SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan...
Transcript of SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan...
![Page 1: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/1.jpg)
SIGURNOST RAČUNARSKIH MREŽA (SRM)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
Tema 1:
Pretnje, napadi, sigurnost i metode zaštite
![Page 2: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/2.jpg)
URLs:2
� Zvanična Web strana: www.viser.edu.rs/predmeti.php?id=122
� Dodatni resursi: www.conwex.info/draganp/teaching.html
� Knjige:
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Knjige:
www.conwex.info/draganp/books.html
� Teme za seminarske radove:www.conwex.info/draganp/SRM_seminarski_radovi.html
![Page 3: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/3.jpg)
Pretnje, napadi, sigurnost i metode zaštite
3
� Sadržaj predavanja:
� 1.1. Napadi i pretnje
� 1.2. Šta je sigurnost?
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� 1.3. Klasifikacija informacija
� 1.4. Metode zaštite
![Page 4: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/4.jpg)
4
� Apsolutna sigurnost NE postoji!
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 5: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/5.jpg)
Napadi i pretnje5
� Napad na sigurnost (engl. security attack) – bilo koja akcija koja ugrožava sigurnost informacija.
� Sigurnosni mehanizam (engl. security mechanism) – mehanizam koji treba da detektuje i predupredi napad ili da sistem oporavi od napada.
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Sigurnosna usluga (engl. security service) – usluga koja povećava sigurnost sistema za obradu i prenos podataka. Sigurnosna usluga podrazumeva upotrebu jednog ili više sigurnosnih mehanizama.
![Page 6: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/6.jpg)
Kategorije napada6
� U osnovi, napadi su akcije koje su usmerene na ugrožavanje sigurnosti informacija, računarskih sistema i mreža. Postoje različite vrste napada, ali se oni generalnomogu klasifikovati u četiri osnovne kategorije:
� a) Presecanje, prekidanje (engl. interruption)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� b) Presretanje (engl. interception)
� c) Izmena (engl. modification)
� d) Proizvodnja, fabrikovanje (engl. fabrication)
![Page 7: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/7.jpg)
7
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 8: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/8.jpg)
Anatomija napada8
1. Ispitaj i proceni (engl. survey and assess)
2. Eksploatiši i prodri (engl. exploit and penetrate)
3. Povećaj privilegije (engl. escalate privileges)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
3. Povećaj privilegije (engl. escalate privileges)
4. Održi pristup (engl. maintain access)
5. Odbij uslugu (engl. deny service)
![Page 9: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/9.jpg)
Anatomija napada - šema9
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 10: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/10.jpg)
Pretnje i jednačina rizika10
� Rizik je, u kontekstu sigurnosti računarskih sistema i mreža, mera opasnosti, tj. mogućnost da nastane oštećenje ili gubitak neke informacije, hardvera, intelektualne svojine, usluge, prestiža ili ugleda.
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
Rizik = Pretnja × Ranjivost × Vrednost imovine
� Pretnja (engl. threat) je protivnik, situacija ili splet okolnosti sa mogućnošću i/ili namerama da eksploatiše ranjivost.
![Page 11: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/11.jpg)
Pasivne i aktivne pretnje11
� Pasivne pretnje su one koje ne utiču neposredno na ponašanje sistema i njihovo funkcionisanje. U pasivne pretnje spadaju otkrivanje sadržaja poruka (na primer, prisluškivanje) i analiza saobraćaja.
� Aktivne pretnje mogu uticati na ponašanje i funkcionisanje sistema ili na sadržaj podataka. U aktivne pretnje spadaju: maskiranje, tj. pretvaranje, lažiranje (engl. masquerade), reprodukcija, tj. ponavljanje mrežnog
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
lažiranje (engl. masquerade), reprodukcija, tj. ponavljanje mrežnog saobraćaja (engl. replay), izmena sadržaja poruke i odbijanje usluge.
![Page 12: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/12.jpg)
Pasivne i aktivne pretnje...12
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 13: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/13.jpg)
Ranjivost13
� Ranjivost (engl. vulnerability) predstavlja slabost u nekoj vrednosti, resursu ili imovini koja može biti iskorišćena, tj. eksploatisana. Ranjivosti su posledica lošeg projektovanja, implementacije ili “zagađenja”.
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Vrednost imovine je mera vremena i resursa potrebnih da se neka imovina zameni ili vrati u svoje prethodno stanje. Zato se kao ekvivalentan termin može koristiti i “cena zamene”.
![Page 14: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/14.jpg)
Modeliranje pretnji14
� Identifikovanje vrednosti
� Izrada pregleda arhitekture
� Dekompozicija aplikacije
� Identifikovanje pretnji
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Dokumentovanje pretnji
� Rangiranje tj. procena pretnji
![Page 15: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/15.jpg)
Najčešće primenjivani napadi i pretnje – neki primeri
15
� Odbijanje usluga (engl. Denial of Service, DoS)
� Lažiranje IP adresa (engl. spoofing)
� “Njuškanje” (engl. sniffing)
� Programske pretnje
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Trojanski konj (engl. trojan horse)
� Klopka (engl. trap door)
� Prekoračenje, tj. prelivanje bafera (engl. buffer overrun, buffer overflow)
� Sistemske pretnje
� Crvi
� Virusi
![Page 16: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/16.jpg)
Šta je sigurnost?16
� Sigurnost je proces održavanja prihvatljivog nivoa rizika. Znači, sigurnost je proces, a ne završno stanje, tj. nije konačni proizvod.
� Kada se govori o sigurnosti i zaštiti informacionih sistema i mreža, nekoliko principadanas važe kao osnovni postulati:
� Sigurnost je proces. Sigurnost nije proizvod, usluga ili procedura, već skup koji ihsadrži - uz još mnogo elemenata i mera koje se stalno sprovode.
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
sadrži - uz još mnogo elemenata i mera koje se stalno sprovode.
� Ne postoji apsolutna sigurnost.
� Uz različite metode zaštite, treba imati u vidu i ljudski faktor, sa svim slabostima.
![Page 17: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/17.jpg)
Sigurnost kao proces17
� Procena (engl. assessment)
� Zaštita (engl. protection)
� Otkrivanje (engl. detection)
� Odgovor (engl. response)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 18: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/18.jpg)
PDCA Cycle (1)18
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 19: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/19.jpg)
PDCA Cycle (2)19
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 20: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/20.jpg)
Sigurnosni ciljevi20
� Poverljivost (engl. Confidentiality)
� Celovitost, integritet (engl. Integrity)
� Raspoloživost (engl. Availability)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� CIA - Confidentiality, Integrity, Availability
� DAD - Disclosure (otkrivanje, obelodanjenje), Alteration (izmena, preinačenje), Destruction (uništenje, razaranje)
![Page 21: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/21.jpg)
CIA triad21
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 22: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/22.jpg)
Sigurnosne usluge22
� Sigurnosna usluga (servis) jeste usluga koja povećava sigurnost sistema za obradu i prenos podataka. Sigurnosna usluga podrazumeva upotrebu jednog ili više sigurnosnih mehanizama, tj. mehanizama koji treba da detektuju ili preduprede napad na sigurnost, ili da oporave sistem od napada.
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Sigurnosni mehanizmi su rešenja, tehnologije, pravila i procedure koje možemo implementirati na sistemu.
![Page 23: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/23.jpg)
Sigurnosne usluge…23
� U sigurnosne usluge spadaju (na primer) mehanizmi koji trebada obezbede:
� Poverljivost, privatnost (engl. confidentiality, privacy)
� Autentifikaciju (engl. authentication)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Autentifikaciju (engl. authentication)
� Integritet (engl. integrity)
� Neporicanje, priznavanje (engl. non-repudiation)
� Kontrolu pristupa (engl. access control)
� Raspoloživost, upotrebljivost (engl. availability)
![Page 24: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/24.jpg)
Strategije ostvarivanja sigurnosti
24
Zaštitni prsten 1
Informacije / podaci
� Slojevita zaštita
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
Internet
Zaštitni prsten 4
Zaštitni prsten 3
Zaštitni prsten 2
![Page 25: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/25.jpg)
Sigurnosni modeli
25
� Model sa nesigurnim komunikacionim kanalom
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 26: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/26.jpg)
Sigurnosni modeli...
26
� Model sigurnog pristupa mrežnim resursima
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 27: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/27.jpg)
Klasifikovanje informacija27
� Jedan od najbitnijih koncepata politike zaštite informacija jeste konceptvlasništva. Ovim konceptom se obezbeđuje da svi računarski resursi - glavniinformacioni entiteti (informacioni podsistemi, baze podataka, uređaji, datoteke, prenosni putevi) - moraju imati vlasnika, tj. nekoga ko je zaduženza njih.
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Vlasnik treba da:
� klasifikuje informacije u jednu od raspoloživih klasa,
� deklariše ko može da pristupi podacima,
� bude odgovoran za podatke i za njihovu zaštitu.
![Page 28: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/28.jpg)
Klasifikovanje tajnosti informacija28
� Prema jednoj od dominantnih klasifikacija, karakterističnoj za zemlje koje svoje metode zaštite definišu na bazi predinformacionog doba, informacije se dele u četiri osnovne klase:
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
1. Javne
2. Interne
3. Poverljive
4. Tajne
![Page 29: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/29.jpg)
Drugi načini klasifikacije29
� Nivoi klasifikacije sigurnosti državnih informacija:
1. Neklasifikovane (engl. unclassified)
2. Osetljive ali neklasifikovane (engl. sensitive but unclassified, SBU)
3. Poverljive (engl. confidential)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
3. Poverljive (engl. confidential)
4. Tajne (engl. secret)
5. Vrhunske tajne (engl. top secret)
![Page 30: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/30.jpg)
Klasifikaciona - privatni i komercijalni sektor
30
� Osnovna varijanta:
1. Javne informacije (engl. public)
2. Osetljive informacije (engl. sensitive)
3. Privatne informacije (engl. private)
4. Poverljive informacije (engl. confidential)
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Jednostavnija varijanta
1. Javna upotreba
2. Samo interna upotreba
3. Informacije poverljive za preduzeće
![Page 31: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/31.jpg)
Predlog zakona o klasifikaciji tajnih podataka
31
� Zakon definiše klasifikaciju informacije kao:
� „postupak, kojim se informacija označava tajnom i određuje stepen tajnosti, u skladu sa stepenom štete koja može da nastupi neovlašćenim otkrivanjem”
� Prema predlogu zakona, tajne mogu biti samo informacije koje se
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Prema predlogu zakona, tajne mogu biti samo informacije koje se odnose na:
� nacionalnu bezbednost
� spoljne poslove
� obaveštajne i kontraobaveštajne aktivnosti države
(uključujući sisteme, uređaje, projekte, planove, naučna istraživanja, tehnologije i ekonomske i finansijske poslove od značaja za njih)
![Page 32: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/32.jpg)
Vrste tajni i stepeni tajnosti32
� Vrste tajni� Državne
� Službene
� Vojne
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Stepeni tajnosti: � Strogo poverljivo
� Poverljivo
� Interno
*Ovo je podela iz vremena bivše SFRJ
![Page 33: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/33.jpg)
Klasifikacija tajnosti u EU33
� Zemlje članice EU ne poznaju posebne vrste tajni, već samočetiri stepena tajnosti podataka:
� Državna tajna
� Strogo poverljiva tajna
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Strogo poverljiva tajna
� Poverljiva tajna
� Interna tajna
![Page 34: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/34.jpg)
Slobodan pristup informacijama
34
� Slobodan pristup informacijama podrazumeva da svaki građanin ima pravo da zna da li vlast poseduje neku informaciju, u kom dokumentu, da ima uvid u njega, kao i da dobije njegovu kopiju ukoliko to želi, ukoliko nije pod ovim statusom - predviđa Zakon o slobodnom
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
pod ovim statusom - predviđa Zakon o slobodnom pristupu informacijama koji je usvojen u Srbiji krajem 2004. godine.
![Page 35: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/35.jpg)
Metode zaštite
35
� Kriptografske metode
� Programske metode
� Organizacione metode
� Fizičke metode
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Napomena: mnogi autori ovu podelu smatraju prevaziđenom
![Page 36: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/36.jpg)
Različiti aspekti zaštite36
� Zaštita na nivou aplikacije
� Zaštita na nivou operativnog sistema
� Zaštita na nivou mrežne infrastrukture
� Proceduralna i operaciona zaštita
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
![Page 37: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/37.jpg)
Pristup organizacije (ISC)237
� International Information Systems Security Certification Consortium [(ISC)2] ustanovio je postupak CISSP sertifikacije.
� (ISC)2 je neprofitna organizacija čija je jedina funkcija da razvija iadministrira programe sertifikacije.
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� Značenje titule CISSP je “sertifikovani profesionalac za sigurnostinformacionih sistema” (Certified Information Systems Security Professional).
� Uloga ove organizacije je da formira i održava takozvani Zajedničkiskup osnovnih znanja (engl. Common Body of Knowledge, CBK), kojiobuhvata deset oblasti zaštite.
![Page 38: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/38.jpg)
(ISC)2 deset domena38
1. Sistemi za kontrolu pristupa
2. Sigurnost razvoja aplikacija i sistema
3. Planiranje oporavka od napada i obezbeđivanje kontinuiranog poslovanja
4. Kriptografija
Pravni i etički aspekti sigurnosti
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
5. Pravni i etički aspekti sigurnosti
6. Fizička sigurnost
7. Sigurnost operative
8. Upravljanje sigurnosnim sistemima
9. Sigurnosne arhitekture i modeli
10. Sigurnost komunikacionih i računarskih mreža
![Page 39: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/39.jpg)
Certified Ethical Hacker (CEH)
39
� The Certified Ethical Hacker (C|EH) is a professional certification provided by the International Council of E-Commerce Consultants (EC-Council).
“The CEH Program certifies individuals in the specific network security discipline of Ethical Hacking from a
vendor-neutral perspective. The Certified Ethical Hacker certification will fortify the application knowledge of
security officers, auditors, security professionals, site administrators, and anyone who is concerned about the
integrity of the network infrastructure. A Certified Ethical Hacker is a skilled professional who understands and
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
integrity of the network infrastructure. A Certified Ethical Hacker is a skilled professional who understands and
knows how to look for the weaknesses and vulnerabilities in target systems and uses the same knowledge and
tools as a malicious hacker.”
Citat preuzet sa: www.eccouncil.org/ceh.htm
![Page 40: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/40.jpg)
CompTIA Security+™ Certification
40
� Isečak sa CompTIA Web sajta:
“CompTIA Security+ validates knowledge of systems security, network infrastructure, access control, assessments
and audits, cryptography and organizational security. It is an international, vendor-neutral security certification
that is taught at colleges, universities and commercial training centers around the world.
Although not a prerequisite, it is recommended that CompTIA Security+ candidates have at least two years of
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
Although not a prerequisite, it is recommended that CompTIA Security+ candidates have at least two years of
on-the-job technical networking experience, with an emphasis on security. The CompTIA Network+ certification
is also recommended.
Because human error is the number one cause for a network security breach, CompTIA Security+ is recognized
by the technology community as a valuable credential that proves competency with information security.”
Citat preuzet sa: http://certification.comptia.org/security/
![Page 41: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/41.jpg)
Sigurnosni standardi i programi sertifikacije
41
� Više o sigurnosnim standardima i programima sertifikacije
� -> Dodatak A udžbenika “Sigurnost računarskih
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� -> Dodatak A udžbenika “Sigurnost računarskih
sistema i mreža”
![Page 42: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/42.jpg)
Projektovanje sistema zaštite
42
� Prilikom projektovanja sistema zaštite potrebno je odrediti sledeće:
� lice odgovorno za projekat� metode identifikacije korisnika i terminala� strukture šema ovlašćenja� načine detekcije nedozvoljenih pristupa
načine integrisanja zaštite u sistemske programe
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� načine integrisanja zaštite u sistemske programe� postupke oporavka zbog oštećenja datoteka� postupke oporavka zbog otkaza sistema� metode nadzora� da li treba koristiti kriptografiju ili ne� kontrole koje treba ugraditi radi analize i korišćenja statističkih datoteka� kontrole koje treba ugraditi u operacije pregledanja datoteka
![Page 43: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/43.jpg)
Principi projektovanja sistema zaštite
43
� Principi projektovanja sistema zaštite su sledeći:
� ekonomičnost zaštite (projekat treba da je što jednostavniji)
� pouzdanost zaštite
� potpuna provera (inicijalizacija, radni režim, oporavak, isključivanje i održavanje)
� javnost projekta (mehanizmi zaštite ne bi trebalo da zavise od neznanja
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
� javnost projekta (mehanizmi zaštite ne bi trebalo da zavise od neznanja potencijalnih napadača)
� razdvajanje prava
� najmanja prava
� redukcija zajedničkih mehanizama
� psihološka prihvatljivost (sprega između računara i čoveka)
� radni faktor
� evidencija ugrožavanja
![Page 44: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/44.jpg)
Funkciju cene gubitaka podataka
44
� Prilikom projektovanja zaštite potrebno je uzeti u obzir i funkciju cene gubitaka podataka:
C = f(D, I, P)
gde je:
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
gde je:
� C – cena gubitaka
� D – tip datoteke kojoj pripadaju podaci
� I – vrsta napadača za koju je zaštita projektovana (neupućena lica, obučena lica, lica koja žele da ostvare dobit, dobro opremljeni kriminalci, finansijski jake organizacije, viša sila)
� P – vrsta posledica po integritet podataka
![Page 45: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/45.jpg)
Literatura45
� D. Pleskonjić, N. Maček, B. Đorđević, M. Carić: “Sigurnost računarskih sistema i mreža”, Mikro knjiga, Beograd, 2007., ISBN: 978-86-7555-305-2, knjiga – udžbenik
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
2, knjiga – udžbenik
� www.conwex.info/draganp/books_SRSiM.html
� www.mikroknjiga.rs/store/prikaz.php?ref=978-86-7555-305-2
� Za predavanje 1:
� Poglavlje 1: Pretnje, napadi, sigurnost i metode zaštite
� Dodatak A: Sigurnosni standardi i programi sertifikacije
![Page 46: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/46.jpg)
Literatura - nastavak46
� D. Pleskonjić, B. Đorđević, N. Maček, Marko Carić: “Sigurnost računarskih mreža”, Viša elektrotehnička škola, Beograd, 2006., ISBN 86-85081-16-5, knjiga - udžbenik
� D. Pleskonjić, B. Đorđević, N. Maček, Marko Carić: “Sigurnost računarskih mreža - priručnik
za laboratorijske vežbe”, Viša elektrotehnička škola, Beograd, 2006., ISBN 86-85081-49-1
� D. Pleskonjić, B. Đorđević, N. Maček, Marko Carić: “Sigurnost računarskih mreža - zbirka
rešenih zadataka”, Viša elektrotehnička škola, Beograd, 2006., ISBN 86-85081-55-6
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
www.conwex.info/draganp/books.html
![Page 47: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/47.jpg)
Dodatna literatura47
� Cryptography and Network Security
William Stallings
Prentice Hall, 1998
� Applied Cryptography
Bruce Schneier
John Wiley & Sons, 1995
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.
John Wiley & Sons, 1995
� The CISSP Prep Guide – Mastering the Ten Domains of Computer Security
Ronald L. Krutz, Russell Dean Vines
John Wiley & Sons, 2001
� Druge knjige i razni online resursi
� Napomena: tokom predavanja će biti naglašena dodatna literatura, po potrebi.
![Page 48: SIGURNOST RAČUNARSKIH MREŽA (SRM) - Dragan Pleskonjicdragan-pleskonjic.com/wp-content/uploads/2017/01/SRM_Predavanje_1.pdf · Znači, sigurnost je proces, a ne završno stanje,](https://reader030.fdocuments.net/reader030/viewer/2022040706/5e04b40d3338cd58f63d83e9/html5/thumbnails/48.jpg)
Pitanja48
?
Copyright © 2005-2011 Dragan Pleskonjic. All Rights Reserved.