Osmo poglavlje
Download
Report
Transcript Osmo poglavlje
INFORMATIZACIJA
POSLOVANJA
pred. mr. sc. Tatjana Listeš, dipl. inž.
[email protected]
Tatjana Listeš
Materijali:
Skripta:Klasić K.:
” Informatizacija poslovanja” , Veleučilište u
Splitu, Zagreb, svibanj, 2002.
Predavanja:
http://moodle.oss.unist.hr/
8. SIGURNOST I ZAŠTITA INFORMACIJSKOG SUSTAVA
8.1. I RAZINA ZAŠTITE IS
8.2. II RAZINA ZAŠTITE IS
8.3. III RAZINA ZAŠTITE IS
Rizik informatičko/internetske tehnologije je opasnost da
njezina primjena dovede do neželjenih posljedica (šteta) u
organizacijskom sustavu i/ili njegovoj okolini.
Do zloporabe uglavnom dolazi iz dva razloga: radi
ostvarivanja neopravdanih ili protupravnih koristi od strane
pojedinaca ili organiziranih skupina ili radi nanošenja
materijalne ili nematerijalne štete pojedincu, skupini ili
zajednici.
Najugroženiji su informacijski sustavi iz kojih se može
pristupiti Internetu, jer je i sam Internet izuzetno ugrožen.
Rezultat istraživanja tvrtke Computer Security Institute o razini
kriminala samo u San Franciscu 2000. god. dalo je sljedeće
rezultate:
• 273 poslovna sustava su prijavila 2000. godine napad na
svoje baze podataka, a izravna šteta iznosi 265 589 940 $
• 90 % poslovnih subjekata i vladinih institucija smatrale su da
je povećan broj napada i provala sustava zaštite tijekom
posljednjih godinu dana, od čega
− u 70 % napadi virusa, krađe putem računala ili pokušaj
napada na podatke
− u 74 % slučajeva prijavljen je i financijski gubitak kao
posljedica prodora u računalni sustav
− u 42 % slučajeva bilo je moguće kvantificirati financijski
gubitak.
Istraživanje o elektronskom poslovanju korištenjem Interneta u
Evropi u 2000. godini pokazalo je da:
• 93 % tvrtki ima web stranice
• 43 % koristi neki oblik elektroničkog poslovanja
• 19 % ima problema s uočavanjem i otklanjanjem
neovlaštenog pristupa
• u 32 % tvrtki nisu upoznati s ograničenjima u smislu
neautoriziranog pristupa
• u 35 % slučajeva utvrđen je identitet napadača ali je
procesuirano svega 2-5 incidenata
• u 19 % tvrtki prijavljeno je 10 ili više incidenata
• 64 % tvrtki pretrpjelo je štete od napada na web stranice ili
preko web stranica
• u 60 % prijava navedena je nemogućnost rada i korištenja
poslužiteljem zbog posljedica napada na informacijski
sustav itd.
Najčešći oblici zloporabe informacijske tehnologije u
praksi su:
• zloporaba inače legalnih ovlasti korisnika opreme,
• napadi tzv. hakera,
• računalni virusi,
• ilegalni fizički pristup opremi i podacima,
• djelomično ili potpuno onesposobljavanje opreme,
• krađa opreme,
• modifikacija opreme,
• ugrožavanje privatnosti korisnika informacijskog sustava,
• ometanje normalnog rada opreme,
• neovlaštena uporaba opreme,
• softversko piratstvo odnosno neovlašteno korištenje i
distribucija računalnih programa i povreda autorskih prava,
• fizički napadi na osoblje informacijskog sustava.
Rizik zloporabe nije moguće u potpunosti spriječiti, ali ga je
moguće minimalizirati poduzimanjem općih preventivnih
mjera:
• zaštita tajnosti podataka pohranjenih na računalnim
memorijskim medijima, pri čemu je najpouzdanija enkripcija
• kontrola vrste ostvarenih veza s ostalim subjektima na
Internetu,
• zaštita privatnosti pojedinca,
• zaštita od prijevara u poslu,
• zaštita od obasipanja neželjenim porukama,
• zaštita tajnosti enkripcijskih i identifikacijskih ključeva
• redovito provjeravanje postojanja neka vrste "zloćudnog"
koda (računalni virus ili crv) koji se u pravilu lijepi na
računalni program kako bi preuzeo kontrolu pri njegovom
sljedećem izvođenju,
• razviti u tvrtkama odgovarajuću sigurnosnu politiku i
primorati sve djelatnike da se pridržavaju njezinih odrednica.
Osim preventivnih mjera provodi se i fizička zaštita
informacijskog sustava, koju čine:
• kontrola nenamjernog i namjernog ugrožavanja fizičke
imovine informacijskog sustava (od prirodnih nepogoda,
požara i zlonamjernih aktivnosti), u što su uključena
računala i ostala oprema,
• kontrola zlonamjernog ugrožavanja logičke imovine
informacijskog sustava odnosno diskova, medija, podataka
na računalu,
• provođenje mjera zaštite pristupa informacijskom sustavu
kroz:
− aktivnosti identifikacije korisnika koja se provodi putem
lozinke (engl. Password) korisnika, i
− aktivnosti provjere ovlaštenosti (autoriziranosti) korisnika
koja se obavlja programski, na temelju unaprijed
definiranih parametara za svakog korisnika.
Mogu se definirati tri osnovne razine organizacije sigurnosti i
zaštite informacijskog sustava:
I razina, na kojoj se uklanjaju rizici fizičke naravi uvođenjem
sljedećih postupaka:
• kontrola fizičkog pristupa opremi i prostorijama s
računalima,
• protupožarna, protupotresna, protupoplavna zaštita opreme
i podataka,
• osiguranje neprekinutog napajanja računala električnom
energijom,
• zaštita od prljavštine, prašine, elektrostatičkog naboja,
• redovita izrada zaštitnih verzija podataka (engl. Backup).
II razina, na kojoj se uklanjaju rizici moguće zloporabe
informacijskog sustava ili neovlaštenog pristupa podacima, a
temelji se na fizičkoj i logičkoj identifikaciji korisnika te
dodatnim provjerama ovlaštenja u pojedinim koracima obrade
podataka.
III razina, koja je usmjerena na osobito važne i vrijedne
podatke i informacije u sustavu, na očuvanje njihove tajnosti i
sigurnosti, a temelji se na kriptografskim metodama.
8.1. I razina zaštite IS
Imovina firme smatra se sigurnom onda kada su gubici za
koje se očekuje da će nastati u nekom određenom
vremenskom razdoblju na nekoj prihvatljivoj razini.
Temeljne pretpostavke sigurnosne kontrole su:
• Pretpostavlja se da će sigurno doći do gubitaka jer je sve
opasnosti koje mogu ugrožavati sustav ili nemoguće ili
preskupo izbjeći
• Pretpostavlja se da firma ima unaprijed određenu razinu
prihvatljivih gubitaka odnosno da se točno zna koliko je
spremna potrošiti na uspostavljanje i provođenje
sigurnosnih kontrola
• Pretpostavlja se da će do gubitaka doći u određenom
vremenskom razdoblju i samo za njega se određuje ukupan
mogući iznos prihvatljivih troškova
Sigurnosna kontrola pokriva:
• kontrolu nenamjernog i namjernog ugrožavanja fizičke
imovine informacijskog sustava,
• kontrolu zlonamjernog ugrožavanja logičke imovine
informacijskog sustava
• zaštitu fizičke i logičke imovine informacijskog sustava od
požara, udara groma, poplave i ostalih opasnosti
Fizičku zaštitu čine sredstva i procedure koje se koriste za
zaštitu fizičke imovine poduzeća s ciljem prevencije i
ograničavanja mogućih šteta, te za uspostavljanje sigurnog
radnog okoliša za zaposlenike.
Vanjski rizici kojima može biti izložen informacijski sustav
Unutarnji rizici kojima može biti izložen informacijski sustav
S obzirom na visoku cijenu zaštite sustava kriteriji kojima se
mjeri učinkovitost postavljenih zapreka su:
• potrebno vrijeme i troškovi za njihovo probijanje,
• brzina otkrivanja pokušaja provale,
• točnost lociranja i identificiranja prijetnje i provalnika,
neometanje drugih mjera zaštite i redovitog poslovanja,
• transparentnost za ovlaštene osobe.
Često se događa da preoštre mjere zaštite ometaju redovan
rad sustava, pa se onda od njih nakon nekog vremena u
potpunosti odustaje.
Zaštiti fizičke imovine informacijskog sustava različito se
pristupa ako se radio o:
• računskom centru
• opremi koja se nalazi distribuirana u poslovnim prostorima
poduzeća.
U većim poslovnim sustavima zaštita fizičke imovine
informacijskog sustava određena je posebnim pravilnikom o
zaštiti informacijskog sustava. Ponekad su u nj uključeni i
elementi zaštite logičke imovine, no u tom području odredbe o
postupanju propisuju i nadziru informatičari - specijalisti za
sigurnost podataka i sustava. U pravilnik o fizičkoj zaštiti
obično se uključuje i manipuliranje magnetskim medijima, što
znači izrada, distribucija i pohrana magnetskih medija sa
podacima. Preporuka je da se čuvaju u vatrootpornim
sefovima i ormarima, posebno sigurnosne kopije koje
omogućuju rekonstrukciju sustava u slučaju zgode ili
zlonamjernog napada.
Pravilnikom također moraju biti propisane mjere koje treba
poduzeti ako dođe do štete.
8.2. II razina zaštite IS
Zaštita podataka pohranjenih na magnetskom mediju
računala mora se provoditi na različite načine, ovisno o
odgovornosti djelatnika i organizaciji podataka:
1. zaštita od neovlaštenog pristupa podacima i njihova
kopiranja ili krađe, pri čemu napadač može biti zaposlenik
tvrtke ili haker koji pristupa putem Interneta.
Stoga treba provoditi sljedeće:
• računalo se ne smije iznositi iz tvrtke bez da su obrisani
poslovni podaci sa diska računala,
• prijenosni magnetski mediji (diskete, CD, DVD, trake itd.)
ne smiju se prenositi bez odgovarajuće zaštite podataka
• podaci koji se prenose komunikacijskim linijama također
moraju biti zaštićeni od moguće krađe i zloporabe.
Zaštita intraneta i ekstraneta od upada sa Interneta provodi se
putem posebnih sigurnosnih stijena ili "vatrenih zidova"
(engl. firewall).
Sigurnosni zid dopušta izlaz svim korisnicima intraneta na
Internet, a sa Interneta dopušta ulaz na intranet samo za to
ovlaštenim korisnicimaEkstranet je zaštićen sigurnosnim zidom prema intranetu
tvrtke koja vodi ekstranet, i drugim zidom prema Internetu ili
prema intranetu tvrtke .
Glavni nedostatak ovog načina zaštite je u nesrazmjeru
između prevelikih ograničenja vanjskih korisnika sustava i
prevelikih ovlaštenja internih korisnika sustava i informatičkog
osoblja (posebno zato što većina ozbiljnih prijetnji dolazi od
strane počinitelja iz sustava).
2. zaštita od neovlaštene promjene sadržaja podataka, pri
čemu takva promjena može biti provedena:
• uporabom aplikacijskog programa (zbog nenamjerne
greške programera ili zbog namjerno izrađenog
zloćudnog programskog koda),
• uporabom jezika baze podataka (standardni jezik za
relacijske baze podataka je SQL i jednostavan je za
korištenje) za direktno mijenjanje sadržaja u bazi, te
• zbog nemarnosti zaposlenika koji nepažljivim korištenjem
dopuštenih operacija nad podacima u bazi podataka
može namjerno ili nenamjerno izmijeniti sadržaj
podataka.
3. zaštita od neovlaštenog pristupa arhivama podataka koje se
nalaze na magnetskom mediju, pri čemu se takva zaštita
provodi posebnim postupcima:
• odlaganjem u vlastitoj arhivi, što je uglavnom nepouzdano
• odlaganjem u podzemnim bunkerima, zakopavanjem
zapečaćenih kontejnera ili odlaganjem u zatvorenim
vatrootpornim ormarima u čuvanim prostorima, što nije
potpuno pouzdano
• brisanjem informacija snažnim magnetskim poljem,
primjenom uređaja za demagnetiziranje .
4. zaštita od gubitka podataka u slučaju uništenja magnetskog
medija, pri čemu se moraju provoditi:
• izrada dnevnih, tjednih i mjesečnih i godišnjih sigurnosnih
kopija podataka (engl. Backup)
• izrada i redovno ažuriranje jasnih procedura za
rekonstrukciju i obnovu podataka iz pohranjenih
sigurnosnih kopija .
8.3. III razina zaštite IS
Jedna od najpouzdanijih metoda kontrole pristupa
informacijskom sustavu kao i zaštite od neovlaštene uporabe
resursa je kriptografija.
Kriptografija je znanost o prikrivanju informacijskih sadržaja i
onemogućivanju njihova razumijevanja, modificiranja i
uporabe od strane neovlaštenih (neautoriziranih) objekata.
Kriptiranje je postupak kojim se izvorni otvoreni tekst
transformira u kriptirani ili šifrirani tekst odnosno kriptogram.
Cilj kriptiranja je učiniti tekst nerazumljivim za sve osim za
ovlaštene korisnike, koji će ga moći razumjeti kada tekst
dekriptiraju odnosno transformiraju natrag u izvorni oblik.
Kriptoanaliza je postupak pronalaženja izvornog teksta bez
poznavanja upotrijebljenog ključa.
Informacijski sadržaj u izvornom obliku je otvoren, odnosno
razumljiv svima kojima je dostupan. Da bi se sadržaj poruka
informacija koje se javno prenose zaštitio od onih kojima one
nisu namijenjene (dakle od neovlaštenih korisnika), primjenom
kriptografskih metoda nastoji se poruke učiniti nerazumljivom,
odnosno tajnim.
Kriptografske metode dijele se na dvije osnovne skupine:
• metode transpozicije (premještanja) i
• metode supstitucije (zamjene).
Metode premještanja temeljene su na načelu mijenjanja
izvornog redoslijeda znakova u poruci, čime se ona čini
nerazumljivom za onog tko ne zna ključ. U pravilu se pri
kriptiranju koriste slova jedne abecede.
Metoda je stara, primijenjena je još u doba Cezarovog boravka
u Galiji kada je svako slovo poruke bilo pomicano za tri znaka.
Metode zamjene svode se na sustavno zamjenjivanje
znakova u poruci nekim drugim znakovima. U ovom slučaju se
pri kriptiranju koriste slova iz najmanje dvije abecede - izvorne
i kodne (primjerice, slova latinične abecede zamjenjuju se
brojevima).
Svi korisnici sustava moraju biti upoznati sa pravilima i
postupcima zaštite uredskog informacijskog sustava i
podataka, te sve aktivnosti redovito provoditi. Sigurnost i
zaštita informacijskih sustava i računala važno je područje
kojim se bave informatičari, a primjenjuju ga svi zaposlenici u
uredu.