sigurno izmjenjuje digitalno potpisane EDI poruke preko interneta. Čak je vrlo vjerojatno da
ćemo vidjeti alternativne aplikacije na internetu.
uvjek uključen
neprobojan
mali i dovoljno jednostavan za strogu analizu.
Vatrozid je proces koji filtrira sav promet između zatićene unutrašnje” mreže i
manje povjerljive “vanjske” mreže.
Implementacija:
Svojstva :
Svojstva:
simulira (prave) efekte aplikacije prema unutra i prema van (pseudo aplikacija)
mogućnost pregleda (zaštite) prenosa podataka, (prihvatljive komande aplikacije
stižu na odredište)
Primjeri primjene :
Tvrtka želi uspostaviti on-line listu cijena tako da outsideri mogu vidjeti proizvode s
ponuđenim cijenama. Ona eli biti sigurna da outsider ne moe mijenjati listu cijena ili
proizvoda, te da outsider može pristupiti samo listi cijena, a ne niti jednoj drugoj
osjetljivoj datoteci iznutra.
kola eli dozvoliti svojim studentima da dohvaćaju bilo koju informaciju sa WWW –a
na Internetu. Kako bi pomogla u osiguranju djelotvornije usluge, ona želi znati koji se
siteovi posjećuju, te koje se datoteke sa tih siteova dohvaćaju; pa će popularne datoteke
biti lokalno cache-irane.
Vladina agencija plaća za skupljanje statistike u korist svojih građana. Ona eli da te
informacije budu raspoloive samo građanima. Prepoznajući da ona ne moe spriječiti
građana od prosljeđivanja informacije strancu, vlada će implementirati politiku s
dozvolom isporuke podataka samo na odredište s adresama unutar zemlje.
Tvrtka s više ureda želi kriptirati dio podataka svih e-mailova na adrese svojih drugih
ureda. (Odgovarajući proxy na udaljenom kraju će odstraniti enkripciju)
Tvrtka želi dozvoliti za svoje djelatnike pristup preko biranih linija, bez izlaganja svojih
resursa od login napada od strane udaljenih nedjelatnika.
Specijalne funkcije:
prijava na sustav sa jakom autentifikacijom (pobuda-odgovor)
jedinstveno korisničko sučelje- heterogeni sustavi
Straža (Guard)
Svojstva:
sofisticirana opunomoćeni (proxy) vatrozid
pravila-raspoloživo znanje( identitet korisnika, prethodne akcije i dr.)
izračunljivost uvjeta kontrole
složenija sigurnosna politika
Primjeri primjene:
Sigurnosna stijena može zaštiti okolinu samo ako on kontrolira cijelu granicu.
Sigurnosna stijena ne štiti podatke izvan granice (perimetra).
Sigurnosne stijene su najvidljiviji dio instalacije prema vani, pa su one i najprivlačniji
cilj za napade.
Sigurnosne stijene su dizajnirani za odbijanje napada, ali oni nisu nedokučivi.
Sigurnosne stijene moraju biti ispravno konfigurirani.
Sigurnosne stijene provode samo malu kontrolu nad sadrajem koji se proslijeđuje u
unutrašnjost.
Prospojnik sa kriptiranjem
Zahtjev:
Tvrtka eli kriptirati svu elektroničku potu između svih triju strana (udaljenih
LAN-ova).
Rješenje:
Svojstva rješenja:
Motivi za VPN
Široka pokrivenost (sveprisutnost)
Smanjenje troškova
Sigurnost
E-trgovanje (E-Commerce)
VPN tehnologije
Tuneliranje
Autentifikacija
Kontrola pristupa
Sigurnost podataka
Tuneli
Tuneliranje
Integritet podataka
Tajnost
IPsec protokol
Opis tehnologije
Sučelja, veze na protokole (bindings) i formati podataka koriteni za specifični Web servis su
opisani pomoću WSDL-a (Web Service Description Language).
Struktura WSDL-a
SOAP
SOAP je vjerojatno najvažniji dio Web servis tehnologije. SOAP predstavlja apstraktan sloj
za prijenos stvarnih podataka. Točnije, specificira neutralnu reprezentaciju podataka koji se
izmjenjuju sakrivajući komunikacijske protokole koji stoje iza, kao to je HTTP ili SMTP.
Za razliku od SSL-a i HTTP-a koji osiguravaju osnovu sigurnost od točke do točke sigurni
WEB servisi moraju osigurati sigurnost od kraja do kraja , od aplikacije do aplikacije.
WS-Security
SOAP Messagge Security 1.1 Ova specifikacija opisuje poboljšanje sigurnosti SOAP
poruka kroz zaštitu integriteta, povjerljivosti poruka te kroz autentifikaciju
korištenjem jedne poruke.
Username Token Profile 1.1 Ova specifikacija opisuje kako korisnik Web servisa
dostavlja UsernameToken kao način identifikacije koritenjem "korisničkog imena" i
proizvoljnog korištenja lozinke (ili dijeljenje tajne ili nekog ekvivalenta lozinke) kako
bi se korisnik autentificirao kod dobavljača Web servisa.
X.509 Token profile 1.1 Ovaj dokument opisuje kako koristiti X.509 certifikate sa
WSS uslugama: SOAP Message Security specifikacijom.
SAML Token profile 1.1 Ova specifikacija opisuje upotrebu SAML potvrda kao
sigurnosnih tokena kroz <wsse: Security> zaglavlje koje je definirano sa WSS: SOAP
Message Security specifikacijom.
Kerberos Token Profile 1.1 ). Ova specifikacija opisuje upotrebu Kerberos (Kerb)
tokena u odnosu na WSS: SOAP Message Security specifikaciju . Posebno, ovaj
dokument definira kako kodirati Kerberos karte te kako ih spojiti na SOAP poruke.
Rights Expression Language (REL) Token profile 1.1 Ovaj dokument opisuje kako
upotrijebiti ISO/IEC 21000-5 Rights Expressions sa WSS specifikacijom. ISO/IEC
21000-5 norma definira autorizacijski model koji specificira da li semantika izraza,
koji definira prava, dozvoljava određenom subjektu da izvodi dana prava na
Kako bi sagledali što bolje sigurnost i interoperabilnost Web servisa dobro je pogledati
protokolni slog u svjetlu 7 razina mrežnog protokola.
WS-I Basic Security Profile radna grupa razvila je interoperabilni profil koji je povezan sa
sigurnoću transporta, sigurnoću razmjena SOAP poruka te ostalim osnovnim profilima koji
su orijentirani na sigurnost Web servisa.
Principi:
Jednostavno svojstvo sigurnosti (ss-property) koje kaže da niti jedan korisnik nesmije
čitati podatke na razini koja je via od one za koju je osoba ovlatena.
Svojstvo zvijezde (*-property) koje kaže da niti jedna osoba nesmije pisati podatke na
razinu koja je niža od razine na koju je osoba pristupila.
Slika 9.39 pokazuje grafički strukturu povjerljive računalne baze (trusted computing base-
TCB) za operacijski sustav.
Povjerljivo sučelje za mree razvijeno je, na način sličnom operacijskim sustavima, kako je
pokazano na slici 9.40.
odgovara za sredstva koja kontrolira
svaki host ima svoje sučelje (različito)
zatićuje se od hosta koji se priključuje bez TNI-a
Sigurna komunikacija
Ranjivost:
pristup od neovlatenih korisnika ili čvorova
impersonizacija ovlatenih korisnika ili čvorova
Mjere:
kontrola pristupa i
tehnike autentifikacije
T1 T2
Read A
A = A - 100
Read B
Write A
B = B + 10000
Read B
Write B
Commit T2
B = B + 100
Write B
Commit T1
T1 T2
Read A
Read B
A = A - 100
B = B + 10000
Write A
Write B
Commit T2
Read B
B = B + 100
Write B
Commit T1
Algoritmi za CC protokol:
dvo-fazno zaključavanje (two-phase locking) i
poredak prema vremenskom označavanju (timestamp ordering).
Vrste:
Dvo-fazni protokol potvrde završetka (2PC)
Early Prepare (EP): Optimizacija 2PC protokola
Primjer 2.2 (Zašto trebamo Commit protokol). Razmotrimo primjer iz prijašnje sekcije.
Pretpostavimo da se tekući račun (račun A) gosp. Kovača odrava u Splitu (lokacija 1) a
njegov račun za tednju (račun B) u Zagrebu (lokacija 2). Pretpostavimo da on eli povući
1000 $ sa svoga tednog računa na tekući račun. Pretpostavimo da je distribuirana transakcija
inicirana sa lokacije 1 da provede ove operacije.
Lokacija 1 Lokacija 2
Read A Read B
A = A + 1000 B = B - 1000
Write A Write B
o Pripremna faza
o Faza odluke
07/2009 FER - Zavod za primijenjeno računarstvo 282
Zaštita i sigurnost informacijskih sustava
Coordinator subordinate
Work request
Done
Prepare
Yes
Commit
Acknowledge
6n messages
Coordinator Suobordinate
Yes
Commit
Yes
Acknowledge
U obje situacije (locking i timestamping) kad god postoji natjecanje za podatkovne elemente
od strane transakcija koje se izvode sa različitih pristupnih klasa, transakcija nie pristupne
klase je ili zakašnjela ili suspendirana kako bi se osigurala ispravno izvođenje. U takvom
scenariju dvije transakcije koje se izvode na visokoj i niskoj razini mogu stvoriti kanal za
prijenos informacija sa visoke razine na nisku selektirajući neki podatkovni element prema
unaprijed usvojenom kodu.
Signalni kanal, ipak, se može ukloniti ukoliko high transakcija ne postavlja lock na low
podatak ili da oslobodi lock kada low transakcija zahtjeva low podatkovni elemenat. Slično u
slučaju TO kanal se moe ukloniti ukoliko high transakcija ne mijenja vremensku oznaku
čitanja na low podatkovnom elementu. Međutim to moe dovesti do povijesti događaja koja je
označena na slici 3.2.
Povijest događaja nije serijabilna budući je pripadni serijabilni graf sadri ciklus prikazan na
slici 3.3. (strelica od T1 prema T2 postoji zbog konfliktnih operacija r2[x] i w1[x] gdje r2[x]
prethodi w1[x], te strelica od T2 prema T1 postoji zbog konfliktnih operacija w1[y] i
r2[y].
Revidirani zahtjevi
Komercijalna rješenja
Kako tri glavana ponuđača povjerlivih DBMS-a (Sybase, Oracle i Informix) rješavaju ove
probleme.
Sybase kontrolu konkurentnih pristupa koristi obični 2PL koji kako je pokazano nije siguran.
Informix koristi rješenje koje dozvoljava da transakcija postavlja write lock na low
podatkovne elemente iako high transakcija drži read lock na tom podtakovnom elelmentu.
Istraživanja
Detekcija upada je proces praćenja događaja koji se zbivaju u računalnom sutavu ili
računalnoj mrei te njihovoj analizi za otkrivanje sigurnosnih problema.
Naziv detekcija se također koristi u vojnom okruenju za nadzor fizičkih entiteta (kao to su
komunikacijski kabeli) za detekciju provaljivanja ili drugih fizičkih izmjena. Vojni standardi
opisuju sistemske funkcije i testove za to područje.
Ovdje ćemo pod detekcijom upada smatrati funkcije praćenja (nadzora), detekcije i odgovora
koje su usmjerene na aktivnosti u računalnim sustavima i mrežama.
Arhitektura
Strategija motrenja
Vrste analiza
Detekcija zlouporabe – Stroj gleda i traži nešto što je definirano da bude "loše".
Detekcija anomalija – Stroj gleda i trai neto to je rijetko ili neobično.
Vremenski raspored
Intervalni/Batch mod
Stvarno vrijeme
Ciljevi detekcije
Odgovornost
Odgovornost (accountability) je sposobnost povezivanja aktivnosti ili događaja
unatrag sa odgovornom stranom
Odgovor
U detekciji upada, odgovor se događa kada analiza proizvede rezultat koji
zahtjeva akciju.
Problemi upravljanja
Centralizacija
Razmišljanja o upadima
Definiranje analize
Ciljevi
Podržani ciljevi
Zahtjevi
o odgovornost,
o detekcija u stvarnom vremenu i odgovor.
Podciljevi
o zadrati informaciju u formi koja podrava forenzičarsku analizu mree.
o zadržavanje znanja o performansama sustava ili identificiranje problema
koji djeluju na performanse.
o arhiviranje i zatita integriteta slogova događaja zbog zakonskih obaveza.
Detektiranje upada
Ljudski detektor
Vanjski događaji
Prethodnica upada
o napadač koji ima temeljni sustav za buduće napade
o znakovi smještaja Trojanskog konja
o probijene sistemske datoteke
o novlašteni ID u datoteci lozinki
Tvorevina upada
o njuškala (snifers) lozinki po log datotekama,
o neobjanjene greke rač. sustava,
o otećene datoteke,
o nenormalni uzorci koritenja računalnih sredstava,
o nered u zapisima za obračun,
o neuobičajena razina mrenog prometa.
Faze aktivnosti:
Rješenja:
Primjeri su:
SRI – ov IDES,
NSA-ov MIDAS,
Haystack Laboratories –ov Haystack System,
Los Almos national Laboratory –ov Wisdom & Sens (W&S),
AT&T-ov Compute Watch,
Planning Research Corporation-ov Information Security Officer's Assitant
(ISOA).
Mnogi postojeći informacijski sustavi imaju sigurnosne rupe koje ih čine ranjivim na
prijetnje upada. Često je ne moguće označiti ili ukloniti ove rupe, iz tehničkih ili
ekonomskih razloga.
Postojeći sustavi sa poznatim sigurnosnim rupama ne mogu biti lako zamijenjeni sa
sigurnim ustavima budući oni često zavise o aplikacijskom sustavu ili supstitucija
zahtjeva značajni ekonomski ili tehnički napor.
Razvoj apsolutno sigurnih sustava je ekstremno teak posao, a često i nemoguć.
Čak i jako sigurni sustavi su ranjivi na zlouporabu od strane legitimnih korisnika.
IDES je real-time sustav koji spada u kategoriju sustava koji su zasnovani na iskustvu i
učenju koje se dobiva kroz promatranje, a ne na čvrstim pravilima.
Osnove IDES-a
Pokušaj upada.
Maskiranje.
Upadi od strane legitimnih korisnika.
Širenje podataka od strane ovlaštenih korisnika.
Zaključivanje od strane ovlaštenih korisnika.
Trojanski konji.
Virusi.
Odbacivanje usluga (DoS).
Definiranje modela za detekciju upada zahtjeva profile i pravila koja treba odrediti.
Metrika
Brojač događaja
Vremenski interval
Mjerenje sredstava
Statistički modeli
avg d x stdev
Svojstva profila
Profili su definirani u odnosu na subjekte koji izvode akcije prema objektima na kojima se te
akcije izvode, te prema vrsti akcije.
Učestalost prijave.
Učestalost lokacija.
Posljednja prijava.
Trajanje sekcije.
Izlaz sekcije.
CPU po sekciji, I/O po sekciji, stranice po sekciji, i td.
Greške lozinki.
Greške lokacija.
Učestalost izvođenja.
CPU po programu, I/O po programu, i td.
Odbačeno izvođenje.
Zasićenje programskih resursa.
Prijetnje upada;
Maskiranje;
Upad u sustav od strane vanjskih korisnika;
Prijetnje zaključivanja i agregacije;
Kanale za širenje informacija: prate se dva tipa tajnih kanala: memorijski kanali,
koji uključuju zasićenje računalnih sredstava i izuzetnih uvjeta; te vremenskih
kanala (koji vode do zakljiučivanja o svojstvima korištenja sistemskog vremena);
Odbacivanje usluga (DoS);
Popratni efekti: prouzročeni virusima, crvima, ili sličnim programima koji dovode
do DoS ili otećenja podataka i programa.
IDES model
IDES sigurnosni model sadri slijedeće elemente (slika 6.3):
sustava. Taj uvjet može biti, pored jasnog opravdanja za odbijanje servisa koji
se vraća korisniku, i slijedeći motiv koji se ne vraća korisniku iz sigurnosnih
razloga (budući korisnik iz toga moe zaključiti na informaciju iz danog
motiva);
Korištenje sredstava: Lista kvantitativnih elemenata od kojih svaki daje iznos
korištenja svakog sredstva. Na primjer, broj linija ili štamapnih stranica, broj
pročitanih/zapisanih slogova, vrijeme koritenja CPU-a ili I/O jedinica, trajanje
sekcije;
Vrijeme: pojava akcije izvođenja
(ime varijable, uzorak akcije, uzorak izuzeća, uzorak koritenja sredstava, period, tip
varijable, prag, uzorak subjekta, uzorak objekta, vrijednost)
gdje je:
gdje je:
6. Pravila za izvođenje aktivnosti: ona opisuju akcije koje se moraju izvesti kada su
zadovoljeni dani uvjeti.
Modeli profila su uzorci koji se koriste za definiranje novih profila aktivnosti. Dakle,
svaki profil aktivnosti je kreiran na osnovi nekog modela profila, uz specifikaciju
subjekta i objekta na koji se profil odnosi.
Procesi koji implementiraju IDES komuniciraju jedan sa drugim kroz bazu IDES-a. Oni su:
. IDES prototip radi na drugom stroju od nadgledanog sustava. To donosi prednosti u smislu:
IDES je pokazao:
Ova familija normi pomae organizacijama svih vrsti i veličina da implementiraju i pogone
ISMS a sastoji se se od slijedećih normi pod općim nazivom: Information technology -
Security techniques:
Međunarodne norme koje nisu pod gore navedenim općim nazivom, a također pripadaju
ISMS familiji normi su:
Što je to ISMS ?
Procesni pristup
Procesno rješenje za ISMS koje je korišteno u ISMS familiji normi , a koje je bazirano na
principu na koje radi ISO sustavi upravljanja je općenito poznat kao Plan-Do-Check-Act
(PDCA) proces (Deming-ov ciklus) :
Uspješno usvajanje i uspostava ISMS-a je važno zbog zaštite informacijske imovine što
omogućuje organizaciji da:
Organizacija treba odravati i unapređivati ISMS kroz nadzor i procjenu performansi prema
sigurnosnoj politici organizacije i njenim ciljevima, te treba izvještavati upravu za ocjenu
postignutih rezultata.
Velik je broj kritičnih faktora za uspjeh implementacije ISMS-a kako bi organizacija ostavrila
svoje poslovne ciljeve. Primjeri kritičnih faktora uspjeha su:
Zahtjevi za dokumentaciju
Kontrola dokumenata
Dokumenti zahtijevani od ISMS-a moraju biti zatićeni i kontrolirani
Kontrola zapisa
Moraju se uspostaviti i odravati zapisi koji pruaju dokaze o usklađenosti sa zahtjevima i
efikasnom radu ISMS-a.
Odgovornost uprave
Obveza uprave
Upravljanje sredstvima
Dodjeljivanje sredstava
Obučavanje, razina svijesti i stručnosti
Unapređivanje ISMS-a
Kontinuirano unapređivanje
Korektivna aktivnost
o Identificiranje nesukladnosti;
o Ustanovljavanje uzroka nesukladnosti;
o Procjenu potrebe za aktivnostima koje bi osigurale da se nesukladnost ne
ponovi;
o Ustanovljavanje i implementiranje potrebnih korektivnih akcija;
o Zapisivanje rezultata poduzetih aktivnosti (vidi 4.3.3): i
o Provjeru poduzete aktivnosti
Preventive aktivnosti
o Identificiranje potencijalnih nesukladnosti i njihovih uzroka;
o Vrednovanje potrebe za poduzimanjem aktivnosti za spriječavanje pojave
nesukladnosti;
o Zapisivanje rezultata poduzete aktivnosti /vidi 4.3.3); i
o Kontrola poduzete preventivne aktivnosti.
Kontrola
Određuje specifični kontrolni iskaz za zadovoljenje cilja kontrole.
Smjernice za primjenu
Sadrže detaljnije informacije koje podržavaju primjenu kontrola i postizanje cilja kontrole.
Neke od smjernica moda nisu pogodne u svim slučajevima i zato neki drugi načini primjene
kontrole mogu biti primjereniji.
Ostale informacije
Sadrže dodatne informacije koje je možda potrebno razmotriti, primjerice zakonske okvire i
reference na druge standarde.
Politika sigurnosti
Unutarnja organizacija
Vanjski suradnici
Upravljanje imovinom
Odgovornost za imovinu
Klasifikacija informacija
Prije zaposlenja
Tijekom zaposlenja
podršku sigurnosnoj politici organizacije tijekom njihovog normalnog rada i smanjiti rizik
ljudske greške.
Osigurana područja
Sigurnost opreme
Cilj: Sprječavanje gubitka, otećenja, krađe ili ugroavanja imovine i prekida aktivnosti
organizacije.
Sigurnosne kopije
Rukovanje medijima
Razmjena informacija
07/2009 FER - Zavod za primijenjeno računarstvo 310
Zaštita i sigurnost informacijskih sustava
Nadzor
Kontrola pristupa
Odgovornosti korisnika
Cilj: Ostvariti informacijsku sigurnost pri uporabi mobilnih računala i opreme za rad na
daljinu.
Kriptografske kontrole
Sukladnost
Cilj: Sprječavanje krenja svih pravnih, zakonskih, regulativnih ili ugovornih obveza i
sigurnosnih zahtjeva.
Ciljevi
Procesi
Plana i pripreme
Upotrebe
Pregleda i analize
Poboljšanja
Plan i priprema
Upotreba
Pregled i analiza
Poboljšanje
o Naknadni odgovor
o Iniciranje ¨kriznih˝ aktivnosti
o Kriteriji za eskalaciju incidenta
o Tko je odgovoran
Potreba da su sve aktivnosti ispravno zapisane za kasniju analizu, te da se provodi
kontinuirani nadzor
Aktivnosti nakon rjeavanja sigurnosnog incidenta to uključuje učenje i poboljanje
nakon sigurnosnog incidenta
Detalje o smještaju dokumentacije o shemi upravljanja sigurnosnim incidentima
uključujući i procedure
Pregled Tima za odgovor na sigurnosne incidente (ISIRT)
Pregled programa za podizanje svijesti i obuku za upravljanje sigurnosnim
incidentima
Sumarni pregled zakonskih i drugih propisa koji se trebaju uzeti u obzir.
Sigurnosni incidenti mogu biti namjerni ili nesretni događaji (kao to su tehničke greke
sklopova ili djelovanje prirode) prouzročeni na tehnički ili fizički način.
Postoje dvije vrste DoS incidenata: eliminacija usluge ili njena potrošenost.
Neki DoS incidenti mogu biti prouzročeni slučajno kao to je primjer loeg konfiguriranja
sustava ili nekompatibilnost softwarea. Neki DoS incidenti su namjerno lansirani kako bi
srušili sustav, servis ili mrežu, dok ostali mogu bit rezultat ostalih zlonamjernih aktivnosti.
Skupljanje informacija
Postojanje mete napada, saznanje o topologiji mreže koja ju okružuje, te sa kime meta
obično komunicira
Potencijalna ranjivost mete napada ili njezinog mrežng okruženja koja se može odmah
eksploatirati
Neovlašteni pristup
Ova kategorija incidenta uključuje one koji ne spadaju u prve dvije kategorije. Općenito ova
se kategorija incidenta sastoji od stvarno neautoriziranih pokušaja pristupa ili zlouporabe
sustava, servisa i mreže.
Korisnik/ Grupa za
Izvor operativnu Interni ISIRT Organizacija
podršku za krizne
(24x7) situcije
Događaj uključujući
eksterni
Detekcija
ISIRT
Detekcija i
izvješćivanje Izvještaj
Prikupljanje
informacija
Ocjena i odluka
Prva ocjena
NE DA
Relevantno?
Druga ocjena
NE
Relevantno?
DA
Pozitivna
greška
NE NE
DA DA
Odgovor
Naknadni odgovori Krizne aktivnosti
Pregled/Analiza
Poboljšanje
Dijagram toka obrade sigurnosnog događaja i incidenta
Detekcija i izvjećivanje
Sigurnosni incident se može detektirati direktno od osoblja koje je nešto zapazilo što bi moglo
biti vano, bilo da je tehničke, fizičke ili proceduralne prirode. Detekcija moe biti također od
detektora vatre/dima ili alarma provale sa prethodno definiranom lokacijom za uzbunjivanje
za ljudsku akciju. Sigurnosni događaji tehničke prirode mogu se detektirati automatski od na
primjer sigurnosne stijene, sustava za detekciju upada, antivirusnih alata i dr.
Druga ocjena i potvrda sigurnosnog incidenta je zadaća ISIRT tima. Osoba unutar ISIRT tima
koja zaprima izvjeće o sigurnosnom incidentu treba:
Potvrditi prijem obrasca za sigurnosni incident koji treba to je moguće prije biti
završen od Odjela za sigurnost (Grupe za operativnu podršku)
Unijeti obrazac u bazu događaja/incidenta
Zatražiti sva eventualna pojašnjenja od operativne grupe,
Pregledati sadraj tog izvjeća
Prikupiti sve daljnje informacije koje su raspoložive, bilo od operativne grupe za
podrku, osobe koja je ispunila izvjeće o sigurnosnom događaju ili drugog izvora.
Odgovori na incidente:
Neposredan odgovor
Incident pod kontrolom ?
Naknadni odgovori
Krizne aktivnosti
Forenzička analiza
Komunikacije
Eskalacija
Zapisi i upravljanje promjenama
Datum događaja
Broj događaja (osigurava Odjel za sigurnost i ISIRT)
Podatci o osobi koja podnosi izvjeće
Opis sigurnosnog događaja
Detalji sigurnosnog događaja
Datum incidenta
Broj incidenta (osigurava ISIRT, a povezuje se s brojem sigurnosnog događaja)
Detalji o članu grupe za podrku radu sustava (analitičar sigurnosnog događaja -
identificira sigurnosni incident)
Detalji o članu Tima za odgovor na sigurnosne incidente (ISIRT)
Opis sigurnosnog incidenta
Detalji o sigurnosnom incidentu
Vrsta sigurnosnog incidenta
Koja su sredstva pogođena incidentom
Neželjeni efekti i posljedice na poslovanje.
Ukupna cijena troškova oporavka od incidenta.
Rješenje incidenta
Uključene osobe i počinitelji incidenta
Opis počinitelja
Stvarna ili percipirana motivacija
Poduzete akcije na rješavanju incidenta
Planirane akcije za rješavanje incidenta
Neriješene akcije (zahtijevaju istraživanje od drugih osoba)
Zaključak
Popis osoba ili entiteta koji su obaviješteni
Uključene osobe
Ciljevi BC programa
Websterov riječnik: ˝Katasrofa je neeljeni događaj , posebno onaj koji se dogodi iznennada
te koji prouzrokuje velike gubitke ljudskih ivota, velika otećenja i nevolje, kao to su
poplave, pad aviona ili greka u poslovanju˝.
Vano je uočiti da ova definicija povezuje katastrofu s grekom poslovanja.
Primjer:
Poslovna funkcija; Usluge za korisnike
Poslovni procesi: upravljanje novim korisničkim računima, povratak proizvoda, provjera
korisičke plativosti
Poslovna katastrofa
Prirodni
o Snježna oluja
o Potres
o Haricine
o Poplave
o Smrtonosne bolesti
Statistika o katastrofama
Važnost BC programa
Komponente BC programa
Razvoj BC programa
ER plan (Emergency Response Plan) sadrži smjernice i procedure koje slijede odmah iza
pojave dizastera kako bi:
1. Spriječili gubitak ljudskih ivota i ranjavanje
2. Smanjili štetu nad imovinom organizacije
Ljude
Kritične poslovne procese, ne samo na oporavak IT-a
Kritične resurse i servise koji podupiru kritične poslovne procese
Prirodne, ljudske i tehničke kategorije izvora dizastera
Velikim katastrofama
Manjim prekidima rada sustava
Razlozi za BC program
Preživljavanje poslovanja
Sprečavanje gubitka ljudskih ivota ili ranjavanja
Sprečavanje gubitka u prihodu organizacija
teta na kritičnim resursima
Minimiziranje tete na kritičnim resursima nakon pojave dizastera
Zatita poslovne reputacije, u smislu povjerenja u upravljanje te imiđ i brand.
Usklađenost sa zakonima i propisima koji se odnose na poslovanje.
Zaštita od kaznene i prekršajne odgovornosti
Usklađenost sa ugovorima i SLA sporazumima.
Fokus
Preventiva
Plan
Zaštita
Proces slijedi četiri glavna principa koji se implementiraju u BC programu kroz proces
planiranja u šest koraka:
1. Upravljanje rizikom
2. Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
3. Razvoj strategije kontinuiranog poslovanja
4. Razvoj BC plana
5. Testiranje BC plana
6. Održavanje BC plana
BC plan
Testiranje Upravljanje
BC plana
5 1 rizikom
Održavanje
BC plana
Razvoj BC
plana
4 2 BIA
Razvoj BC
strategije
Preventiva Plan
Fokus Zaštita
Ciljevi BC programa
Upravljanje rizikom
Procjena prijetnji i rizika za kontinuitet poslovanja
Upravljanjem rizikom koji prijeti kontinutetu poslovanja
Razvoj BC plana
Zatita ključnih procesa i sredstava od različitih prijetnji i rizika
Oporavak ključnih poslovnih procesa i resursa od dizastera na siguran i
vremenski privaćen način
Testiranje BC plana
Testirati izrađen BC plan kako bi se osiguralo da je plan
Testiranje sposobnosti i učinkovitosti tima za oporavak
Testiranje učinkovitosti i sposobnosti dobavljača robe i usluga
Održavanje BC plana
Odravati plan u spremnom stanju za njegovo izvođenje cijelo vrijeme, a za
slučaj pojave neočekivanog prekida poslovanja
poslovanja standardima
Upravljanje
BCP Proces
rizicima
Utjecaj na Testiranje
poslovanje - BC plana
BIA
Razvoj BC Održavanje i
strategije redovito
testiranaje BC
plana
Razvoj BC plana
BCM politika
Opseg BC programa
BCP proces
Aktivnost BCP procesa su:
1) Upravljanje rizikom
2) Analiza posljedica na poslovanje (BIA – Business Impact Analysis)
3) Razvoj strategije kontinuiranog poslovanja
4) Razvoj BC plana
5) Testiranje BC plana
6) Održavanje BC plana
Upravljanje rizikom
Vremenski periodi:
MTD je dužina vremena za koju poslovni proces može biti neraspoloživ prije nego
organizacija pretrpi značajne gubitke. MTD odgovara vremenskom periodu između
prekidnog događaja i početka normalnog poslovanja.
RPO se odnosi na toleranciju gubitka podataka mjereno kroz vremeske jedinice, tj kao
vrijeme između posljednjeg backupa i prekidnog događaja. RPO je indikator koliko
mnogo podataka se može oporaviti jednom kada su sustavi oporavljeni i ažurirani sa
backupiranim podatcima .
Optimalna strategija
Strateška rješenja
Izvođenje
ERP
Stabilizacija
Upravljanje BCP
Početni
odgovor i
obavješći Procjena
vanje problema i
eskalacija Deklaracija Logistika
1. faza prekida implementacije
plana
2. faza
3. faza
Primarna 4. faza Oporavak i nastavak
lokacija poslovanja
Centar za
upravljanje 5. faza Normalizacija
krizom
Alternativna IT 6. faza
lokacija, radni prostor
i proizvodnja Cold Site ili
originalna lokacija
Alternativna
BC Upravljački
BC Upravljački tim lokacija za
tim
proizvodnju
BC timovi BC timovi
BC timovi
Testiranje BC plana
Održavanje BC plana
1. U uvjetima gdje nekoliko korisnika dijeli pristup jednoj bazi podataka, kako se može
dogoditi neograničeno odlaganje pristupa (zastoj) ? Opišite scenarij u kojem dva korisnika
mogu dovesti do neograničenog odlaganja svojih zahtjeva.
3. Objasnite razliku između implicitnih i eksplicitnih tokova podataka. Koje relacije između
sigurnosnih klasa objekata (varijabli) moraju biti ispunjene da bi tokovi bili sigurni ? Koji
problemi mogu nastupiti kod implicitnih tokova ?
4. Koja najniža klasa (grupa) prema DoD kriterijima zadovoljava zahtjeve mandatne kontrole
pristupa ? Koja je to funkcija koja se mora realizirati da bi se zadovoljili sigurnosni kriteriji za
tu klasu?
6. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti
moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2.
10. Koja svojstva treba zadovoljiti protokol izvođenja digitalnog potpisa ? Kako se to
rješava?
11. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te to znači kvaliteta
virusa?
12. Koja svojstva mora zadovoljiti sigurnosna jezgra operacijskog sustava ? Koje su funkcije
podržane unutar sigurnosne jezgre, te koje su prednosti takvog rješenja izgradnje povjerljivog
operacijskog sustava ?
13. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su
prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?
14. Koji su glavni sigurnosni zahtjevi koji se postavljaju na sustav za upravljanje sa bazom
podataka (DBMS). Koji su principi integriteta prema Sandhu i Jajodia ?
15. Opišite metodologiju projektiranja sigurne baze podataka. Navedite neke od važnih
smjernica u odabiru i implementaciji sigurnosnih mehanizama.
16. Usporedite svojstva enkripcije u očuvanju sigurnosti računalnih mrea (enkripcija veze i
enkripcija sa kraja na kraja) za sigurnost unutar računala u mrei, prema ulozi korisnika, te
prema načinu implementacije.
17. Koji sigurnosni problemi proizlaze iz praćenja prometa na mrei te kako se oni rjeavaju?
18. Koji su prijetnje sigurnosti i zahtjevi na zatitu elektroničke pote? Kako se to rješava
primjenom PEM (Privacy Enhanced (Electronic) Mail) elektroničke pote ? Koji su nedostatci
ove primjene i kako se oni rješavaju ?
19. Opiite svojstva i rad zatićenih usmjerivača (screening routers) te navedite arhitekturu i
primjer primjene.
20. to je sadraj plana sigurnosti (taktičkog plana izvedbe) , to plan razrađuje, to je potpora
planu, te kakav je sastav tima za izradu plana?
22. Zašto Clipper protokol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod
ključem familije F ?
25. Opiite razliku između ranjivosti, prijetnje i kontrole sigurnosti informacijskog sustava.
Navedite odgovarajuće primjere koji su međusobno povezani kroz sve tri razine.
26. Navedite barem tri primjera štete koju podnosi tvrtka koja prolazi kroz napad na integritet
programa ili podataka tvrtke.
28. Koja svojstva čine postupak kriptiranja podataka potpuno "neprobojnim" (zatićenim) ?
30. Objasnite zašto produkt dvije relativno jednostavne šifre, kao što su supstitucija i
transpozicija moe postići veći stupanj sigurnosti.
31. Kod enkripcije javnog ključa, pretpostavimo da A eli poslati poruku B. Neka su A PUB i
APRIV javni i privatni ključ od A; slično vrijedi i za B. Pretpostavimo da C zna oba javna
ključa, ali niti jedan privatni. Ako A šalje poruku na B, koju enkripciju treba A upotrijebiti
kako bi samo B mogao dekriptirati poruku ? (to je svojstvo tajnosti). Može li A kriptirati
poruku tako da bilo tko primi poruku bude siguran da je poruka stigla samo od A ? (to je
svojstvo autentičnosti). Moe li A postići i autentičnost i tajnost za jednu poruku ? Kako, ili
zašto ne ?
32. Prva predloena kriptografska funkcija plombiranja (zbroj numeričkih vrijednosti svih
bytova poruke) imala je ozbiljne sigurnosnu rupu: izmjena pozicije dva bajta poruke neće se
detektirati ovom funkcijom. Predloite alternativnu funkciju koja neće imati tu slabost.
33. Objasnite zašto protokol digitalnog potpisa koji koristi kriptiranje upotrebom javnog
ključa sprečava primaoca od krivotvorenja poruke poiljaoca , koristeći javni ključ poiljaoca.
34. Zato Clipper protocol kriptira ključ poruke K ,kako pod ključem jedinice U tako i pod
ključem familije F ?
35. Koristeći potvrdu u dva koraka (two-step commit), opišite kako izbjegnuti pridruživanje
jednog sjedala (npr. u rezrvaciji sjedala zrakoplova). To jest, navedite precizno korake koje
treba provesti sustav za upravljanje sa bazom podataka (DBMS) u dodjeli sjedala putnicima.
38. Objasnite nedostatke particioniranja kao načina uvođenja vierazinske sigurnosti za baze
podataka.
40. Korisnik želi uspostaviti tajni kanal sa kontrolom i analizom ukupnog prometa na mreži.
Na kojoj razini OSI protokola se ta analiza treba provesti i zašto ?
41. Proirljivost je prednost koritenja mrea: novi čvorovi se mogu lako dodavati u mreu.
Na koje sigurnosne nedostake to ukazuje ?
42. Gdje (i koliko puta za vrijeme prijenosa) je poruka izložena otkrivanju ako je ona
zatićena koritenjem enkripcije veze ? Gdje je poruka izloena otkrivanju ako se koristi
enkripcija sa kraja na kraj ?
43. Koja su pitanja sigurnosti komunikacija važna u razmatranju lokalnih računalnih mrea
(LAN) ? Koja su važna u konvencionalnim globalnim mrežama (WAN) ? Koja su pitanja
sigurnosti važna za komunikacije striktno unutar jedne zgrade ?
45. Objasnite kako se jednostavno svojstvo (ss) i *svojstvo Bell-La Padula sigurnosnog
modela odnose prema sigurnosti komunikacija.
46. Objasnite zašto je zapis o događajima (audit trail) nesiguran na osobnim računalima bez
upotrebe privilegiranog moda izvođenja.
48. Koji se mehanizmi koriste za kontrolu toka podataka za vrijeme izvođenja, programa, te
koje relacije moraju zadovoljiti sigurnosne klase objekata u instrukcijama pridruženja te u
kondicionalnim instrukcijama. Da li su implicitni tokovi uvijek sigurni ? Zašto da , ili zašto
ne?
50. Kako se dijele matemtički modeli sigurnosti , te koji su im osnovi elementi ? Koji od
modela je najprimjereniji za uvođenje sigurnosti relacionih baza podataka sa vierazinskim
pristupom i zašto ?
55. Navedite i objasnite aksiome Bell – La Padula-ovog modela sigurnosti. Na koje ciljeve
sigurnosti (tajnost, integritet, raspoloživost) se oni primarno odnose ? Da li se mogu
primjeniti na sve ciljeve ? Ako da, kako i gdje ?
56. Objasnite kako su definirane pristupne klase Sea View modela sigurnosti, te koji uvjeti
moraju biti ispunjeni za relaciju dominacije klase C1 nad klasom C2.
57. Nacrtajte sigurnosnu rešetku za Bell-La Padula model sigurnosti za klasifikaciju (TS-Vrlo
tajno, T- tajno, C- povjeljivo, U-neklasificirano), te za skup kategorija (a, b). Odredite
najmanju gornju granicu (H) , te naveću donju granicu (L) sigurnosnih klasa.
59. Opišite kako radi Sigurni hash algoritam (SHA). Koje su njegove primjene ?
60. Opiite rad Clipper programa, postupka zalonog ključa. Koje su njegove prednosti i
mane?
61. Što je protokol kriptiranja ? Koja su glavna svojstva dobrog protokola kriptiranja ?
62. Prikaite protokol asimetrične izmjene ključa preko posluitelj računala ? Koji su
nedostaci takvog protokola, te kako se mogu riješiti ?
63. Koja svojstva treba zadovoliti protokol izvođenja digitalnog potpisa ? Kako se to rjeava?
64. Navedite vrste programskih greaka, te razloge zbog kojih ne moemo izbjeći sve
programske greške .
65. Kako se virusi priključuju na programe , kako preuzimaju kontrolu , te to znači kvaliteta
virusa?
68. Navedite i opišite skup kategorija zahtjeva koji su postavljeni "DoD" kriterijima.
69. Navedite i objasnite koji su sigurnosni problemi u radu sa bazama podataka. Koje su
prijetnje na sigurnost, te koji su zahtjevi na zaštitu sigurnosti baza podataka ?
70. Koje su moguće politike kontrole pristupa objektima baze podataka , te koja je razlika
između otvorenih i zatvorenih sustava ?
72. Objasnite to je to osjetljivost, koji su faktori koji podatake čine osjetljivim, te koje su
vrste otkrivanja takovih podataka. Kakav je odnos sigurnosti, preciznosti i osjetljivosti ?
74. Koje su metode zaštite sigurnosti višerazinskih baza podataka ? Koje su njihove prednosti
i mane ?
75. Opišite upotrebu komutativnih filtera u zaštiti višerazinskih baza podataka, te navedite
primjer jednog upita koji se time regulira.
76. Koje su razlike između operacijskih sustava i sutava za upravljanje bazom podatataka
(DBMS) u pogledu sigurnosnih problema i njihovog rješavanja ? Navedite i opišite barem
četiri.
77. Opišite zaštitu objekata baze podataka primjenom autorizacijskog modela (Sistem R).
Kako se provodi postupak opoziva prava ? Kako je provedena implementacija, te koja su
proširenja modela ?
78. Navedite i objasnite koji su sigurnosni problemi, prijetnje te kategorije prijetnji sigurnosti
računalnih mrea i distribuiranih sustava.
82. Opišite Walker-ov dizajn sigurnosne arhitekture višerazinske mreže. Kako se provodi
komunikacija sa nepovjerljivim hostom ? Navedite primjere sigurne komunikacije prema
Bell-La Padula-ovom modelu.
83. Objasnite što je sigurnosna brana (firewall). Koje su strategije implementacije, koje su
vrste, te njihova usporedna svojstva?
86. to je sadraj plana sigurnosti (taktičkog plana izvedbe) , to plan razrađuje, to je potpora
planu, te kakv je sastav tima za izradu plana?