SVEUČILIŠTE/UNIVERZITET ''VITEZ'' TRAVNIK

FAKULTET POSLOVNE INFORMATIKE

STUDIJ VI CIKLUSA; GODINA STUDIRANJA: II GODINA

SMJER: INFORMACIJSKE TEHNOLOGIJE

“SIGURNOST ELEKTRONSKE TRGOVINE”

SEMINARSKI RAD

Travnik, 19.06.2013. godine

SVEUČILIŠTE/UNIVERZITET ''VITEZ'' TRAVNIK

FAKULTET POSLOVNE INFORMATIKE

STUDIJ VI CIKLUSA; GODINA STUDIRANJA: II GODINA

SMJER: INFORMACIJSKE TEHNOLOGIJE

“SIGURNOST ELEKTRONSKE TRGOVINE”

SEMINARSKI RAD

Potpis studenta: _____________

STUDENT:

PREDMET: Digitalna Ekonomija

PROFESOR: Prof Dr. Branko Latinović

ASISTENT: Altijana Mameledžija dipl. ing.

SADRŽAJ

UVOD ............................................................................................................................... 4

1.1. Problem, predmet i object istraživanja ............................................................... 4

1.2. Svrha i cijelvi istraživanja .................................................................................. 5

1.3. Radna hipoteza i pomočne hipoteze ................................................................... 5

1.4. Znanstvene metode ............................................................................................. 5

1.5. Struktura rada ........................................................................................................ 6

2. ELEKTRONSKO POSLOVANJE I ELEKTRONSKA TRGOVINA ...................... 7

2.1 Elektronsko poslovanje ....................................................................................... 7

2.2 Točak elektronskog poslovanja .......................................................................... 7

2.3 Razvoj i oblici elektronskog poslovanja............................................................. 8

2.4 Elektronska trgovina (e-commerce) ................................................................. 10

3. ZAŠTITA INFORMACIJSKIH SISTEMA ............................................................ 14

3.1 Rizici informacijske Tech Report ..................................................................... 14

3.2 Računarski (cyber) kriminal ............................................................................. 17

4. ZAŠTITA U UVJETIMA ELEKTRONSKOG POSLOVANJA ........................... 19

4.1 Kontrola povjerljivosti ..................................................................................... 19

4.2 Kontrola pristupa .............................................................................................. 23

4.3 Kontrola integriteta, raspoloživosti i nemogućnosti poricanja ......................... 24

5 INFRASTRUKTURA JAVNOG KLJUČA ........................................................... 25

ZAKLJUČAK ................................................................................................................. 29

LITERATURA ................................................................................................................ 30

4

UVOD

U poglavlju koje slijedi upoznaćemo opširnu zaštitu informacijskih sistema I zaštitu

elektronske trgovine. Sama zaštita nam dovoljno govori da je potrebno provesti jaku

zaštitu informacionog sistema. Danas su visrusi brzom putanjom jako napredovali, stoga

omogućuje vam korisnički zaštitu vaših računarskih sistema. Nije riječ samo o

visrusima, tu je i zaštita od zlouporabe informacijske tehnologije i mnoge druge zaštite.

Važno je napomenuti da je bitna zaštita neovlaštenog korištenja podataka.

Zaštita podataka - proces kojim se osigurava podatke od oštećenja pri prijenosu i

kontrolira pristup podatcima u računalu. Na taj način zaštita podataka osigurava

privatnost. Koristi se za zaštitu, kako privatnih, tako i javnih podataka. Zaštita podataka

se koristi pri prijenosu podataka osjetljivog sadržaja (vladinih dokumenata, bankovnih

podataka, dokumenata državnih služba, podataka velikih poduzeća...). Kako bi podatci

na svoje odredište stigli netaknuti i u istom obliku u kojem su poslani, podatke

zaštićujemo od oštećenja u prijenosu i neovlaštenih upada ili preusmjeravanja tijekom

prijenosa. Također je potrebno zaštiti i podatke koji su spremljeni u našem računalu – od

neovlaštenih upada sa istog ili drugih računala i od napada virusa.1

1.1. Problem, predmet i object istraživanja

Sistem čuvanja podataka te zaštita informacijskih sistema je oduvijek bio problem, iz

razloga što postoji više desetine načina za gubitak poataka, ili zloupotreba tih podataka.

Predmet ovog rada je zaštita tih podataka i tih sistema, od zloupotrebe podataka,

hakera/krakera i slično.

1 http://hr.wikipedia.org/wiki/Za%C5%A1tita_podataka 19.6.2013g

5

1.2.Svrha i cijelvi istraživanja

Istraživanje podrazumijeva prikupljanje velikog broja informacija, a kvalitetno

istraživanje ne štedi samo novac i vrijeme, već i povećava šanse za uspijeh.

Osnovna svrha ovog istraživanja je pronalazak hipoteza vezane za temu, te cjelokupno

objašnjenje istih.

1.3.Radna hipoteza i pomočne hipoteze

Definisanje problema, predmeta i objekta istraživanja dovodi do oblikovanja radne

hipoteze; objašnjenje zaštita informacijskog sistema je temelj za detaljnije pojašnjenje

zaštite podataka, sigurnost i najbolje načine za zaštitu podataka.

Ovako postavljena glavna hipoteza implicira i pomoćnu hipotezu (skr.P.H.):

P.H.1.: Kroz rad ćemo dokazati nekoliko ključnih podataka koji su bili bitni za izum

sistema za kriptovanje podataka, te zaštita uređaja hardverskim i softverskim načinom.

1.4. Znanstvene metode

Znanstvena metoda obuhvaća mnoge tehnike za proučavanje fenomena, pribavljanje

novih saznanja, te ispravljanje i dopunjavanje postojećih spoznaja. Zasniva se na:2

1. prikupljanju opipljivih, empiričkih i mjerljivih dokaza koji su podožni nekoj logici

2. prikupljanju podataka kroz promatranje i eksperimentiranje

3. formuliranju i testiranju hipoteza

Znanstvenom metodom naziva se i skup različitih postupaka kojima se znanost koristi u

znanstveno istraživačkom radu da bi istražila i izložila rezultate znanstvenog

istraživanja.

2 http://hr.wikipedia.org/wiki/Znanstvena_metoda 18.06.2013

6

Osnovne osobine znanstvenih metoda su: objektivnost, pouzdanost, preciznost,

sustavnost i općenitost, a za izradu ovog rada kao prikladne metode odabrane su: metoda

analize i metoda studija slučaja.

1.5. Struktura rada

Struktura ovog rada postavljena je kroz 5 međusobno povezanih dijelova. U prvom

dijelu, tj. UVODU navedeni su problem, predmet te objekat istraživanja, postavljene su

hipoteze, svrha i cilj istraživanja, te naučne metode, a objašnjena je i struktura samog

rada. Drugi dio rada objašnjava šta informacioni sistemi i na koje načine može da se

ošteti, i zaštiti. U trečem dijelu rada sam opisao oblike zloupotrebe informacijskih

tehnologija, te oblike zaštite od zloupotrebe. I zadnji dio rada koji zaokružuje cijeli rad a

to je ZAKLJUČAK, u njemu su sažeto i obrazloženo moje lično razmišljanje o izabranoj

temi.

7

2. ELEKTRONSKO POSLOVANJE I ELEKTRONSKA TRGOVINA

2.1 Elektronsko poslovanje

Tradicionalno poslovanje

Tradicionalno poslovanje temelji se na uporabi papirnatih dokumenata u strukturirane

prethodno definisanog i opće prihvaćene komunikacije između sudionika u procesu

poslovanja.

Elektronsko poslovanje (e-busines):

Elektronsko poslovanje je digitalno omogućene transakcije i procesi unutar

organizacije, uz pomoć i pod nadzorom svog informacijskog sistema.

E-biznis ne obuhvata komercijalne transakcije izvan granica organizacije gdje se

vrši razmjena vrijednosti.

2.2 Točak elektronskog poslovanja

Znanje o korištenju elektronske trgovine uključuje znanje o poslovnim procesima

elektronske trgovine. Konceptualni model "eBusiness wheel" (kotača elektronskih

trgovina), opisuje najvažnije procese e-poslovanja.

Točak elektronskog poslovanja se sastoji od sedam dijelova koji okružuju kupca kao

polazište suvremenih poslovnih procesa. Glavni cilj modernog poslovnog koncepta je da

zadovolji potrebe klijenata i formiranja poslovnog okruženja u tvrtki na sve poslovne

procese će biti u potrebama klijenta, te da je kao rezultat dobrih odnosa s klijentima

pojavljuje profit.

8

Točak e-poslovanje sastoji se od dva glavna dijela: elektronske poslovne strategije i

implementacija e-poslovanja (operativni procesi) (slika 2.1). Elektronska poslovna

strategija definira sve poslovne procese s krajnjim ciljem zadovoljstva kupaca i profita

tvrtke. Međutim, kako bi se postigla cilj e-poslovanja, potrebno je stvoriti i održavati

operativne procese koji u osnovi čine elektronskog poslovanja.

(Sl. 2.1). Točak elektronskog poslovanja

2.3 Razvoj i oblici elektronskog poslovanja

Elektronsko poslovanje se pojavilo početkom 80-tih godina prošlog stoljeća, ali je

iskusni i brzi razvoj doživjelo poslednjih godina, prije svega zahvaljujući Internetu.

Elektronsko poslovanje (electronic business) je razmjena standardiziranih elektronskih

poruka u obavljanju raznih poslova u bankama, kompanijama, aktivnostima građana,

upravi i u svim drugim poslovnim transakcijama.

Elektronsko poslovanje uključuje obavljanje poslovnih procesa uz korištenje

elektronskih tehnologija. Ova vrsta tehnologije omogućuje slanje velike količine

9

podataka na velike udaljenosti u kratkom vremenskom razdoblju. To omogućuje

tvrtkama u njihovom poslovanju da koriste elektronske tehnologije kako bi se postigla

značajna ušteda u troškovima poslovanja, učinkovitije obavljaju svoje zadatke i biti

konkurentniji na tržištu. Opseg Elektronskog poslovanja razlikuje se od države do

države (Sl. 2.2)

Sl. 2.2 Obim elektronskog poslovanja u2008

Izvor: "The Real Numbers behind 'Net Profits

2008”

Elektronsko poslovanje nudi široku paletu utjecaja i aplikacija, tako da su osnovni

oblici:

e-Trgovina - predstavlja poslovne komunikacije i prijenos dobara i usluga

(kupnja i prodaja) - razmjena vrijednosti.

e-Bankarstvo Predstavlja poslovanje između banke i klijenta,

e-Uprava - elektronsko poslovanje u upravi ili administraciji (kompanije,

tvrtke,države..)

Jedna od tačaka eEurope operativnog plana Evropske komisije iz 2002. godine

naglašava značaj razvoja savremenih javnih servisa i u oblasti e-Zdravlja i e-

Obrazovanja i sl.

Elektronsko poslovanje ima slijedeće prednosti:

10

smanjenje operativnih troškova, a to se prvenstveno odnosi na

proizvodnju papirnatih dokumenata,

smanjenje pogreške, pogotovo gdje je tačnost podataka od značaja,

ušteda vremena, posebno u prenosu informacija,

smanjenje obima ljudskoga rada,

pristupačnost i razmjenjivost informacija.

2.4 Elektronska trgovina (e-commerce)

Predstavlja razmjenu poslovnih informacija, održavanje poslovnih odnosa i obavljanje

poslovnih transakcija između organizacija preko telekomunikacijskih mreža.

Osim toga, možemo reći da je kupnja i prodaja informacija, proizvoda i usluga putem

računarske mreže i podršku za bilo koju vrstu poslovne transakcije putem digitalne

infrastrukture - digitalno omogućeni komercijalne transakcije između Ovo udruženje

(B2B) organizacijama i pojedincima (B2C), pojedinci (C2C ), organizacije i vladine

agencije (B2G), vladine agencije (G2G), itd.

Klasifikacija e-trgovine prema tipovima učesnika uobičajeno se prikazuje matricom

e-trgovine (Tabela 2.1).

11

(Tabela 2.1). Matrica E-Trgovine

B2B (Business-to-business)

Interorganizacioni informacijski sustav u kojem tvrtka posluje u okviru vlastitih

transakcija vrijednosnog lanca ili s drugim tvrtkama i organizacijama. B2B ponekad

nazivaju business-to-zaposlenika (B2E) kada je usmjerena na upravljanje aktivnosti

unutar organizacije.

Sudionici u ovoj vrsti sustava za e-commerce organizacija i poslovnim sustavima.

Početak B2B poslovanje povezano s pojavom prvog EDI (Electronic Data

Interchange) sustava. Eliminirati brojne nedostatke klasične komunikacijskih

sredstava (gube dokumenti, oštećenja na prijenos, pogreške u prekucavanje teksta,

itd.).

Predstavlja najvažniji oblik e-trgovine, transakcijama na ovom tržištu ostvaruje se

između 80-85% ukupnih prihoda od e-trgovine na Internetu.

B2C (Business-to-consumer)

12

Prodavci su organizacije, a klijenti su pojedinci. Uglavnom se odnose na prodajnim

transakcijama između tvrtki i potrošača. Jedan uspješan primjer je Amazon.com,

osnovana 1994. godine, i to je tipični primjer tvrtke koja se bavi ovim poslom.

Iznenađujući porast Amazon - 20 milijuna korisnika u više od 160 zemalja kupljenih u

2000. G. roba u vrijednosti od 2,8 milijarde dolara.

Ovaj poslovni model oslanja na sposobnost Interneta za prijenos velike količine

podataka brzo i učinkovito. B2C je najjasniji aspekt e-poslovanja iz perspektive

korisnika. Očekivani razvoj na globalnom tržištu e-poslovanja u SAD-u 2007-2008 je

prikazano na slici 2.3.

Sl. 2.3. Očekivani razvoj modela B2B i B2C

C2C (Consumer-to-consumer)

Potrošači izravno prodaju robu ili usluge drugim potrošačima on-line putem,

uključuje i prodaju automobila, nekretnina, usluga i dr. u on-line oglasima. Najpoznatiji

primer C2C je veb stranica eBay.com. Neki aukcijski sajtovi nude mogućnost C-C

elektronske trgovine omogućavaju korisnicima da ponude robu na on-line aukcijama.

13

Ovaj oblik transakcija podrazumijeva učešće i treće strane u online trgovini.

Treća strana može biti neki aukcijski sajt: eBay, Monsters (online poslovi), Gnutella

(prodaja muzike), Owners.com (klasifikovane reklame), itd.

Poseban oblik C2C transakcije su transakcije u peer-to-peer komunikacije bez

posrednika (Kazaa, Tornet programi).

14

3. ZAŠTITA INFORMACIJSKIH SISTEMA

Sigurnost elektronskih transakcija je preduslov za uspješno elektronsko poslovanje i

obuhvata metode, tehnike i pravne norme kojima se kontroliše pristup podacima od

strane programa i ljudi i štiti fizički integritet celokupnog sistema.3

Sve veći problem i ograničavajući faktor razvoja i primjena računarskih sistema postaje

sigurnost informacijskih sistema.

U poslovnim informacijskim sistemima računalne konfiguracije su vrlo različite, te se u

jednom poslovnom sistemu mogu koristiti:

Velika računala za centralnu obradu;

Manja računala za decentralizirano prikupljanje i obradu podataka;

Osobna računala za automatizaciju uredskog poslovanja.

Sa aspekta sigurnosti, svaka od ovih vrsta računala ima specifičnosti koje se ogledaju u

različitim organizacijama rada ovih sistema.

3.1 Rizici informacijske Tech Report

Prilikom definisanja odgovarajuće politike zaštite informacijskog sistema, potrebno je

izvršiti analizu rizika kojima su informacije izložene u svim fazama životnog ciklusa

informacijskog sistema. Analiza rizika je dobra pretpostavka za uspostavljanje dobre

politike upravljanja rizicima (Risk Management Policy).

Generalno, rizik se može definisati kao potencijalna opasnost da neka preduzeća

aktivnost dovede do neželjenih posljedica U skladu s tim, informacijski rizik

predstavlja opasnost da će primjena informacijske tehnologije dovesti do

neželjenih posljedica, tj.. šteta u poslovnom sistemu i njegovom okruženju. Iz tog

3

http://sr.wikipedia.org/wiki/%D0%92%D0%B8%D0%BA%D0%B8%D0%BF%D0%B5%D0%B4%D0%

B8%D1%98%D0%B0:%D0%A1%D0%B5%D0%BC%D0%B8%D0%BD%D0%B0%D1%80%D1%81

%D0%BA%D0%B8_%D1%80%D0%B0%D0%B4%D0%BE%D0%B2%D0%B8/Sigurnost_elektronski

h_transakcija#Sigurnost_infrastrukture 19.6.2013

15

razloga je neophodno upravljati informacijskim rizicima prema sljedećim

načelima:

Potrebno je primjenjivati sistemsku metodiku identifikacije svih informacionih

rizika;

Potrebno je definisati adekvatne procedure evaluacije ozbiljnosti (težine) I

frekvencije (učestalosti) rizika, i

Potrebno je formulisati odgovarajuću strategiju i taktiku kontrole nad rizicima, kao

izbor odgovarajućih protumjera.

Unatoč formalno daleko većem broju vanjskih izvora rizika, empirijska istraživanja

pokazuju da su u praksi daleko mnogo brojniji napadi na sistem iznutra, iz same

organizacije. Tako npr, neke procjene govore da je omjer približno 70:30, A neke čak

80:20. Po svemu sudeći, ova druga procjena je blizu stvarnosti, ne samo zato što dolazi

iz kompetentnijeg izvora (CERT), Nego izato što je prva procjena stara nekoliko godina,

a od tada su se stvari po pitanju sigurnosti informacija bitno promijenile.

(Slika 3.1) CERT tabela napada izvan i unutar mreže

S obzirom na uzrok, rizici mogu biti objektivni i subjektivni. Objektivni rizici proizlaze

iz prirode i zakonitosti funkcionisanja sistema u kojem se informaciona tehnologija

primjenjuje, dok subjektivni rizici nastaju namjerom pojedinaca ili grupa ili kada se u

sistemu ne poduzimaju raspoložive mjere zaštite od objektivnih rizika. Protiv

objektivnih rizika se teško štititi i njih nije moguće u potpunosti izbjeći. Subjektivni

rizici se mogu u potpunosti izbjeći preduzimanjem odgovarajaćih preventivnih mjera u

16

sistemu. U cilju pronalaženja odgovarajućih načina minimalicacije mogućih razlika,

neophodno je razviti i provesti primjereni skup postupaka, odnosno metodologiju

upravljanja rizicima. Kao i bilo koji drugi upravljački proces, i proces upravljanja

rizicima neophodno je pažljivo planirati. Takvim planom bi trebale biti obuhvaćene

sljedeće aktivnosti:

Identifikacija rizika - pri identifikaciji rizika se polazi od slabosti informacionog

sistema. Svaka organizacija mora uočiti nedostatke zaštite, te nastojati definisati

rizike, polazeći od njihovih mogućih izvora;

Ispitivanje vjerovatnoće i kvantifikacije rizika - kada su identificirani rizici kojima

je izložen informacijski sistem, nositelji zaštitne politike moraju pokušati

kvantificirati težinu i frekvenciju rizika, odnosno procjeniti vjerovatnoću njihovog

nastajanja u određenom vremenskom razdoblju;

Utvrđivanje prioriteta rizika - kvantifikacija rizika u vidu vjerovatnoće pretpostavka

je za određivanje prioriteta poduzimanja odgovarajućih protivmjera;

Identifikacija protivmjera - vrši kreator politike zaštite na bazi sugestija

administratora zaštite podataka, kada su u pitanju tehničke mjere i konsultacija sa

srednjim i top menadžmentom organizacije;

Utvrđivanje odnosa troškova i koristi od primjene protumjera – troškovima se

smatraju ukupni troškovi pripreme i poduzimanja određene protumjere, dok se

koristima smatraju troškovi koji su izbjegnuti eliminacijom određene vrste rizika;

Izbor najprihvatljivijih protivmjera - vrši se na bazi procjene odnosa troškova i

koristi za svaku od njih;

Implementacija izabranih protivmjera - mjere koje iskazuju niže troškove i vecu

koristi kandidata su za provedbu;

Definisanje mjera otklanjanja potencijalnih šteta - unatoč preduzetim protivmjerama

i dalje su određeni rizici prisutni. Iz tog razloga se planom upravljanja rizicima

moraju definisati i mjere otklanjanja potencijalnih šteta koje će nastati kao

posljedica realizacije rizika;

17

Kontrola, revizija i modifikacija plana postupka - na kraju, planom

upravljanja rizicima treba se utvrditi i obveza kontrole nad njegovim izvršavanjem,

te njegove povremene revizije i eventualne modifikacije.

Rizici koji prijete jednom računalnom sistemu su:

kompjuterski kriminal

sabotaža

špijunaža

Nedovoljna čistoća u prostorijama u kojima su smješteni računari

Slučajno ili namjerno kvarenje računrskih sistema

Razne vremenske nepogode.

3.2 Računarski (cyber) kriminal

Računari su u ranim fazama njihovog razvoja bili neophodni za neke veće zloupotrebe i

to iz dva osnovna razloga:

njihovo korištenje je podrazumijevalo posebnu edukaciju, tako da se njima bavio

samo relativno uzak krug informatičkih stručnjaka.

oni se nisu nalazili u masovnoj upotrebi.

Prilikom definisanja kompjuterskog kriminala neophodno je imati veoma širok pristup

koji se mora temeljiti na tri osnovna elementa:

1. načinu izvršenja,

2. sredstvu izvršenja,

3. posljedici kriminalnog djelovanja.

18

Kompjuterski kriminal predstavlja oblik kriminalnog ponašanja, kod koga se

korištenje računalne tehnologije i informatičkih sistema ispoljava kao način

izvršenja krivičnog djela, ili se računalo upotrebljava kao sredstvo ili cilj izvršenja.

Obrasci kompjuterskog kriminala su raznolika i brojni:

Krađa računarske oprema

Krađa računarskog privremena

Krađa softvera zbog neovlaštenog korištenja i prodaje

Upadanje između mreža zbog kopiranja i mjenjanja podataka

Kopiranje podataka iz računarskih centara bežičnim putem

Pronevjera zaposlenog osoblja između tvrtki.

19

4. ZAŠTITA U UVJETIMA ELEKTRONSKOG POSLOVANJA

Zaštita tajnosti podataka nikada nije bio jednostavan problem, ali sva njegova težina i

značaj dolaze do punog izražaja s pojavom računalnih mreža, a naročito Interneta i

elektroniskog poslovanja. Organizacije koje se bave elektronskim poslovanjem moraju

provoditi najmanje pet vrsta kontrolnih postupaka:

1. Kontrola povjerljivosti (Confidentiality Control),

2. Kontrola pristupa (Access Control),

3. Kontrola integriteta ( Integrity Control),

4. Kontrola raspoloživosti ( Availability Control),

5. Kontrola nemogućnosti poricanja ( Nonrepudiation Control).

4.1 Kontrola povjerljivosti

Povjerljivost informacija zahtijeva zaštitu informacijskog sadržaja od neovlaštenog

uvida i uporabe od strane neovlaštenih korisnika. Zaštita povjerljivosti informacijskog

sadržaja ostvaruje se kriptografijom,

Kriptografija je metoda ostvarivanja zaštite povjerljivosti informacionog sadržaja na

bazi nerazumljivosti poruka od strane onih subjekata kojima poruke nisu upućene.

Znanstvena metoda koja se bavi izučavanjem kriptografskih metoda naziva se

kriptologija,

Kriptoanaliza je znanost o ostvarivanju razumljivosti podataka od strane subjekata koji

su ih primili, a nisu trebali.

U sistemu u kojem se primjenjuju kriptološke metode pretpostavlja se postojanje

sljedećih entiteta: (pošiljatelj poruke, izvorna poruka, kriptografska metoda, kriptogram,

ovlašteni i neovlašteni korisnik). Pošiljatelj stvara izvornu poruku, nakon čega je

20

podvrgava kriptografisanju pomoću odgovarajuće metode i šalje ovlaštenom korisniku,

koji je prima i dekriptira.

Sve poznate kriptografske metode se mogu podijeliti u dvije skupine:

a) Metode premještanja ili transpozicije.

b) Metode kodne zamjene ili supstitucije.

Metode premještanja (transpozicije) Prikrivaju stvarni informacioni sadržaj zamjenom

mjesta znakova u izvornom sadržaju. Razlikuju se jednodimenzionalne ili linearne i

višedimenzionalne ili matrične metode. Jednodimenzionalne ili linearne metode izvorni

informacijski sadržaj, tzv.otvoreni tekst remete određenim postupcima kako bi izmijenio

izvorni redosljed znakova.

Višedimenzionalne ili matrične metode organizuju vanjski tekst u dvodimenzionalni ili

višedimenzionalni oblik ili matricu, a kriptogram nastaje iščitavanjem matrice na način

različit od njegovog punjenja u matricu.

Metode premještanja su se u praksi pokazale suviše jednostavnim pa su još ustar Rimu

razvijene prve metode kodne zamjene, Odnosno supstitucije.

Koriste se dvije abecede: izvorna i kodna. Izvornom abecedom se iskazuje vanjski tekst,

a kodnom kriptogram. Prva metoda je tzv. Cezarova metoda, koja kao izvornu abecedu

koristi latiničnu abecedu u njenom prirodnom redosljedu, a kao kodnu istu tu abecedu,

ali permutiranu za jedno ili više slovnih mjesta.

Kasnije se Cezarova metoda sa pomakom poboljšala uvođenjem tzv. ključa. Ključ je niz

znakova izvorne abecede, koji može ali i ne mora imati neko značenje, a postavlja se

kao prvi prilikom stvaranja kodne abecede. Tokom vremena razvija se čitav niz sve

21

složenijih metoda kodiranja zamjene poput Vigenoreova metoda, Sestrieva metoda,

metoda Playfair, Beassova metoda, Delastelleova metoda.

Enkripcija je kriptografski postupak koji kriptogram stvara u numeričkom obliku.

U praksi se najčešće koristi kombinacija većeg broja metoda premještanja imetoda

supstitucije, a postupak stvaranja kriptograma odvija se u većem broju slijednih i

ponavljajućih koraka. Takvi postupci se nazivaju kriptografskim algoritmima. Svaki

kriptografski algoritam se može transformisati u računarski program, pa iz toga proizlazi

da se kriptografisanje poruka može ostvariti jednostavno i brzo pomoću elektronskog

računala. Da bi se omogućila jednostavnija primjena tih algoritama u privatnim i javnim

komunikacijskim mrežama, 1975.godine je razvijen standard za enkripciju podataka.

Ovaj standard bi trebao osigura postizanje sljedećih ciljeva:

1. Garantuje visoku razinu pouzdanosti,

2. Jednostavan za upotrebu,

3. Kriptografski algoritam mora biti javnog karaktera, dakle poznat I dostupan svim

zainteresiranim korisnicima,

4. Prilagodljiv za upotrebu u okvirima različitih aplikacija,

5. Ekonomičan pri implementaciji i eksploataciji,

6. Primjenjiv u svakom konkretnom slučaju.

Standard za šifriranje podataka DES je enkripcijski algoritam koji je razvijen iz

kriptografskog algoritma lucifer, Kojeg je početkom 1970-ih godina osmislila tvrtka

IBM

DES spada u kategoriju blok-šifara, jer enkriptuje podatke u 64-bitne blokove uz

primjenu 64-bitnog ključa.

22

Konkretne metode zamjene i premještanja znakova u izvornoj poruci radi stvaranja

kriptograma, kao i redosljed njihove primejne određuje ključ (key). ključ

(Slika 4.1) Data Encryption Standard

U javnim komunikacijskim mrežama u uvjetima elektronskog poslovanja, enkripcijski

algoritmi u infrasturkture javnog ključa koji su se pokazali primjereni i dovoljno

pouzdani su sljedeći:

RSA algoritam, koji je nastao kao akronim početnih slova prezimena tvoraca

algoritama, Ronalda L.Rivesta, Adija Šawira i Leonarda M.

PGP algoritam

Grupa algoritama zasnovana na sažecima

RSA algoritam se može koristiti kako za enkripciju informacijskog sadržaja, tako i za

autentifikaciju, odnosno utvrđivanje vjerodostojnosti sadržaja ili identiteta pošiljatelja.

dužina RSA algoritma može biti između 40 i 1024 bita, temelji se na primjeni javnog i

tajnog ključa.

PGP algoritam je algoritam za autentifikaciju i enkripciju informacija u infrastrukturi

javnog ključa, koji je izuzetno popularan u Internetu, zbog svoje robusnosti i

23

pouzdanosti, ali i činjenice da je njegova upotreba u nekomercijalne svrhe od samog

početka bila besplatna.

PGP sistem koriste praktično svi Internet servisi i on predstavlja izuzetno kvalitetno

sredstvo zaštite tajnosti podataka u mnogim poslovnim primjenama Interneta, kao što je

elektronska pošta, elektronska razmjena podataka i elektronske financijske transakcije.

U upotrebi je i skupina algoritama koji se temelje na sažecima. Sažetak poruke je niz

znakova fiksne dužine, koji se izvodi iz informacije koja može biti varijabilne dužine.

4.2 Kontrola pristupa

Kontrolom pristupa se provjere autentičnosti identitet onog ko nastoji pristupiti

računalnim ili informacijskim resursima, te kontrolira upotreba tih resursa.

Autentifikacija predstavlja provjeru vjerodostojnosti identiteta subjekta koji traži

pristup nekom sistemu ili mreži. Najpoznatiji mehanizmi autentifikacije korisnika koji

su do sada razvijeni su sljedeći:

Autentifikacija temeljena na statičnim lozinkama - ovo je osnovni oblik

autentifikacije koji se koristi u savremenim informacijskim sistemima. Klijent

koristi određenu identifikaciju i lozinku kako bi se predstavio sistemu, a sistem

održava lozinku u enkriptovanim formatu.

Autentifikacija pomoću hardverskih uređaja - ovo je metoda autentifikacije pri kojoj

određeni uređaj (Token) ima u sebi memorisane potrebne identifikacione oznake

korisnika, koje mogu poslati na provjeru radi autentifikacije sistemu kojem se želi

pristupiti.

Autentifikacija temeljena na dinamičnim lozinkama - ima za cilj smanjiti rizik od

krađe lozinki iz mreže. Ova autentifikacijski šema zahtijeva od korisnika prilikom

svake nove autentifikacije unos nove lozinke, koja je različita od prethodne

24

korištene. Generišu ih hardverski uređaji tokeni, koji su prethodno programirani za

svakog korisnika.

Biometrijska autentifikacija - zasniva se na upotrebi fizičkih, odnosno fizioloških

svojstava korisnika kao sredstva za njegovu identifikaciju.

Autentifikacija temeljena na javnim i privatnim ključevima - u ovom slučaju snažan

mehanizam autentifikacije predstavlja infrastrukturu javnog ključa.

4.3 Kontrola integriteta, raspoloživosti i nemogućnosti poricanja

kontrola integriteta štiti podatke ili računarske resurse od bilo kakvih namjernih ili

nenamjernih nedopuštenih izmjena. Integritet osigurava tačnost i potpunost informacija.

kontrola raspoloživosti podrazumijeva osiguranje kontinuiteta obrade podataka i

raspoloživosti informacija. Smanjenjem ili potpunim ukidanjem raspoloživosti

informacijskih ili računalnih resursa utječe se na rad sistema I poslovanje organizacije,

što može uzrokovati financijske štete i smanjenjekvaliteta usluga pruženim klijentima.

Kontrolom nemogućnosti poricanja se osigurava da korisnici ne mogu poricati

aktivnosti koje su poduzeli. Primjer takve situacije je kada klijent u elektronskoj trgovini

naruči neku robu, a kasnije je ne želi primiti, tvrdeći da je nije naručio. Takvi incidenti

se mogu spriječiti upotrebom digitalnog potpisa.

25

5 INFRASTRUKTURA JAVNOG KLJUČA

Organizacije diljem svijeta koriste novu generaciju distribuiranih aplikacija, koje im

omogućuju isporuku proizvoda i usluga putem intraneta, ekstraneta i Interneta.

Okruženje u kojem se implementeraju takve aplikacije mora biti stalno raspoloživo i

pouzdano, kako bi klijenti organizacije osjećali povjerenje, a sama organizacija mogla

koristiti sve prednosti elektronskog tržišta.Osnova za razvoj sigurnih distribuiranih

aplikacija u takvom okruženju jeste infrastruktura javnog ključa koja omogućuje

autentičnu, privatnu i nesmetanu komunikaciju.

Korisnici prije nego što se odluče na razmjenu informacija putem Interneta, zahtijevaju

određene mehanizme koji će im jamčiti ne samo integritet podataka koje šalju

internetom, nego i onu razinu diskrecije koja im omogućuje i tradicionalni način

obavljanja transakcija. Oni žele njihove elektronske transakcije da budu povjerljive i

zaštićene od neovlaštenih izmjena.

Kriptografija pomoću javnog ključa osigurava povjerljivost osjetljivih informacija ili

poruka primjenom matematičkog algoritma ili ključa, kojima se enkriptuju, odnosno

šifriraju podaci, te povezanog matematičkog ključa kojima se oni dekriptiraju, odnosno

dešifriraju. Najznačajnija komponenta infrastrukture javnog ključa jeste certifikacijski

autoritet. To je tzv. treća strana od povjerenja koja izdaje digitalne certifikate i upravlja

certifikatima tijekom njihovog cijelogživotnog ciklusa.

U elektronskom poslovanju koristi se i niz manje značajnih dokumenata koji se prenose

u elektronskom obliku, a koji također moraju biti na neki način ovjereni. To se može

postići primjenom tehnike digitalnog potpisa, čime će sudionici u nekom poslu moći

potvrditi da su neki dokument poslali, a drugi da su ga primili.

26

Digitalni potpis je elektronski identifikator usporediv s tradicionalnim svoje ručnim

potpisom, jedinstven je, moguće ga je verificirati i samo korisnik može identificirati

njegovo generisanje. Da bi se spriječilo negiranje digitalno potpisanog ugovora,

elektronski potpisan dokument mora uključivati određene elemente i zadovoljavati

uvjete:

mora jasno i detaljno održavati iskazanu volju svih ugovornih strana za sklapanje

ugovora;

mora jasno ukazivati na činjenicu da su ugovorne strane voljne preuzeti obaveze iz

ugovora;

ugovor mora biti autentičan, bez ikakvih modifikacija.

27

(Slika 5.1) Enkripcija pomoću javnog ključa i digitalni potpis

Infrastruktura javnog ključa pruža sljedeće:

1. povjerljivost - osigurava da samo željeni primatelji mogu čitati poruke

2. Integritet podataka - osigurava da se poruke ne mogu mijenjati

3. autentifikacija - jamči da su sudionici u elektronskoj komunikaciji upravo oni

kojima i kakvima se predstavljaju

4. Neosporavanje - onemogućava sudionicima poricanje sudjelovanja u izvršenoj

elektronskoj transakciji.

28

Kvaliteta infrastrukture javnog ključa naročito se ogleda u tome što se funkcije

enkripcije, dekripcije i verifikacije identiteta obavljaju vrlo brzo i nevidljivo za

sudionike u komunikaciji iako su efekti gotovo isti kao da se radi o potpunoj i sigurnoj

komunikacija "face to face".

Tehnologija infrastrukture javnog ključa omogućuje korištenje jednog od dva modela

izgradnje takve infrastrukture za potrebe organizacije u okruženju elektronskog

poslovanja. To su:

Nabavka samostalnog softvera infrastrukture javnog ključa - u ovom slučaju

organizacija preuzima potpunu odgovornost za nabavku i korištenje tehnologije,

uključujući potrebne računalne sisteme, telekomunikacijske vezei uređaje, baze

podataka, zaštitu svog Web- sajta, zaštitu mrežne konfiguracije, itd..

Korištenje platforme integrirane u infrastrukturu javnog ključa - ovaj model

garantuje usluge prema načelu, podjelu investicijskog opterećenja i podjelu rizika,

te ima daleko više izgleda na uspjeh. U ovom modelu se kombinuju softver i

hardver infrastrukture javnog ključa koji kontroliše organizacija, kompatibilnost s

javnim aplikacijama, te usluge upravljanja certifikatima i vitalnim dijelovima

infrastrukture koje pruža za to specijalizovana institucija.

29

ZAKLJUČAK

U današnjem "umreženom" svijetu, sigurnost podataka i informacija je ključno, posebno

kada se u uzme obzir da svaka Firma/Kompanija u svakom trenutku može biti meta

napada ili potencijalna žrtva propusta. Ranjivost (vulnerable) sistema može

prouzrokovati financijske gubitke ili problem, naškoditi imidžu kompanije, umanjiti

produktivnost i prihode, a rješenja takvog napada je često vrlo skupa i dugotrajna.

sigurnost sistema i zaštita podataka, te procjene trenutnog stanja, testiranja ranjivosti

sistema, izrade rješenja za sanaciju sigurnosnih propusta do integracije rješenja u

postojeći sistem, je vrlo težak, mukotrpan i skup posao. jer u svakom slučaju je potrebno

zaštiti opremu, alarmnim sistemom, protiv požara, zagrijavanja i slično, te klima

uređajima kako bi se prostor hladio, te plačati stručnjake za zaštitu sistema, kako bi vršli

redovno ažuriranje sistema i uređaja, i najvažnije postavljanje Firewalla koji štiti

informacioni sistem od upada nepoželjnih osoba.

zbog toga postoji veliki broj kompanija koje se bave zaštitom podataka i informacionih

sistema, koje toplo preporučujem svim korisnicima velikih informacijskih sistema kako

bi imali uvijek zaštitu ili rješenje takvog problema.

30

LITERATURA

1. http://www.cert.org%2Farchive%2Fpdf%2Finsiderthreat_programmers_1208.pd

f 19.6.2013

2. http://www.apisgroup.org/sec.html?id=10 19.6.2013

3. http://hr.wikipedia.org/wiki/Za%C5%A1tita_podataka 19.6.2013

4. http://www.tekbar.net/internet/e-commerce-web-site-security-control-of-

resistance.html 19.6.2013

5. sr.wikipedia.org/wiki/Википедија.../Sigurnost_elektronskih_transakcija

19.6.2013