Razvoj sigurnosti u informacionim sistemima

Istorijski razvoj informacionih sistema može da bude podeljen na četiri perioda, na osnovu vrste informacionih sistema uvedenim u tom periodu. To su:

  1. informacioni sistemi za obradu podataka (DP – Data Processing),
  2. upravljački informacioni sistemi (MIS –Management Information Systems),
  3. informacioni sistemi za podršku odlučivanju (DSS – Decision Support Systems),
  4. ekspertni sistemi (ES – Expert Systems).

U svetu postoji veliki broj različitih pregleda i analiza opasnosti korišćenja računarskih mreža na bazi Internet tehnologija izrađenih od strane relevantnih institucija. Jedna takva analiza ukazuje na tipove napada, u procentima prijavljenih napada, slika 1., kao i prosečne gubitke prouzrokovane tim napadima u 2009. godini.

1

Prema jednom sličnom pregledu američkog instituta za zaštitu računara (Computer Security Institute (CSI)’s 2000 Computer Crime and Security Survey) koji je obuhvatao velike korporacije, 70% razmatranih subjekata je prijavilo detektovane neautorizovane pristupe u svojim mrežama u prethodnoj godini. Takođe, prema istoj analizi, u prethodnih 5 godina, 66 razmatranih subjekata je prijavilo ukupan gubitak proizveden krađom osetljivih korporacijskih informacija u iznosu od $66 708 000, a 54 razmatrana subjekta su prijavila ukupan gubitak proizveden finansijskom proneverom u iznosu od $53 996 000.

Ova analiza je takođe potvrdila sledeće trendove u korišćenju računarskih mreža Internet tipa u poslednje vreme:

  • Razvoj sve šireg spektra mogućih napada.
  • Napadi na korporacijske računarske mreže Internet tipa mogu biti eksterni i interni.

Iako su prethodnih godina napadi na računarske mreže Internet tipa bili pretežno eksterni, novije analize (kao što je i prethodno pomenuta analiza CSI) pokazuju da mnogo veću štetu i finansijske gubitke nanosi širok spektar internih napada. Razlozi za to leže u samoj prirodi mreža Internet tipa u kojima interni učesnici nisu samo zaposleni u datoj korporaciji (za koje postoji određeni stepen poverenja), već i poslovni partneri, zaposleni u firmama podružnicama, kooperanti, dostavljači, itd., koji iz razloga jednostavnosti korišćenja i povećanja efikasnosti i produktivnosti rada imaju vrlo sličan, ako ne i isti, pristup korporacijskoj mreži kao i zaposleni u datoj korporaciji. U poslednje vreme su zabeleženi veoma veliki finansijski gubici prouzrokovani napadima na računarske mreže Internet tipa. Uočeno je da primena samo komercijalnih tehnologija zaštite informacija ne može uvek predstavljati pouzdano rešenje odbrane od potencijalnih napada već da se ponekad mora koncipirati i primeniti slojevita i sveobuhvatna politika zaštite koja će pored komercijalnih tehnologija zaštite obavezno uključiti i primenu kvalitetnijih, sopstveno realizovanih mehanizama zaštite, kao i mehanizama kontrole pristupa i organizacionih elemenata zaštite date računarske mreže Internet tipa.

SSL Protokol

Ovo je protokol koji je razvila firma Netscape. Predstavlja najčešće korišćen metod za obavljanje sigurnih transakcija na mreži. Radi na transportnom sloju neposredno iznad TCP. To znači da SSL mogu koristiti svi protokoli aplikacionog nivoa koji za transport imaju TCP. Kao što su:

  • http (https),
  • ftp,
  • smtp,
  • pop3,
  • imap i drugi.

Secure Sockets Layer (SSL) je protokol za sigurno slanje poruka (komuniciranje) putem Interneta, koji omogucuje slanje poverljivih podataka (npr. broj kreditne kartice) putem Interneta u šifrovanom i sigurnom obliku. SSL protokol ostvaruje poseban komunikacioni sloj, koji je smešten na pouzdan transportni sloj (npr. TCP/IP), dok se na SSL smešta aplikacijski sloj. Od aplikacijskog sloja prima poruku koju treba poslati, rastavi je u manje delove prikladne za šifrovanje, dodaje kontrolni broj, šifruje, eventualno kompresuje, a zatim te delove pošalje. Primalac primi delove, dekompresuje, dešifruje, proveri kontrolne brojeve, sastavi delove poruke, pa ih preda aplikacijskom sloju. Na taj nacin se putem SSL-a ostvaruje zašticeni kanal prenosa kroz mrežu. Ukoliko su klijent i server neaktivni duže vreme ili razgovor sa istim atributima zaštite potraje predugo, atributi se menjaju.

S-HTTP i SSL

Sigurni hiper – tekst transfer protokol (S-HTTP) je sigurnosni podsistem HTTP-a, i razvijen je od Enterprise Integration Technologies kompanije. Oba, S-HTTP i SSL pružaju mogucnost sigurne komunikacije sa web serverima, i oba se mogu koristiti da bi se obezbedila poverljivost, identifikacija, i integritet (nepromenljivost) podataka. Medutim, ovi pristupi se razlikuju u sledecim elementima:

  • SSL šifruje celu Internet vezu na nižem sloju, izmedu aplikacijskih protokola, kao što su HTTP i TCP/IP slojevi. Ali S-HTTP radi na istom sloju kao HTTP. On osigurava razgovor obuhvatajuci podatke unutar sigurnosnog paketa.
  • SSL koristi specijalni „handshake“ da bi uspostavio parametre za sigurnu vezu. S-HTTP definiše sigurnost razmenom zaglavlja za pakete poslate tokom web razgovora. Ova razmena zaglavlja paketa se može definisati kao vrsta sigurnih tehnologija koje se koriste u vezi.

Zaštita informacija B2B E-Bank Sistema

Kao što je u uvodu naznačeno, paralelno sa razvojem elektronskog poslovanja u porastu je kriminal i zloupotreba IT resursa. Sve informacije koje egzistiraju u sistemu E-bank, po teoriji klasifikacije informacija, spadaju u klasu 4, u tajne informacije. Ovo znači da neautorizovan spoljašnji ili unutrašnji pristup ovim informacijama bi mogao biti kritičan za kompaniju. Prilikom osmišljavanja zaštite sistema polazi se od uobičajenih pretpostavki:

  1. potencijalni napadač ima potpun pristup komunikacionom kanalu (Internet) između pošiljaoca i primaoca;
  2. potencijalni napadač poseduje potrebno znanje o algoritmima šifrovanja.

Da bi se e-bank sistem obezbedio od zloupotreba primenjena je IT zaštita na više nivoa i to:

  1. Zaštita na nivou aplikativnog i transakcionog softvera
  2. Zaštita na nivou operativnog sistema
  3. Hardverska kontrola
  4. Antivirusna zaštita
  5. Zaštita na nivou mrežne infrastrukture
  6. Proceduralna i operaciona zaštita
  7. Fizička zaštita.

Bezbednosne polise

Polisa je dokumentovan globalni plan za sigurnost računara i informacija na nivou organizacije. Ona obezbeđuje okvir za donošenje specifičnih odluka, kao što su: koji odbrambeni mehanizmi se koriste, kako se konfigurišu servisi, a predstavlja i osnovu za razvoj preporuka za programere i procedura za administratore i korisnike. Pošto je bezbedonosna polisa dugoročni dokument, iz njegovog sadržaja treba izostaviti detalje specifične za određene tehnologije.  Na internetu se mogu naći liste preporučenih koraka – chacklists

Bezbednosne polise => bezbednosne procedure => bezbednosna praksa

Savremena bezbednosna praksa podrazumeva sledeće korake:

  • Obezbediti da svaki nalog ima lozinku i da su lozinke teške za razbijanje, preporučuje se korišćenje jednokratnih lozinki, podsticati ili zahtevati od zaposlenih da koriste lozinke koje nisu očigledne i jednostavne.
  • Proveravati ažurnost antivirusne zaštite
  • Edukovati zaposlene o bezbedonosnim rizicima
  • Implementirati kompletnu i sveobuhvatnu zaštitu računarske mreže
  • Periodično procenjivati i proveravati bezbedonosno stanje računarske mreže
  • Redovno proveravati kod proizvođača da li su objavljene nove zakrpe (patch) i primenjivati zakrpe i unapređenja
  • Koristiti jake enkripcione tehnike i redovno proveravati intergitet softvera
  • Koristiti bezbedne tehnike programiranja pri pisanju softvera
  • Biti oprezni pri korišćenju i konfigurisanju mreže, po objavljivanju novootkrivenih slabosti korišćenih sistema adekvatno promeniti konfiguraciju
  • Redovno proveravati on-line arhive na temu bezbednosti
  • Voditi evidenciju korišćenja korisničkih naloga i sistemskih događaja (auditing) i proveravati redovno sistemske log fajlove
  • Kada zaposleni napusti kompaniju ukinuti odmah prava pristupa mreži.
  • Ne pokretati ni jedan nepotreban mrežni servis.

Virtual private network

Virtuelna privatna mreža (Virtual Private Network – VPN) je privatna komunikaciona mreža koja se koristi za komunikaciju u okviru javne mreže. Transport VPN paketa podataka odvija se preko javne mreže (Internet) korišćenjem standardnih komunikacionih protokola. VPN omogućava korisnicima na razdvojenim lokacijama da preko javne mreže jednostavno održavaju zaštićenu komunikaciju.

Nadzor i upravljanje mrežom

  1. Fizički nadzor
    1. Fizički nadzor nad objektima, prostorijama i uređajima.
    2. Nadzor video kamerama.
  2. Softverski nadzor
    1. Pretpostavlja se mogućnost udaljenog nadzora i upravljanja nad bitnim uređajima
    2. Vrši se komunikacija upravljačke stanice sa upravljanim uređajima,
    3. Prikupljaju se i prezentuju podaci
    4. Vrši se vizuelni prikaz mreže,
    5. Vrši se analiziranje mrežnog saobraćaja
    6. Vrši se praćenje rada sistema

Najčešći napadi na računarske mreže

Kada govorimo o bezbednosti i zaštiti računarskih mreža moramo pre svega naglasiti šta je to od čega se mreža štiti odnosno moramo upoznati moguće vrste napada. U ovom delu seminarskog rada ćemo identifikovati, kategorisati i opisati već poznate klase napada koji predstavljaju pretnje za WEB aplikacije, i potruditi se da navedemo adekvatnu zaštitu. To su pre svega:

  • Napadi vezani uz autentifikaciju
  • Napadi vezani za autorizaciju
  • Napadi na klijentsku stranu
  • Napadi vezani za izvršavanje naredbi
  • Otkrivanje poverljivih informacija
  • Logički napadi

Firewall kao zaštita

Jedan od najefikasnijih načina zaštita računarskih mreža i njenih članova jeste korišćenje firewall sistema za kontrolu pristupa. Ovi sistemi funkcionišu po principu prihvatanja ili odbijanja mrežnih komunikacija određenih polisama firewall sistema. Postoji više tipova firewall sistema u zavisnosti od toga u kom obliku su realizovani, kakve mogućnosti nude, na kom nivou se izvršavaju i koja je njihova uloga u mreži u kojoj se nalaze.

Firewall je bezbednosni hardverski ili softverski uređaj, najčešće smešten između lokalne mreže i javne mreže (Interneta), čija je namena da štiti podatke u mreži od neautoriziranih korisnika (blokiranjem i zabranom pristupa po pravilima koje definiše usvojena bezbednosna politika). Služi za sprečavanje komunikacije zabranjene određenom mrežnom polisom.

Vrlo često ne moraju svi korisnici u LAN-u da imaju jednaka prava pristupa mreži. Postavljanjem firewall uređaja između dva ili više mrežnih segmenata mogu se kontrolisati i prava pristupa pojedinih korisnika pojedinim delovima mreže.

Antivirusna zaštita

Računarske komunikacije, bilo one u lokalu, bilo preko Interneta, predstavljaju idealnu podlogu za širenje računarskih virusa. Veliki broj povezanih radnih stanica i servera, koji jedni drugima daju posebne privilegije u međusobnoj razmeni podataka i korišćenja zajedničkih resursa olakšavaju širenje virusa među mašinama i sve njihove destruktivne aktivnosti. Sa druge strane umrežavanje računara otežava efikasno otkrivanje i uklanjanje virusa. Antivirusna zaštita većeg broja umreženih mašina ima određene specifičnosti u odnosu na zaštitu pojedinačnih stanica, tako da se ovoj problematici mora pristupiti sa znatno više pažnje.

Virusi i druge vrste zlonamernog koda u računarsku mrežu mogu dospeti na više načina, u zavisnosti od mogućnosti razmene podataka sa okruženjem:

  • Internet konekcije
  • Elektronska pošta
  • Prenos datoteka
  • Zaraženi prenosni mediji (CD ili diskete)
  • Instalacija piratskog softvera
  • Razmena podataka sa lokalnim mrežama na udaljenim lokacijama i druge

Antivirusna zaštita se odnosi na podatke i programe koji se nalaze na diskovima radnih stanica i servera. Dakle, predmet zaštite su pre svega podaci, a samu zaštitu treba sprovoditi tako da se maksimalno smanji verovatnoća događaja da bilo kakav zlonamerni kod dođe u situaciju da tim podacima na bilo koji način pristupi. Čak i u slučajevima da virus uspe da dođe u računar mora biti sprečen da se aktivira ili dalje proširi. Pored zaštite podataka, antivirusna zaštita mora da obuhvati i sistemske i aplikativne fajlove. Naime, iako se ti fajlovi mogu ponovo preinstalirati, njihovim oštećenjem dolazi do zastoja u radu velikog broja računara, a samim tim i do gubitaka za preduzeće.

Autor: Predrag Aleksić

3626-razvoj-sigurnosti-u-informacionim-sistemima