model for computer system security level assessment based on ...

SVEUČILIŠTE JOSIPA JURJA STROSSMAYERA U OSIJEKUELEKTROTEHNIČKI FAKULTET OSIJEKKrešimir ŠolićMODEL ZA PROCJENU RAZINESIGURNOSTI RAČUNALNOG SUSTAVAZASNOVAN NA ONTOLOGIJI I ALGORITMUZA EVIDENCIJSKO ZAKLJUČIVANJEDOKTORSKA DISERTACIJAOsijek, 2013.

Model za procjenu razine sigurnosti računalnog sustavaPOPIS KRATICAAURUM Programsko rješenje za evaluaciju sigurnosti (eng. Automated Riskand Utility Management)AHPJedan od procesa korištenih za analizu, dio MOPM metodologije(eng. Analytic Hierarchy Process)BCCOpcija alata za elektroničku poštu (eng. Blind Carbon Copy)CORASMetoda za analizu sigurnosnog rizikaCERTNacionalna organizacija s ciljem očuvanja in<strong>for</strong>macijske sigurnostiu državi (eng. Computer Emergency Response Team)DDP Vrsta evaluacijskog procesa (eng. Defect Detection andPrevention)EBIOSFrancuska sigurnosna norma (franc. Expression des besoins etidentification des objectifs de sécurité)ENISAEuropska agencija za sigurnost (eng. European Network andIn<strong>for</strong>mation Security Agency)FENISA Francuska državna agencija za sigurnost (eng. French Network andIn<strong>for</strong>mation Security Agency)GSToolProgramsko rješenje za evaluaciju sigurnosti zasnovano nanjemačkoj sigurnosnoj normiIDSKomercijalni programski paket (eng. Intelligent Decision System)IDSSustav za otkrivanje napada (eng. Intrusion Detection System)IP adresa Jedinstvena identifikacijska adresa uređaja spojenog na Internet(eng. Internet Protocol)IPSSustav za sprječavanje napada (eng. Intrusion Prevention System)ITIn<strong>for</strong>macijska tehnologija (eng. In<strong>for</strong>mation Technology)IT-Grundschutz Njemačka sigurnosna norma (njem. die In<strong>for</strong>mationstechnikGrundschutz)ISO/IEC 27000 Skup međunarodnih normi iz područja in<strong>for</strong>macijske sigurnosti(eng. International Organization <strong>for</strong> Standardization/ InternationalElectrotechnical Commission)MCDAJedan od postupaka analize koji služi kao podrška odlučivanju (eng.Multiple-Criteria Decision Analysis)vi

Model za procjenu razine sigurnosti računalnog sustavaMOPMNATNISTOSOWLPACTPSORAIDSANSSASSBASDSREUMLUPSXMLVrsta metodologije korištene kao podrška programiranju (eng.Multi Objectives Programming Methodology)Proces modifikacije IP adrese (eng. Network Address Translation)Američka federalna agencija za norme i tehnologiju (eng. NationalInstitute of Standards and Technology)Operacijski sustav (eng. Operating System)Semantički jezik za <strong>for</strong>malno predstavljanje znanja (eng. OntologyWeb Language)Modovi korišteni u procesu DDP (eng. Preventative measures,Analyses, process Controls and Tests)Algoritam optimizacije rojem čestica koji se koristi u procesuanalize, dio metodologije MOPM (eng. Particles SwarmOptimization)Metoda zalihosti tvrdog diska (eng. Redundant Array ofIndependent Disks)Američki institut za istraživanje i edukaciju (eng. SysAdmin, Audit,Network, Security)Nekomercijalni programski alat, podrška za matematički izračunprema proširenom algoritamu za evidencijsko zaključivanje (eng.System Assessor Software)Austrijski institut za in<strong>for</strong>macijsku sigurnost (eng. Secure BusinessAustria)Standardna devijacija, odstupanje podataka od aritmetičke sredinepri normalnoj razdiobi (eng. Standard Deviation)Skup analitičkih metoda za in<strong>for</strong>macijsku sigurnost (eng. SecurityRequirements Engineering)Jezik za grafički prikaz i <strong>model</strong>iranje objekata (eng. UnifiedModeling Language)Zaštita od prenapona i prekida napajanja in<strong>for</strong>matičke opreme (eng.Uninterrupted Power Supply)Jezik za označavanje podataka (eng. Extensible Markup Language)vii

Model za procjenu razine sigurnosti računalnog sustavaPOPIS POJMOVAIn<strong>for</strong>macijska sigurnostIn<strong>for</strong>macijski sustavRačunalni sustavKorisnik sustavaAlgoritam za evidencijskozaključivanjeOntologijaOntologija o sigurnostiInteligentni agentAgentov algoritamDistribucija ocjeneRaspon korištenih ocjenaPrema hrvatskom zakonu o in<strong>for</strong>macijskoj sigurnosti„In<strong>for</strong>macijska sigurnost je stanje povjerljivosti,cjelovitosti i raspoloživosti podatka“ odnosno zaštitain<strong>for</strong>macije u obliku zapisanog podatka.Organizacijski dio većeg (poslovnog) sustava odgovoranza manipulaciju potrebnim in<strong>for</strong>macijama.Svrha računalnog sustava je pretvorba podataka uin<strong>for</strong>macije, u širem smislu obuhvaća mrežne elemente,programe, računalnu opremu, korisnika i drugo.Osoba koja istovremeno pripada sustavu te koristi uslugesustava.Odabrani algoritam za izračun ukupne ocjene pri procjenirazine sigurnosti računalnog sustava; gradivni diorazvijenog <strong>model</strong>a.Koncept <strong>for</strong>malnog predstavljanja znanja o nekoj domeniod interesa uporabom predikatne logike; gradivni diorazvijenog <strong>model</strong>a.Cilj je nekoliko aktualnih znanstvenih projekata razvitisveobuhvatnu bazu znanja o in<strong>for</strong>macijskoj sigurnosti u<strong>for</strong>mi ontologije.Računalni program s mogućim mehaničkim elementimakoji može percipirati okolinu osjetilom odnosnosenzorom te djelovati na okolinu nekim instrumentomodnosno aktuatorom; gradivni dio razvijenog <strong>model</strong>a.U radu je predložen algoritam za jednostavnoginteligentnog agenta (program koji kontrolira procesprocjene te donosi zaključke odnosno odluke); gradivnidio razvijenog <strong>model</strong>a.Čini je 6-torka, niz od 5 ocjena te nesigurnost uzpripadajuće proporcije uvjerenja.Raspon ocjena distribucije jeste: „loše“, „dovoljno“,i

Model za procjenu razine sigurnosti računalnog sustava„prosječno“, „vrlo dobro“ i „izvrsno“ te „nesigurnost“.Ukupna ocjena procjene Jedna vrijednost koja proizlazi iz distribucije 6-torke,koristi se za usporedbu razine sigurnosti među sustavimate s referentnim vrijednostima (eng. utility number).Nesigurnost u procjeni Šesti element distribucije ocjene nastaje zbogsubjektivnosti, nepoznatih ili nepotpunih vrijednostiprocjene, a definira interval nesigurnosti.Interval nesigurnosti Odstupanje u ukupnoj ocjeni procjene zbog nesigurnostiu procjeni.Metoda grozd analize Statistički <strong>model</strong> za grupiranje vrijednosti na osnovu,unaprijed nepoznatih, karakterističnih svojstava; u radukorišten za kategorizaciju korisnika radi testiranja<strong>model</strong>a.Model za procjenu razinesigurnosti računalnogsustavaU radu je predstavljen <strong>model</strong> kao okvir za budućesveobuhvatno programsko sigurnosno rješenje ISET(eng. In<strong>for</strong>mation Security Evaluation Tool).ii

Model za procjenu razine sigurnosti računalnog sustava1. UVODNA RAZMATRANJAProblemi u području in<strong>for</strong>macijske sigurnosti su konstantno prisutni iako postoji cijeliniz različitih sigurnosnih uputa i programskih rješenja, koji različitim pristupimarješavaju razne sigurnosne probleme, služe za procjenu razine sigurnosti ili procjenusigurnosnog rizika.Također postoji određeni stupanj nerazumijevanja između sigurnosnih stručnjaka,menadžera za sigurnost i IT inženjera, koji prilikom zajedničkih napora u rješavanjusigurnosnih problema koriste različite pojmove za slična ili ista sigurnosna pitanja.Menadžeri za sigurnost su više orjentirani na organizacijski dio koji se odnosi naprocjenu rizika i uvođenje sigurnosnih normi nasuprot IT inženjerima koji direktnoispituju sustav, na primjer metodom etičkog penetracijskog ispitivanja. Umjestosuprotstavljanja ova dva pristupa potrebno je organizirati suradnju te stvoritirazumijevanje kako bi se postigao zajednički cilj.Prema zahtjevima in<strong>for</strong>macijske sigurnosti, potrebno je postići stanje povjerljivosti,cjelovitosti te raspoloživosti podatka, a ono se postiže primjenom propisanih mjera inormi in<strong>for</strong>macijske sigurnosti te organizacijskom podrškom [1]. In<strong>for</strong>macija u smisluzapisanog podatka tako postaje glavni element sustava koji treba sigurnosno braniti [2].Zaštita podatka svodi se na fizičku, programsku, mrežnu zaštitu sustava, sigurnosneprocedure za zalihost, prevenciju i oporavak nakon incidenta ali i na ograničavanjeutjecaja potencijalno rizičnog ponašanja korisnika.Nekoliko je aktivnih znanstvenih projekata koji pokušavaju stvoriti cjelovito sigurnosnorješenje povezivanjem postojećih sigurnosnih uputa, najboljih postojećih sigurnosnihrješenja i sigurnosnih normi. Neki od važnijih izvora in<strong>for</strong>macija su ISO/IEC 27000serija sigurnosnih normi (eng. International Organization <strong>for</strong> Standardization/International Electrotechnical Commission ) [3], europska agencija za sigurnost ENISA(eng. European Network and In<strong>for</strong>mation Security Agency) [4], američki institut NIST(eng. National Institute of Standards and Technology) [5], InfoSec institut [6], SANS(eng. SysAdmin, Audit, Network, Security) institut [7], nacionalne CERT (eng.Computer Emergency Response Team) organizacije [8, 9], razne nacionalne sigurnosneupute [10, 11] i drugi. Ovi izvori in<strong>for</strong>macija o sigurnosnim problemima i rješenjima1

Model za procjenu razine sigurnosti računalnog sustavakorišteni su kao osnova za izradu cjelovitih sigurnosnih rješenja kao što su na primjersljedeće baze znanja: ontologija o sigurnosnim metrikama [12], knjiga osveobuhvatnom znanju o sigurnosti (eng. Common-Body-Of-Knowledge) [13] tesveobuhvatna ontologija o sigurnosti [14]. Također, razvijeno je nekoliko programskihrješenja koja se koriste za procjenu sigurnosnih rizika. Neka od korištenih rješenja su:programsko rješenje AURUM (eng. Automated Risk and Utility Management)zasnovano na normi NIST SP 800-30 [15], rješenje GSTool zasnovano na njemačkimnacionalnim in<strong>for</strong>macijsko-sigurnosnim uputama (njem. die In<strong>for</strong>mationstechnikGrundschutz) [10, 16], programsko rješenje EBIOS zasnovano na francuskoj metodi(franc. Expression des besoins et identification des objectifs de sécurité) [17], metodaCORAS za analizu rizika [18] koja djelomično podržava normu ISO/IEC 27001,evidencijska metoda DDP za kvantitativnu analizu rizika (eng. Defect Detection andPrevention process) [19] te metodologija MOPM (eng. Multi Objectives ProgrammingMethodology) [20].Navedena rješenja su pretežno razvijena ili za menadžere sigurnosnih odjela ili za ITinženjere i administratore te im često nedostaje element koji bi se odnosio na utjecajponašanja korisnika sustava u procjeni sigurnosnog rizika. Također niti jedno rješenjese nije pokazalo kao sveobuhvatno niti opće primjenjivo istovremeno na sve sigurnosneelemente in<strong>for</strong>macijskog sustava.1.1. Ciljevi radaS obzirom kako su radovi koji ističu problem utjecaja ponašanja korisnika na sigurnostsustava i in<strong>for</strong>macije pretežno novijeg datuma ciljevi ovog istraživanja su sljedeći:a) osmisliti i provesti eksperiment te analizom tako prikupljenih empirijskihpodataka izmjeriti i potvrditi utjecaj ponašanja korisnika na osobnu sigurnost,sigurnost podatka koji koristi i sustava kojemu pripada;b) razviti <strong>model</strong> za sveobuhvatnu procjenu razine sigurnosti računalnog sustavakoji će biti modularan i skalabilan (proširiv na nove sigurnosne segmente tenadogradiv novim znanjem o sigurnosnim pitanjima);c) primjenom <strong>model</strong>a za procjenu razine sigurnosti računalnog sustava analiziratitrenutno stanje, odnosno identificirati vrste korisnika rizičnijeg sigurnosnogponašanja;2

Model za procjenu razine sigurnosti računalnog sustavad) prikazati primjenu <strong>model</strong>a vrednovanjem razine sigurnosti više različitihposlužitelja;Eksperimentom se želi istaknuti problem utjecaja ponašanja korisnika te naglasitipotreba uključenja ljudskog utjecaja u projektiranje i razvoj sigurnosnih rješenja.Model za procjenu razine sigurnosti računalnog sustava treba biti modularan, odnosnoproširiv, kako bi s njim bilo moguće obuhvatiti sve sigurnosne elemente in<strong>for</strong>macijskogsustava pa tako i procjenu sigurnosnog rizika ocjenom ukupne razine sigurnosti; ocjenuponašanja korisnika te evidenciju kritičnih elemenata sustava kao krajnjeg rezultatasigurnosne procjene. Također je potrebno omogućiti korištenje dostupnih baza znanja oin<strong>for</strong>macijskoj sigurnosti ovim <strong>model</strong>om, kako bi se ispunio uvjet nadogradivosti novimsaznanjima o sigurnosnim pitanjima.1.2. Korištene metode i programski alatiU radu je korištena metoda prikupljanja empirijskih podataka. U tu svrhu osmišljen jeeksperiment i analiza prikupljenih podataka uobičajenim neparametarskim metodama(Mann-Whitney te Kruskal-Wallis testovi) s ciljem testiranja hipoteze o utjecajuponašanja korisnika. Također su korištene statističke metode grozd analize tepripadajuća diskriminacijska analiza za potrebe ispitivanja kvalitete procjene <strong>model</strong>omza procjenu razine sigurnosti, odnosno primjene na ljudskom ponašanju.Statistička obrada podataka načinjena je programskim alatom STATISTICA (inačica10.0 StatSoft Int. Tulsa, OK, SAD), uz statističku značajnost postavljenu na α=0.05.Iako autori imaju slobodu postavljanja statistički značajne razine, uobičajeno jepostaviti ju na vrijednost od α=0.05, dok kod istraživanja koja zahtjevaju veću točnostpreporuka je postaviti statistički značajnu razinu na α=0.01. Primjer istraživanja u kojimse zahtjeva veća točnost su istraživanja u farmaciji, gdje krivi zaključci mogu imatiteške posljedice po ljudske živote. Statistički značajna razlika u razdiobi izmjerenogatributa između dvije skupine je potvrđena u slučaju kada je statističkom analizomdobivena p vrijednost manja od zadane statistički značajne razine odnosno kada je p

Model za procjenu razine sigurnosti računalnog sustavaPrilikom izrade podontologija korištena su pravila objektnog programiranja pomoćuprogramskog alata otvorenog koda Protégé (inačica 4.1 Sveučilište Stan<strong>for</strong>d,Kali<strong>for</strong>nija, SAD) [22]. Podontologije su <strong>model</strong>irane u OWL datoteke.Za grafički prikaz algoritma inteligentnog agenta korišten je standardni prikazdijagramom tijeka dok se pseudokod algoritma inteligentnog agenta nalazi u prilogu Aovoga rada.Izračuni u <strong>model</strong>u za procjenu razine sigurnosti koji se odnose na prošireni algoritam zaevidencijsko zaključivanje, načinjeni su programskim alatom SAS (verzija 2,Elektrotehnički fakultet, Osijek, RH) [23], no na tržištu je dostupan i komercijalniprogramski paket IDS (inačica 2.1, IDS Ltd., Manchester, UK) uz besplatnu probnuinačicu [24].Za prikupljanje podataka o rizičnosti ponašanja, odnosno svjesnosti korisnika osigurnosnim pitanjima, a kako bi se vrednovao <strong>model</strong> za procjenu razine sigurnostiračunalnog sustava, razvijena je anketa za anonimno anketiranje u suradnji s kolegamapsiholozima. Anketa se nalazi u prilogu B ovoga rada.4

Model za procjenu razine sigurnosti računalnog sustava2. UVODNI EKSPERIMENTDanašnja sveprisutnost Interneta, kako u privatnom tako i u poslovnom okruženju,odnosno preslikavanje sve više elemenata „stvarnog“ svijeta u „virtualni“ svijet, dajesve veću važnost in<strong>for</strong>macijskoj sigurnosti u tom virtualnom svijetu, baš kao što sepodrazumijeva postojanje nužne fizičke zaštite u stvarnome svijetu. Tehnička rješenjafizičke i programske zaštite uz razvijene sigurnosne procedure te zalihost iautomatizaciju sigurnosnih kopija su danas na visokoj razini. Međutim utjecaj korisnikana sigurnost, iako je znatna, tek je zadnjih godina prepoznata, a rješenja problemakontrole i edukacije korisnika tek su u zasnivanju [25, 26, 27].Postojeća sigurnosna rješenja koja uzimaju u obzir utjecaj ponašanja korisnika mogu sepodijeliti na razvoj koncepta povjerenja na Internetu [28, 29], izradu <strong>model</strong>a za analizu[30], snimanje [31, 32] i predviđanje ponašanja korisnika [33], edukaciju korisnika [34,35, 36] te upute korisnicima od strane centara za razvoj sigurnosti [37, 38]. Temelj ovihi budućih rješenja treba biti razvoj određenog stupnja nepovjerenja korisnikain<strong>for</strong>macijskih sustava, odnosno Interneta, prema nepoznatom [29, 39]. To bi značiloprimjenu naučenih pravila iz „stvarnog svijeta“, kao što je na primjer zaključavanjekućnih vrata te zatvaranje prozora na parkiranom automobilu, na „virtualni svijet“, kaošto je korištenje kvalitetnih lozinki te redovito ažuriranje antivirusne zaštite.Nein<strong>for</strong>miranost i tromost korisnika in<strong>for</strong>macijskih sustava bila je poticaj zaosmišljavanje i provođenje eksperimenta kojim je ispitivana teza kako korisnik svojimponašanjem može utjecati na svoju sigurnost, sigurnost podataka koje posjeduje tesustava kojima pripada [40]. Zbog velike dostupnosti i široke primjene za eksperimentje odabran sustav za komunikaciju elektroničkom poštom (eng. e-mail <strong>system</strong>) kaopodsustav računalnog sustava, odnosno analiza količine pristigle neželjene pošte.2. 1. Metoda ispitivanjaZa potrebe eksperimenta otvoreno je četiri puta po 19 adresa elektroničke pošte narazličitim domenama: sedam adresa je bilo iz domene svjetski poznatih besplatnihpružatelja usluge elektroničke pošte (kao što su gmail, yahoo, AOL i drugi), četiri5

Model za procjenu razine sigurnosti računalnog sustavaadrese su otvorene na domenama nacionalnih pružatelja usluga pristupa Internetu iupotrebi elektroničke pošte (Net.hr, T-Com, VIP i B-Net), dok su ostale adrese bileotvorene na raznim institucijskim domenama i domenama poslovnih organizacija.U periodu od prvih godinu dana u prosjeku svaki drugi tjedan sa svakom adresom izpojedine skupine adresa, na isti način, tijekom istog dana, simulirano je ponašanjeopreznog korisnika te ponašanje neopreznog (naivnog, nonšalantnog, neupućenog)korisnika. Adrese koje su činile kontrolnu skupini nisu bile korištene za elektroničkukomunikaciju. Tijekom druge godine također je praćena količina pristigle neželjenepošte no nije bilo simulacijskih aktivnosti.Oprezan korisnik je, u ovome eksperimentu, definiran kao korisnik sustava elektroničkepošte koji sustav koristi isključivo za komunikaciju s poznatim sugovornicima (prijateljii poslovne kolege) te se za razliku od neopreznog ponaša izrazito sigurno.Za simulaciju komunikacije elektroničkom poštom opreznog korisnika koristile su seistovremeno, odnosno unutar istog dana, sve adrese iz skupine „oprezan korisnik“, akomunikacija je simulirana isključivo razmjenom elektroničkih pisama s prijateljima ikolegama na način da su pisma pisana sa svake pojedine e-mail adrese uz postavljanjeostalih adresa iz skupine u dodatnu adresnu liniju, odnosno opciju BCC (eng. BlindCarbon Copy) dok su sugovornici bili zamoljeni odgovoriti na sve adrese opcijom„odgovori svima“ (eng. Reply-to-all). Na ovaj način je u jednom ciklusu poslana porukasa svake od adresa iz skupine te je svaka adresa dobila isti broj odgovora.Neoprezan korisnik je definiran kao korisnik koji nije oprezan prilikom komunikacijesustavom elektroničke pošte s obzirom na sigurnosna pitanja. Takav korisnik ne pravirazliku između službene i privatne adrese, registrira se po raznim web uslugama,ostavlja adresu čitljivom u izvornome obliku „naokolo“ po Internetu, otvara priloge odnepoznatih pošiljatelja, odgovara na neobične poslovne ponude iz „egzotičnih“ zemalja,šalje svoje privatne podatke bez kriptiranja, možda čak posuđuje svoje korisničkepodatke „kolegi u potrebi“ te drugo.Za simulaciju dijela potencijalno nesigurne komunikacije neopreznog korisnika, onukoja se ocjenjuje kao najnesigurnija (registracija na razne web usluge te ostavljanjeadrese elektroničke pošte u izvornom obliku, bez ikakve zaštite, na Internetu [41, 42])korištene su dvije skupine adresa „registracijske adrese“ te „adrese postavljene na web6

Model za procjenu razine sigurnosti računalnog sustavastranicu“. Sa svakom pojedinom adresom iz skupine „registracijskih adresa“ tijekomistog dana registriran je po novi korisnik na neku novu, za sve adrese istu, web uslugu(<strong>for</strong>umi, investicijski fondovi, socijalne mreže, usluge za upoznavanje i drugo) te je sasvakom od adresa aktivirana usluga prijavom i početnim korištenjem web usluge. Zaadrese iz skupine „adrese postavljene na web stranicu“ konstruirana je i postavljena naInternet web stranica kao podstranica web stranice znanstvene institucije s direktnomvezom s naslovne stranice. Stranica je sadržavala kratak opis projekta, kontakt podatkeautora te popis svih adresa iz grupe prikazanih nemaskirano odnosno u izvornom obliku(npr. pksolic@mefos.hr). Stranica je nakon pola perioda simulacije, odnosno nakonperioda od šest mjeseci, registrirana kroz uslugu za registraciju pretraživačaGoogle.com kako bi postala pretraživa, odnosno prepoznatljiva, prilikom pretrage uInternet pretraživaču.Svaki ponedjeljak tijekom obje godine, perioda simulacije i perioda praćenja,kontrolirana je količina neželjene pošte pristigle na pojedinu adresu te je na krajupojedine godine pobrojana i ukupna količina neželjene pošte pristigle po pojedinojadresi.Rezultati su prikazani aritmetičkom sredinom te ukupnim rasponom, a analiza jeučinjena statističkim neparametarskim testovima uz postavljenu značajnost na α=0.05.2. 2. Rezultati i raspravaZa usporedbu količine neželjene pošte između pojedinih skupina adresa pobrojana jeukupna količina pristigle neželjene pošte na kraju perioda simulacije, dok je za analizupromjene količine neželjene pošte tijekom simulacije pobrojana količina neželjene poštepristigle po mjesecima.Neželjena pošta je na adrese iz skupine „adrese postavljene na web stranicu“ počelapristizati tek nakon što je stranica registrirana na Google pretraživaču (šest mjesecinakon početka eksperimenta), odnosno desetak dana nakon što je postala prepoznatljivana navedenom pretraživaču.Iz tablice 2.1 očitava se statistički značajna razlika u količini neželjene pošte poskupinama (p

Model za procjenu razine sigurnosti računalnog sustavaznačajna razlika između skupina „registracijske adrese“ te „adrese postavljene na webstranici“ (p=0,786; korišten Mann-Whitney U test). Kontrolna skupina nije uključena ustatističku obradu podataka.Također dodatni rezultat je u tome što je u skupinu adresa „adrese postavljene na webstranici“ neželjena pošta počela pristizati tek nakon registriranja web stranice, što možeznačiti da bi pristiglo znatno više neželjene pošte na adrese iz ove skupine.Tablica 2.1. Prosječna količina pristigle neželjene pošte po adresiKoličina neželjene pošte po adresi/aritmetička sredina (minimum-maksimum)Grupe adresaAdrese pažljivihkorisnikaPeriodsimulacije(prva godina)Period nakonsimulacije(drugagodina)Ukupni periodpraćenja0.63 (0-3) 1.02 (0-4) 0.83 (0-4)Registracijske adrese 17.17 (3-67) 21.33 (0-78) 19.25 (0-78)Adrese postavljene naweb stranicuKontrolna skupinaadresa15.58 (0-31) 26.58 (0-53) 21.08 (0-53)0.00 (0-0) 0.00 (0-0) 0.00 (0-0)Broj neželjenih poruka je u prosjeku rastao kroz vrijeme simulacije, no neravnomjerno:na vrhuncu je bio u siječnju za vrijeme simulacijskog perioda, da bi u veljači i ožujkuznatno opao (slika 2.1). U drugoj godini praćenja količina prosječno pristigle neželjenepošte je podjednako i rasla i opadala.Rezultati eksperimenta pokazuju značajnu razliku u prosječnoj količini neželjene poštepristigle na adrese pojedinih skupina. S obzirom kako više neželjene elektroničke pošteznači veću količinu zlonamjernih poruka (reklame, virusi, trojanci, crvi, razne vrstesocijalnog inženjeringa), što povećava razinu in<strong>for</strong>macijske nesigurnosti odnosnopovećava opasnost sigurnosnog incidenta (zaraza računala, odgovor na prevarantskuponudu), proizlazi kako rezultati potvrđuju postavljenu tezu.8

Model za procjenu razine sigurnosti računalnog sustava8No76543210OžujakTravanjSvibanjLipanjSrpanjKolovozRujanListopadStudeniProsinacSiječanjVeljačaOžujakTravanjSvibanjLipanjSrpanjKolovozRujanListopadStudeniProsinacSiječanjVeljačaOžujakMjeseciRegistracijske adreseAdrese postavljene na web stranicuAdrese pažljivih korisnikaSlika 2.1. Usporedba količine pristigle neželjene pošte po grupamaTakođer treba istaknuti da, kada neka adresa elektroničke pošte dospije na listetakozvanih spamera odnosno osoba koje se bave slanjem masovnih poruka, ona jeosuđena na neželjenu poštu - zauvijek [27]. Jedan takav primjer predstavlja adresaotvorena jednokratno isključivo za potrebe organizacije i registriranja na konferenciju,na nju je dugo nakon prestanka upotrebe nastavila povremeno pristizati neželjena pošta(slika 2.2 i slika 2.3).Korisnik, ako nije oprezan prilikom komunikacije sustavom elektroničke pošte, možeznačajno utjecati na razinu in<strong>for</strong>macijske sigurnosti odnosno može dovesti u opasnostsigurnost podataka koje posjeduje ili koristi te na taj način i svoju sigurnost (osobnepodatke) te sigurnost sustava koji koristi (odavanjem podataka o samome sustavu).9

Model za procjenu razine sigurnosti računalnog sustavaDrugim riječima, korisnik računalnog, odnosno in<strong>for</strong>macijskog sustava, svojimpotencijalno riskantnim ponašanjem može ugroziti svoju sigurnost, sigurnosnu zaštitusustava te podatke koje koristi.8No76543210prosinacsiječanjveljačaožujaktravanjsvibanjlipanjsrpanjkolovozrujanlistopadstudeniprosinacsiječanjveljačaožujaktravanjsvibanjlipanjsrpanjkolovozrujanlistopadstudeniprosinacMjeseciSlika 2.2. Količina neželjene pošte pristigle na konferencijsku adresu u promatranomeperiodu od dvije godine[27]Trenutno su, od rijetkih, u upotrebi pretežno sigurnosna rješenja koja ističu edukaciju iupozoravanje korisnika dok se <strong>model</strong>i kontrole i predviđanja ponašanja korisnika tekrazvijaju. Jedno od rješenja problema rizičnog ponašanja korisnika sustava elektroničkepošte bio bi savjet korisniku neka oprezno koristi sustav te upotrebljava <strong>model</strong> od triadrese elektroničke pošte [43]. Preporuka obuhvaća sljedeće tri vrste adrese, ili popotrebi tri skupine adresa elektroničke pošte:1. Službenu adresu - potrebno je strogo razdvojiti poslovnu odnosno službenukomunikaciju od privatne, (nije profesionalno, poslodavac ima pravo imogućnost nadzora, sigurnosno pitanje);10

Model za procjenu razine sigurnosti računalnog sustavaOvo istraživanje ističe važnost uzimanja u obzir utjecaja ponašanja korisnika prisigurnosnim analizama stanja te izradi sigurnosnih <strong>model</strong>a in<strong>for</strong>macijskih sustava,odnosno prilikom izrade sigurnosnih rješenja.12

Model za procjenu razine sigurnosti računalnog sustava3. ONTOLOGIJA OWLPojam ontologija se, u in<strong>for</strong>macijskim i računalnim znanostima, koristi prilikom<strong>for</strong>malnog opisivanja znanja o nekom području interesa definiranjem klasa i podklasa,njihovih svojstava i međusobnih odnosa, te vrijednosti, odnosno elemenata koje klase ipodklase mogu sadržavati [44].Ontologija OWL (eng. Web Ontology Language) posljednjih nekoliko godina dominirau području in<strong>for</strong>macijske sigurnosti pri opisivanju sigurnosnih procedura iin<strong>for</strong>macijskih sustava [45]. Također nekoliko novijih sigurnosnih rješenja zasniva se nasveobuhvatnoj ontologiji o sigurnosti [13, 15, 36].Osnovni konstruktivni element ontologije su klase (eng. classes, concepts), apredstavljaju skupove i podskupove vrijednosti ili osnovnih elemenata (eng. individuals,instances, objects). Za opisivanje pripadnosti pojedinoj podklasi, odnosno opissvojstava i međusobnih odnosa, koristi se predikatna logika. Klase su organizirane kaonadklasa-podklasa hijerarhijska struktura koja predstavlja taksonomiju ontologije.Vršna klasa (eng. thing) se definira kao glavna klasa cijele ontologije, odnosno logičkiskup koji sadrži sve elemente i sve podklase pripadajuće ontologije [44].U OWL ontologiji „svojstva“ su opisana predikatnom logikom te predstavljaju odnoseizmeđu elemenata grupiranih u podklase. Ona su slična „položaju“ (eng. slot) uontologijama zasnovanim na okvirima, pravilima u deskriptivnoj logici i „relacijama“ uobjektno orijentiranim editorima kao što je na primjer jezik UML (eng. UnifiedModeling Language).Dvije su glavne vrste „svojstava“ u OWL ontologiji: „objektno svojstvo“ i „podatkovnosvojstvo“, dok se svojstvo „napomena“ koristi za definiranje podataka o podacima (odeng. metadata).U području umjetne inteligencije definirana su tri osnovna tipa znanja koji se moguopisati ontologijom ovisno o stupnju <strong>for</strong>malizacije te načinu korištenja znanja:• deskriptivno znanje (eng. descriptive knowledge)• proceduralno znanje (eng. procedural knowledge)13

Model za procjenu razine sigurnosti računalnog sustavaNeka od važnijih i češćih sigurnosnih pitanja vezanih uz ponašanje korisnika sustavaelektroničke pošte su sljedeća [41, 43, 50, 51]:• pristupanje sustavu putem računala upitne razine sigurnosne zaštite;• pristupanje sustavu koristeći web preglednik lošijih sigurnosnih karakteristikai/ili starije verzije;• slanje osobnih podataka (na primjer OIB, broj kreditne kartice, adresa) bezdodatne kriptografske zaštite;• nekritično komuniciranje s nepoznatim sugovornicima, otvaranje priloga,odgovaranje na neobične poslovne upite ili dobitke na nagradnim igrama;• prosljeđivanje lančanih pisama;• registriranje na različite web usluge i postavljanje adrese u izvornom oblikučitljivom na Internetu;• nepažljivo ponašanje prema podacima za pristup, korisničkom imenu i zaporci(na primjer posuđivanje, zapisivanje na vidljivom mjestu);• slaba kvaliteta zaporke (na primjer pojam sa značenjem povezanim skorisnikom, kratka zaporka);• korištenje sustava elektroničke pošte lošijih sigurnosnih karakteristika (naprimjer besplatni svjetski pružatelji usluga kao što su gmail i hotmail);• nerazdvajanje poslovne od privatne komunikacije.Na osnovu prethodnih istraživanja, uz pregled relevantne stručne i znanstvene literaturete konzultiranjem s administratorima in<strong>for</strong>macijskih sustava definirane su slijedećeosnovne podklase ove ontologije (slika 3.1):• Pristup (opisuje način pristupanja sustavu elektroničke pošte);• Zaporka (obuhvaća kvalitetu te odnos korisnika prema lozinci);• Sugovornik (opisuje odnos korisnika sustava elektroničke pošte premanepoznatom sugovorniku);• Sustav (opisuje način korištenja sustava elektroničke pošte);• Adresa elektroničke pošte (opisuje odnos korisnika prema svojoj adresielektroničke pošte).15

Model za procjenu razine sigurnosti računalnog sustavaSlika 3.1. Ontologija o ponašanju korisnika elektroničke pošteDaljnjim proširenjem ontologije, svakoj od pet osnovnih podklasa pridruženo jenekoliko podklasa niže razine, koje na taj način detaljnije opisuju domenu ponašanja16

Model za procjenu razine sigurnosti računalnog sustavakorisnika sustava elektroničke pošte. Klasna hijerarhijska struktura ontologije, uzdefinirana objektna svojstva te elemente definirane kao ocjene, prikazana je grafički naslici 3.1. Ontologija u OWL i XML <strong>for</strong>matu nalazi se u prilogu C (na priloženom CDmediju).Ontologija sadrži pet osnovnih podklasa. Svaka podklasa sastoji se od više podklasanižeg nivoa, a svaka najniža podklasa sadrži pet mogućih elemenata odnosnonumeričkih ocjena u rasponu od 1 do 5.3.2. Podontologija o sigurnosnim aspektima poslužiteljaDomena podontologije koja opisuje sigurnost poslužitelja kao elementa računalnogsustava nastoji obuhvatiti sve sigurnosne elemente od fizičke zaštite prostorije, prekomrežne zaštite pristupa do zalihost i procedure oporavka nakon incidenta. Na osnovuprethodnih istraživanja, uz pregled relevantne stručne i znanstvene literature tekonzultiranjem s administratorima in<strong>for</strong>macijskih sustava definirane su sljedećeosnovne podklase ove ontologije (slika 3.2):• Mrežna zaštita (obuhvaća elemente mrežne zaštite: portovi, IDS, IPS);• Zalihost (opisuje mogućnosti povećanja razine sigurnosti poslužiteljaudvostručenjem pojedinih elemenata: napajanje, tvrdi disk ili pomoćniposlužitelj);• Programi (opisuje zaštitu poslužiteljevih usluga programima);• Fizička zaštita (obuhvaća elemente fizičke zaštite uređaja video-nadzorom,evidencijom pristupanja uređaju, zaštitom napajanja i drugo);• Procedure (obuhvaća moguće postojeće sigurnosne procedure o izradisigurnosnih kopija, postupku oporavka nakon incidenta i druge postupkeadministratora i korisnika pri određenim sigurnosno kritičnim događajima ili priredovitom korištenju i održavanju poslužiteljevih usluga);• Vanjske usluge (opisuje oslanjanje na vanjske davatelje IT usluga (eng.outsourcing)).17

Model za procjenu razine sigurnosti računalnog sustavaSlika 3.2. Ontologija o sigurnosnoj zaštiti poslužitelja18

Model za procjenu razine sigurnosti računalnog sustavaDetaljniji opis domene o općenitim sigurnosnim pitanjima poslužitelja postignut jeproširenjem ontologije na način da je pojedinoj osnovnoj podklasi pridruženo nekolikopodklasa niže razine.Ovakva ontologija nije konačna, odnosno dovoljno detaljna, no u ovome radu sepokazala dostatnom za prikaz jednog od načina upotrebe <strong>model</strong>a. U ovome slučaju zaprocjenu razine sigurnosti jednoga mrežnog dijela računalnog sustava.Cjelokupna klasna hijerarhijska struktura ontologije, uz definirana objektna svojstva teelemente definirane kao ocjene, prikazana je na slici 3.2. Ontologija u OWL i XML<strong>for</strong>matu nalazi se u prilogu D (na priloženom CD mediju).Ontologija sadrži pet osnovnih podklasa a svaka se sastoji od više podklasa nižeg nivoa,a svaka najniža podklasa sadrži pet mogućih elemenata odnosno ocjena u rasponu od 1do 5.19

Model za procjenu razine sigurnosti računalnog sustava4. ALGORITAM ZA EVIDENCIJSKO ZAKLJUČIVANJEZa matematički izračun procjene razine sigurnosti odabran je algoritam za evidencijskozaključivanje s pridruženim aksiomima koji omogućuju agregaciju ocjena krozvišerazinsku hijerarhijsku strukturu.Algoritam je predstavljen 1990tih godina [52, 53], zasniva se na Dempster-Shafer teoriji[54, 55], teoriji odlučivanja (eng. decision-making theory) [56] te <strong>model</strong>u analize (eng.evaluation analysis <strong>model</strong>) [57] uz proširenje sa četiri aksioma [52]. Prikladan je zarješavanje MCDA (eng. Multiple-Criteria Decision Analysis) problema računajući i skvalitativnim i s kvantitativnim mjerenjima te uzimajući u izračun subjektivnost priprocjeni te nesigurnost odnosno nedostatak dijela ili cijelog mjerenja [58]. Algoritamima mogućnost postavljanja različitih težinskih vrijednosti pri ocjeni elemenata uovisnosti o važnosti pojedinog elementa, odnosno stupnju utjecaja ocjene elementa naukupnu ocjenu sustava, no zbog jednostavnosti u ovome radu su svi elementi sustavauzeti kao ravnopravni.Neki od primjera upotrebe algoritma za evidencijsko zaključivanje na raznim tehničkimsustavima su: procjena i usporedba kvalitete motocikala različitih proizvođača [58],predviđanje naftnih rezervi [59], primjena u autoindustriji [60], primjena u ekspertnimsustavima [61], sumiranje znanja [62], analiza rizika [63], procjena stanja kvaliteteenergetskog trans<strong>for</strong>matora [64].4.1. Prošireni algoritam za evidencijsko zaključivanjeOcjene za procjenu pojedinog elementa računalnog sustava su definirane kao loše,dovoljno, prosječno, vrlo dobro i izvrsno. Navedene ocjene odgovaraju uobičajenimnumeričkim ocjenama od 1 do 5. Kako bi se uspješno provelo ocjenjivanjeevidencijskim algoritmom potrebno je definirati određenu hijerarhiju među atributimaodnosno dijelovima sustava. Analogija s ontologijom je njezina podklasa-nadklasahijerarhijska struktura. Vrijednosti atributa više razine proizlaze iz vrijednosti atributanižih razina uz stupanj neodređenosti u procjeni razine sigurnosti pojedinog elementaračunalnog sustava.20

Model za procjenu razine sigurnosti računalnog sustavaPrimjeri distribucije ocjene osnovnog atributa u slučaju samoprocjene kvalitete zaporkekorisnika sustava elektroničke pošte po 14. pitanju u anketi (Prilog B) su sljedeći [65]:• Distribucija ocjene bi bila na primjer 50% ocjene „prosječno“ te 50% ocjene„izvrsno“, u slučaju dva istovremena odgovora;• Distribucija ocjene bi bila 100% ocjene „prosječno“, u slučaju jedinstvenogodgovora kako je ocjena zaporke „Prosječna“;• Distribucija ocjene bi na primjer bila 50% ocjene „dovoljno“ te 30% ocjene„prosječno“, u slučaju odgovora „ne znam“;• Procjena od 0% za sve ocjene distribucije jeste slučaj kada korisnik nije daonikakav odgovor te s toga ne može biti ocijenjen.Postoci u navedenim procjenama se nazivaju stupnjevi uvjerenja, te se koriste udecimalnom <strong>for</strong>matu kao 0.3, 0.5, te 1.0. Stupanj uvjerenja vrijednosti 1.0, odnosno100%, u slučaju jednoznačnog odgovora, predstavlja potpuno uvjerenje u danuprocjenu. Treći primjer ukupne ocjene nije cjelovit, odnosno ukupan stupanj uvjerenjaiznosi 0.8 za razliku od prvog i drugog primjera gdje je procjena cjelovita. Dio procjenekoji nedostaje u iznosu 0.2 se smatra stupnjem nesigurnosti. Četvrti primjer ocjenepredstavlja potpuno neznanje, odnosno 100% nesigurnost.Na ovaj način je moguće distribuciju ocjene osnovnog atributa definirati kao skupstupnjeva uvjerenja vezanih uz pojedinu od pet ocjena s dodatnom ocjenomnesigurnosti. Primjer ocjene jednog mrežnog poslužitelja, kao osnovnog skupa atributa,mogla bi biti sljedeća distribucija:S(procjena sigurnosti poslužitelja) = {(loše, 0.19), (prosječno, 0.43), (izvrsno, 0.32),(nesigurnost, 0.06)}. (4.1)U ovome primjeru mrežni poslužitelj je dobio 32% ocjene izvrsno, 43% ocjeneprosječno, 19% ocjene loše, uz 6% nesigurnosti u procjeni zbog nedovoljnogpoznavanja osnovnih atributa koji utječu na promatrani opći atribut.Slijedi detaljan opis osnovnog algoritma za evidencijsko zaključivanje te proširenjealgoritma aksiomima [23, 58, 66].21

Model za procjenu razine sigurnosti računalnog sustavaUz pretpostavku jednostavne dvorazinske hijerarhijske strukture atributa, opće svojstvoili opći atribut nalazi se na gornjoj razini, a više osnovnih atributa nalazi se na nižoj,donjoj razini (slika 4.1).Opći atributOsnovni atribut 1Osnovni atribut 2Osnovni atribut 3...Osnovni atribut LSlika 4.1. Hijerarhijska struktura atributaMože se pretpostaviti da postoji L osnovnih atributa e i (i = 1, …L) i da su svi onipovezani s općim atributom Y. U tom slučaju moguće je definirati skup osnovnihatributa:E = {e 1 , …e i ,… e L }. (4.2)Također se može pretpostaviti da su težinske vrijednosti atributa predstavljene s ω ={ω 1 , …ω i , …ω L } gdje je ω i relativna težina i-tog osnovnog atributa e i s vrijednošćuizmeđu 0 i 1 (0 ≤ ω i ≤ 1). Težinske vrijednosti atributa su bitne pri ocjeni sigurnostipojedinog elementa u ovisnosti o važnosti tog elementa, odnosno stupnju utjecajaocjene tog elementa na ukupnu ocjenu sigurnosti cijelog sustava.Prije procjene stanja atributa potrebno je definirati skup mogućih ocjena stanja, koje supredstavljene sljedećim skupom:H = {H 1 , …H n , …H N }, (4.3)22

Model za procjenu razine sigurnosti računalnog sustavagdje se pretpostavlja da je ocjena H n+1 veća, odnosno predstavlja bolju razinu sigurnostiod ocjene H n , odnosno da je skup elemenata H uređeni skup elemenata počevši odnajnižeg prema elementu s najvišom vrijednošću. Tada se procjena i tog elementa skupaosnovnih atributa e i može predstaviti s sljedećim izrazom:S(e i ) = {(H n ,β n,i ), n = 1,…N} gdje je i = 1,…, L; (4.4)gdje β n,i predstavlja stupanj uvjerenja gdje je β n,i ≥ 0, β 1. Ako je β 1N∑n=1n, i≤N∑n=1n, i=tada je procjena stanja S(e i ) potpuna. U suprotnom, ukoliko je β 1 tada jeN∑n=1n, i

Model za procjenu razine sigurnosti računalnog sustavavjerojatnosti uzevši u obzir sve dodijeljene ocjene N za promatrani atribut e i . Izračuntežinskih vjerojatnosti dan je sljedećim izrazom:m n,i =ω i β n,i n=1,…, N; (4.6)gdje je ω i vrijednost dobivena normiranjem težina osnovnih atributa. Ostatak težinskevjerojatnosti računa se prema izrazu:N. i= −∑n,i= 1n=1∑m H1 m −ωβNin=1n,i(4.7)Uz pretpostavku da je E I(i) podskup prvih i atributa E I(i) ={e 1 ,e 2 ,…, e i } i sukladno tome uzpretpostavku da je m n,I(i) težinska vjerojatnost definirana kao stupanj kojim svi i atributipodupiru sud kojim je atribut y procijenjen na ocjenu H n . Također m H,I(i) je ostataktežinske vjerojatnosti nedodijeljen pojedinim ocjenama nakon što su procjenjeni sviosnovni atributi E I(i) . Težinske vjerojatnosti m n,I(i) , m H,I(i) za E I(i) mogu se izračunati izosnovne težinske vjerojatnosti m n,j i m H,j za sve n=1,…,N, i j=1,…,i. Uzimajući u obzirsve navedene činjenice originalni rekurzivni algoritam evidencijskog zaključivanjamože se prikazati uz pomoć sljedećih izraza:mn , I ( i+ 1)= KI ( i+1)( mn,I ( i)mn,i+1+ mn,I ( i)mH, i+1+ mH, I ( i)mn,i+1) n = 1,...,N (4.8)m K m m(4.9)H , I ( i+ 1)=I ( i+1) H , I ( i)H , i+1−1⎡⎤N NK ⎢1⎥I ( i+ 1)= −, ( ) , 1= 1,..., −1⎢ ∑∑mtI imj i+i L (4.10)⎥t=1 j=1⎢⎣j≠t⎥⎦gdje je K I(i+1) normirajući koeficijent takav da je uvjet dan izrazomN∑n=1m n , I ( i+ 1)+ mH, I ( i+1)= 1 zadovoljen. Važno je istaknuti da su osnovni atributi E I(i)proizvoljno poredani i da njihove početne vrijednosti iznose m n,I(1) =m n,1 i m H,I(1) =m H,1 .24

Model za procjenu razine sigurnosti računalnog sustavaKonačno, u originalnom algoritmu evidencijskog zaključivanja prije proširenjaaksiomima, kombinirani stupanj uvjerenja za opći atribut β n je dan sa sljedećimizrazima:β n= m n , I ( L ),n = 1,...,N(4.11)N∑β =, ( )= 1−β(4.12)Hm H I Ln=1ngdje β H označava stupanj nepotpunosti procjene.Poboljšani algoritam evidencijskog zaključivanja nastavlja se na osnovni algoritamevidencijskog zaključivanja proširenjem aksiomima za sintezu agregacijskog postupkanužnim za objektivno i smisleno zaključivanje [57, 58]. Takav prošireni algoritam zaevidencijsko zaključivanje je moguće primijeniti na višerazinsku hijerarhijsku strukturu[52]:• Aksiom 1: opći atribut y ne može se procijeniti ocjenom H n ukoliko niti jedan odosnovnih atributa skupa E nije procjenjen ocjenom H n . Ovaj aksiom se još naziva iaksiom neovisnosti. On znači da ako je β n,i =0 za sve i=1,…, L, tada je β n =0.• Aksiom 2: opći atribut y trebao bi biti precizno ocijenjen ocjenom H n ukoliko su sviosnovni atributi skupa E precizno ocijenjeni ocjenom H n . Ovaj aksiom naziva se joši aksiom konsenzusa. On znači da ukoliko je β k,i =1 i β n,i =0 za sve i=1,…, L in=1,…, N, n≠k, tada je β k =1 i β n =0 (n=1,… N, n≠k).• Aksiom 3: ukoliko su svi osnovni atributi skupa E u potpunosti procijenjeni naodređeni skup ocjena, tada bi i opći atribut y trebao biti procijenjen na isti podskupocjena. Ovo svojstvo naziva se još i aksiom potpunosti.• Aksiom 4: ukoliko je procjena nekog od osnovnih atributa iz skupa E nepotpuna doodređenog stupnja tada će i opći atribut y biti procijenjen nepotpunom ocjenom. Tosvojstvo nazivamo aksiomom nepotpunosti.25

Model za procjenu razine sigurnosti računalnog sustavaKako originalni algoritam evidencijskog zaključivanja ne zadovoljava u potpunostinavedene aksiome [67], da bi se osiguralo ispunjavanje gore navedenih aksiomapredstavljen je novi odnosno prošireni algoritam evidencijskog zaključivanja [57, 68].Novi pristup u evidencijskom zaključivanju trebao bi ispuniti navedene aksiome zasintezu i pružiti pouzdanu agregaciju potpunih i nepotpunih in<strong>for</strong>macija koristeći novutežinsku normizaciju prikazanu sljedećim izrazom:L∑i=1ω = 1, (4.13)ikoji zadovoljava aksiom konsenzusa. Kod novog algoritma evidencijskog zaključivanjaostatak težinske vjerojatnosti tretirat će se posebno s obzirom na relativne težineatributa i nepotpunost procijene. Koncept mjerenja stupnja uvjerenja i mjerenjapouzdanosti u Dempster-Shafer teoriji zaključivanja [54, 55, 69, 70] mogu se iskoristitiza odabiranje gornjih i donjih vrijednosti stupnjeva uvjerenja. U proširenom algoritmuza evidencijsko zaključivanje m H,i , prikazan u izrazu (4.7), rastavljen je na dva dijela:mH, i=1−ωi(4.14)m~Nh, i i ∑i=1= ω (1 − β )(4.15)n,iTakođer vrijedi i:+ ~ = . (4.16)mH , imH, imH, iPrvi diomH , ije linearna funkcija odiω i ovisi o težini i-tog atributa. Ukoliko težinaosnovnog atribute iznosi nula ili je ω = 0 , tada će i mH , iimati vrijednost 1. Uiisuprotnom ukoliko osnovni atribut eidominira procjenom ili je ω = 1 tada će mH , ii26

Model za procjenu razine sigurnosti računalnog sustavaimati vrijednost 0. Jednostavnije rečenom ,predstavlja stupanj kojim ostali atributiH isudjeluju u procjeni.Drugi dio ostatka težinske vjerojatnosti koji nije dodijeljen niti jednoj ocjeni je~ i onmH , ije posljedica nepotpunosti procjene osnovnih atributa S(e i ). Ako je procjena osnovnogatributa S(e i ) potpuna tada~ iznosi nula, u suprotnom S(e i ) je nepotpuna i m ~H ,ćeimH , iimati vrijednost proporcionalnu ωii biti će između 0 i 1.Može se pretpostaviti da m, ( )n = 1,..., N),m~, ( )i m, ( )predstavljaju kombiniranen I i(H I i H I itežinske vjerojatnosti nastale agregacijom prvih i procjena. Tada je moguće prikazatinovi algoritam za evidencijsko zaključivanje kao rekurziju, koja za (i+1) procjenuuzima u obzir prvih i procjena, sljedećim izrazom:[ m m + m m m m ]n, I ( i+ 1)= KI ( i+1) n,I ( i)n,i+1 H , I ( i)n,i+1+n,I ( i)H , i+1m (4.17)m = m~+ m(4.18)H , I ( i)H , I ( i)H , I ( i)[ m~m~+ m m~m~m ]m ~(4.19)H , I ( i+ 1)= KI ( i+1) H , I ( i)H , i+1 H , I ( i)H , i+1+H , I ( i)H , i+1[ m m ]m K(4.20)H , I ( i+ 1)=I ( i+1) H , I ( i)H , i+1−1⎡⎤N NK ⎢1⎥I ( i+ 1)= −, ( ) , 1= { 1,..., −1}⎢ ∑∑mtI imj i+i L . (4.21)⎥t=1 j=1⎢⎣j≠t⎥⎦Nakon što su obavljene sve L procjene, kombinirani stupanj uvjerenja može seizračunati uz uporabu normizacijskog procesa danog sljedećim izrazima:mn,I ( L)βn=n = 1,...N(4.22)− m1H , I ( L)m~H , I ( L )βH=(4.23)1−mH , I ( L)27

Model za procjenu razine sigurnosti računalnog sustavaKao što je prikazano izrazima (4.22) i (4.23) βnje stupanj uvjerenja za ocjenu H n kojaje dodijeljena procjenom, dok jeβHnedodijeljeni stupanj uvjerenja i predstavljanepotpunost u ukupnom procesu procjene sigurnosti. Na ovaj način dobivenikombinirani stupnjevi uvjerenja zadovoljavaju sva četiri aksioma sinteze.Budući da na ovaj način dobivene ocjene procjene razine sigurnosti sustava nisudovoljno jasne da bi se istaknula razlika u procjenama sigurnosti više različitih sustavaili usporedba s referentnim sigurnosnim razinama, uveden je pojam ukupne ili konačneocjene kako bi se njime prikazala ekvivalentna numerička vrijednost pojedinih ocjenadobivenih procesom agregacije. Odnosno, distribucija ocjene (4.1) se opisuje jednomukupnom ocjenom U te intervalom odstupanja koji proizlazi iz ukupnog stupnjanesigurnosti.Uz pretpostavku da je U ( Hn) ukupna ocjena procjene Hns tim da jeU ( Hn+ 1)> U ( Hn) , gdje je Hn+ 1poželjnija odnosno bolja ocjena od Hn, ukupna ocjenaprocjene U H ) može biti izračunata metodom dodjeljivanja vjerojatnosti ili(nkorištenjem regresijskog <strong>model</strong>a s parcijalnim ocjenama ili usporedbama. Ukoliko suprocjene potpune ( β = 0 ) ukupna ocjena procjene općeg atributa y može se izračunatiuz pomoć sljedećeg izraza:HN∑U ( y)= β U ( )(4.24)n=1nH nRazina sigurnosti sustava predstavljena ocjenom a je poželjnija od razine sigurnostisustava predstavljenog ocjenom b ukoliko je ukupna ocjena a veća od ukupne ocjene bodnosno U ( y(a))> U ( y(b)). Stupanj uvjerenja βndan u izrazu (4.22), upućuje nadonju granicu procjene na koju je moguće procijeniti opći atribut y. Gornja granicaprocjene dana je mjerom plauzibilnosti zaH ili točnije β + β ) . Raspon ocjena nan(n Hkoje može biti procijenjen opći atribut y dan je intervalom [ ( β β )]n, n Hβ + . Ukoliko jeprocjena sigurnosti promatranog subjekta potpuna tada će se interval reducirati samo navrijednost βn, drugim riječima interval stupnjeva uvjerenja je ovisan o nedodijeljenomstupnju uvjerenja βH. U svakom drugom slučaju se vrijednost na koju se opći atribut y28

Model za procjenu razine sigurnosti računalnog sustavamože procijeniti nalazi u intervalu od β do β + β ) . Sukladno iznesenom moguće jen(n Hdefinirati tri vrijednosti koje jednoznačno karakteriziraju procjenu općeg atributa y,najveća, najmanja i srednja vrijednost ukupne ocjene procjene koje su dane sljedećimizrazima:N 1Umax( y)∑ − = βnU( Hn) + ( βN+ βH) U ( HN)(4.25)n=1UNmin( y)= (1+ βH) U ( H1)+ ∑ βnU( Hn)n=2β (4.26)U avgUmax( y)−Umin( y)( y)= . (4.27)2Ukoliko su sve procjene atributa y potpune, odnosno za β = 0 vrijedi da jeU(maxminy)= U ( y)= U ( y)= U ( y).avgHUspoređivanje razine sigurnosti dva sustava ali akzasnovano je na njihovim ukupnimocjenama procjene i odgovarajućim intervalima nesigurnosti ili odstupanja. Razinasigurnosti sustava alpoželjnije je odnosno bolje od razine sigurnosti sustava akonda isamo onda ako je U y(a )) > U ( y(a )) . Dva sustava su jednake razine sigurnostimin(l maxkako i samo ako su U y(a )) = U ( y(a )) i U y(a )) = U ( y(a )) . U svakommin(l minkmax(l maxdrugom slučaju uspoređivanje razine sigurnosti dva računalna sustava će biti nepotpunoi nepouzdano. Kako bi se povećala pouzdanost usporedbe razina sigurnosti dva ili višesustava nužno je povećati kvalitetu prvobitnih procjena smanjujući nepotpunost uprocjenama osnovnih atributa.k4.2. Primjena proširenog algoritma za evidencijsko zaključivanje naskupini korisnikaPrimjena proširenog algoritma za evidencijsko zaključivanje najčešće je korištena zaprocjenu trenutnog stanja jednog te usporedbu kvalitete više tehničkih sustava. Uovome radu navedeni algoritam koristi se za procjenu razine sigurnosti računalnog29

Model za procjenu razine sigurnosti računalnog sustavasustava uključujući i korisnika kao sudionika, odnosno čovjeka kao element računalnogsustava. Također zadatak je primijeniti navedeni algoritam na cijelu skupinu korisnikate na taj način procijeniti stupanj rizičnosti ponašanja skupine, bez mukotrpne potrebepojedinačnog ocjenjivanja korisnika.Zadatak je <strong>for</strong>mirati distribuciju ocjene skupine (4.1) kombinacijom svih osnovnihatributa pojedinih korisnika. U tablici 4.1 prikazan je primjer <strong>for</strong>miranja distribucijezajedničke ocjene skupine od deset korisnika. Ocjene četiri osnovna atributa u ovomeprimjeru ulaze u izračun ocjene glavnog atributa, a <strong>for</strong>miranje ocjene osnovnog atributase svodi na prebrojavanje i izračun proporcije svake od pet mogućih ocjena.Tablica 4.1. Formiranje ocjene osnovnog atributa skupinedistribucija skupneocjene osnovnogatributakorisnik_1korisnik_2korisnik_3korisnik_4korisnik_5korisnik_6korisnik_7korisnik_8korisnik_9korisnik_101(0.3),5(0.7) 1 5 5 5 1 5 5 1 5 52(0.1),3(0.5),4(0.3),5(0.1) 5 4 3 3 3 4 3 3 4 23(0.5),4(0.2),5(0.3) 3 4 3 5 3 3 5 3 4 51(0.1),2(0.4),3(0.1),5(0.4) 5 1 5 2 2 5 2 2 3 5U prvome retku tablice 4.1 troje od 10 korisnika je dobilo ocjenu „loše“, dok su ostalidobili ocjenu „izvrsno“ te tada distribucija ocjene osnovnog atributa za skupinu dobivasljedeći oblik:S(procjena rizičnosti elementa ponašanja) = {(loše, 0.30), (izvrsno, 0.70)} (4.28)U navedenom primjeru nesigurnost je 0%, jer su sve ocjene navedene, odnosno svikorisnici su ocjenjeni po sve četiri stavke. Nakon izračuna glavnog atributa skupine uprimjeru, distribucija ocjene skupine iznosi:30

Model za procjenu razine sigurnosti računalnog sustavaS(procjena rizičnosti ponašanja) = {(loše, 0.092), (dovoljno, 0.115),(prosječno, 0.275), (vrlo dobro, 0.117), (izvrsno, 0.398)} (4.29)Ukupna ocjena procjene (4.27) tada iznosi:U(procjena rizičnosti ponašanja) = 0.689 (4.30)Interval nesigurnosti ili odstupanja u ovome primjeru ne postoji iz razloga jer ne postojinesigurnost u ukupnoj procjeni razine rizičnosti ponašanja skupine korisnika unavedenom primjeru.31

Model za procjenu razine sigurnosti računalnog sustava5. OSNOVNI REFLEKSNI INTELIGENTNI AGENTPrema definiciji inteligentni agent je nešto što može percipirati okolinu osjetilomodnosno senzorom te djelovati na okolinu nekim instrumentom odnosno aktuatorom.Inteligentni agent djeluje u ime nekoga te u pravilu pod njegovim nadzorom [71]. Osimprogramske komponente inteligentni agent može imati i fizičke, najčešće mehaničkoelektroničkekomponente.Inteligentni agent treba biti racionalan, odnosno znati racionalno odabrati izmeđuponuđenih odnosno mogućih akcija. Postoje četiri osnovne vrste programa inteligentnihagenata [71]:1. Jednostavni refleksni agent (eng. Simple reflex agent) reagira na osnovu trenutnepercepcije okoline, a primjer je robot-usisavač;2. Agent zasnovan na <strong>model</strong>u (eng. Model-<strong>based</strong> reflex agent) održava neku vrstuunutarnjeg stanja koje je ovisno o percepciji povijesti, a primjer je automatskousporavanje automobila prilikom sustizanja odnosno približavanja drugomvozilu (što je bliže, agent intenzivnije koči);3. Agent zasnovan na cilju (eng. Goal-<strong>based</strong> agent) odluku donosi na osnovutrenutnog stanja okoline i neke vrste in<strong>for</strong>macije o željenom cilju akcije, aprimjer bi bilo taksi vozilo koje pokušava dovesti putnike na željenu adresu;4. Agent zasnovan na koristi (eng. Utility-<strong>based</strong> agent) bira između više mogućihakcija koje dovode do željenog cilja te odabire „najsretnije“ rješenje, na primjerto može biti taksi vozilo koje izbjegava gužve i bira najbrži od mogućih putova.Osnovni zadatak inteligentnog agenta u <strong>model</strong>u za procjenu razine sigurnostiračunalnog sustava jeste da na osnovu ukupne ocjene razine sigurnosti odluči treba lidjelovati na sustav kako bi se povećala razina sigurnosti te istaknuti ili kritične elementesustava ili cijele podsustave niske razine sigurnosti. Među postojećim vrstamainteligentnih agenata, za ovaj zadatak je dovoljan „jednostavni refleksni agent“, izrazloga što ova vrsta agenta ignorira prošla stanja te djeluje na osnovu trenutnog stanja32

Model za procjenu razine sigurnosti računalnog sustavaokoline, odnosno sustava, jer se procjenjuje trenutna razina sigurnosti, dok prošla stanjasigurnosne razine sustava više nemaju utjecaj na sigurnost podataka (slika 5.1).OsjetiloKako trenutno izgleda vanjski svijet?AgentOkolina“Akoonda”pravilaŠto bi trebao sada učiniti?InstrumentSlika 5.1. Grafički prikaz dijagrama jednostavnog refleksnog agenta [71]5.1. Agentov algoritamInteligentni agent omogućuje automatizaciju procesa, odnosno u slučaju potrebeponovljenih mjerenja i izračuna (mnoštvo korisnika, više sustava, ponovljena mjerenjau stvarnom vremenu) omogućuje brzinu pri procjeni razine sigurnosti cijelog ili dijelaračunalnog sustava. Ako je u pitanju jednokratna procjena razine sigurnosti računalnogsustava tada jednostavnom pretragom OWL datoteke pomoću web preglednika čovjek,odnosno sigurnosni stručnjak i savjetnik, preuzima ulogu inteligentnog agenta.Agentov algoritam prikazan je dijagramom tijeka na slici 5.2, a pseudokod algoritma senalazi u prilogu B ovoga rada.33

Model za procjenu razine sigurnosti računalnog sustavaPOČETAKRp, KrR = Rp +/- KrU, RdU > RdapretragaontologijenepretragaontologijedaU >= RdneListasigurnosnokritičnihelemenataListasigurnosnokritičnihsegmenatasustavaPotrebnareorganizacijasegmenataKRAJSlika 5.2. Dijagram tijeka algoritma inteligentnog agenta34

Model za procjenu razine sigurnosti računalnog sustavaUlazne varijable algoritma su sljedeće:• Rd - referentna vrijednost „dovoljno sigurne razine“;• Rp - referentna vrijednost „prosječno sigurne razine“;• Kr - važnost zaštite odnosno korekcija sigurnosnog savjetnika;• U - ukupna ocjena dobivena procjenom razine sigurnosti.Prva referentna vrijednost opisana kao „dovoljno sigurna razina“ predstavlja minimalnopotrebnu razinu sigurnosti, a određuje se simulacijom na konkretnom sustavu. Drugareferentna vrijednost opisana kao „prosječno sigurna razina“ može predstavljati željenurazinu sigurnosti koja se definirana unaprijed na osnovu testiranja te usporedbom sprijašnjim procjenama razine sigurnosti računalnih sustava. Ulazna varijabla nazvana„važnost zaštite“ predstavlja korekciju sigurnosnog savjetnika s obzirom na važnostzaštite konkretnog sustava, a definira se prije početka procesa procjene razine sigurnostianaliziranog računalnog sustava. Četvrta ulazna varijabla je „ukupna ocjena“ procjenerazine sigurnosti dobivena računski proširenim algoritmom za evidencijskozaključivanje (eng. utility number).Zadaća inteligentnog agenta jeste donošenje odluke o tome treba li:• sustav reorganizirati kako bi se postigla željena razina sigurnosti u slučaju kadasustav dobije ukupnu ocjenu manju od „dovoljno sigurne razine“;• popraviti sigurnost segmenata sustava, ako sustav zadovoljava minimalnu, ne iželjenu razinu sigurnosti;• ili potražiti eventualne nezaštićene osnovne elemente sustava u slučaju kada jesustav dobio ukupnu ocjenu veću od željene uvećane za korekciju.Nakon donošenja odluke agent treba pretražiti ontologiju, u potrazi za loše ocjenjenimsegmentima sustava ili za slabo ocjenjenim odnosno sigurnosno kritičnim osnovnimelementima sustava.35

Model za procjenu razine sigurnosti računalnog sustavaZa pretragu OWL ontologije inteligentnom agentu stoje na raspolaganju već postojećiprogrami za zaključivanje (eng. reasoners) [72]. Također je moguće pretraživanje OWLdatoteke java skriptom ili OWL ontologiju preslikati u XML datoteku te ju takvupretraživati.36

Model za procjenu razine sigurnosti računalnog sustava6. IZRADA MODELAModel se sastoji od tri glavne komponente: OWL ontologije koja definira logičkustrukturu te može služiti kao baza znanja pitanjima in<strong>for</strong>macijske sigurnosti; proširenogalgoritma za evidencijsko zaključivanje koji služi za izračun ukupne ocjene razinesigurnosti računalnog sustava; te inteligentnog agenta koji služi za zaključivanje okvaliteti razine sigurnosti i isticanje sigurnosno kritičnih podsustava ili osnovnihelemenata procjenjivanog sustava analizom ontologije (slika 6.1.).Referentne vrijednostiUkupna ocjenaJednostavnirefleksniagentSimulacija i testiranje <strong>model</strong>aProšireni algoritamza evidencijskozaključivanjePravilazaprimjenuOWL ontologija o sigurnostiAnalizaRezultatprocjeneuz listusigurnosnokritičnihelemenataSlika 6.1. Grafički prikaz komponenti <strong>model</strong>a za procjenu razine sigurnosti računalnogsustava37

Model za procjenu razine sigurnosti računalnog sustavaKoncept ontologije objašnjen je u trećem odlomku ovoga rada uz prikaz dvijepodontologije na kojima je ispitivan i primjenjivan <strong>model</strong>. Prošireni algoritam zaevidencijsko zaključivanje i njegova primjena pojašnjeni su u četvrtom odlomku, sprimjerom izračuna ukupne ocjene rizičnosti ponašanja na skupini korisnika.Jednostavni refleksni agent s pripadajućim algoritmom prikazan je u petom odlomkuovoga rada, dok je u nastavku teksta pojašnjena primjena algoritma za evidencijskozaključivanje nad ontološkom strukturom.6.1. Pravila za primjenu proširenog algoritma za evidencijskozaključivanje na ontološku strukturuPrilikom <strong>model</strong>iranja OWL ontologije, posebno prilikom definiranja podskupova(pripadnost podklasama) može nastati ciklična struktura, podklase mogu imatizajedničke presjeke, mogu dijeliti roditelje i/ili imati više roditelja, odnosno nadklasa.Ova moguća svojstva ontologije predstavljaju prepreku za primjenu algoritma zaevidencijsko zaključivanje kako bi se procijenila razina sigurnosti računalnog sustavaopisanog hijerarhijskom nadklasa-podklasa ontološkom strukturom. Stoga je potrebnopridržavati se sljedećih pravila:• u ontologiji potencijalnu cikličku strukturu potrebno je reorganizirati uacikličku;• uvjet jedinstvenog roditelja treba zadovoljiti;• eventualne presjeke ontoloških podklasa potrebno je razdvojiti.Ako ova pravila nisu zadovoljena u odabranoj ontologiji, jedno od mogućih rješenjajeste definiranje novih podklasa, odnosno paralelna uporaba predefiniranih, identičnihontoloških podklasa, s istim ocjenama i istim stupnjevima uvjerenja (identičnadistribucija ocjene osnovnih atributa).Uobičajeno se za potrebe zaključivanja u bazi znanja <strong>model</strong>iranoj OWL ontološkimjezikom koriste već postojeći programi takozvani „zaključivači“ (eng. reasoners) [72].38

Model za procjenu razine sigurnosti računalnog sustavaProgramski alat Protege, koji je najčešće korišten alat za <strong>model</strong>iranje ontologija [45],ima mogućnost instaliranja zaključivača kao dodataka (eng. plug-in) [22].Također postoje znanstveni radovi koji pokušavaju automatizirati proces pretvorbeOWL ontološke strukture u Bayesovu neuronsku mrežu [73]. Na ovaj način je takođeruključeno računanje sa subjektivnim procjenama, kao i u <strong>model</strong>u za procjenu razinesigurnosti, no za razliku od <strong>model</strong>a čiji je cilj procjena razine sigurnosti korištenjemalgoritma za evidencijsko zaključivanje, Bayesova neuronska mreža se koristi zaprocjenu mogućnosti nekog događaja kao posljedice prethodnih događaja. Procespretvorbe do danas nije potpuno automatiziran.39

Model za procjenu razine sigurnosti računalnog sustava7. ISPITIVANJE MODELAU svrhu ispitivanja <strong>model</strong>a za procjenu razine sigurnosti računalnog sustava, a sobzirom kako korisnik računalnog sustava ima značajan utjecaj na sigurnost [25], što jepokazano i uvodnim eksperimentom u ovome radu; statističkom metodom grozd analizete diskriminacijskom analizom dobivenih skupina <strong>for</strong>mirane su skupine korisnikasustava elektroničke pošte. Na ovaj način <strong>for</strong>mirane i statistički analizirane te opisaneskupine korisnika također su ispitivane i <strong>model</strong>om za procjenu razine sigurnosti. Na tajnačin je, usporedbom rezultata, vrednovana kvaliteta procjenjivanja <strong>model</strong>om zaprocjenu razine sigurnosti.Ispitivanje je provedeno anketiranjem 306 korisnika sustava elektroničke pošte anketomu kojoj kombinacije pitanja i odgovora mapiraju sve osnovne podklase podontologije oponašanju korisnika sustava elektroničke pošte (slika 3.1). U tablici 7.1 detaljno jeprikazano mapiranje pojedinog pitanja te definirana ocjena za svaki mogući odgovor,odnosno vrijednost osnovnog atributa kako bi svaki ispitanik s istim odgovorom bioidentično ocijenjen. Primjer ankete nalazi se u prilogu B ovoga rada.Tablica 7.1. Mapiranje osnovnih atributa (odgovora) s elementima ontologije(ocjenama)Osnovni atributi Pitanje u anketi Mogući odgovoriNacinKoristenjaBesplatniServisiRegistriranjePravite li razliku izmeđuprivatne i poslovneelektroničke pošte?Koristite li svjetskebesplatne pružatelje uslugaelektroničke pošte?Koristite li adresu zaregistriranje na razneInternet usluge te kojuadresu najčešće koristite?NEDADAa) Profesionalnob) Osobnoc) PovremenoNEDAa) Poslovnub) Privatnuc) PrivremenuNEMogućeocjene252345134540

Model za procjenu razine sigurnosti računalnog sustavaNaNetuWebPreglednikEmailKlijentZastitaPCaKriticnostPriloziEnkripcijaPrivatniPodaciProsljedivanjeOdjavaKvalitetaVisekratnostOstavljate li adresučitljivom na Internetu ikoju?Koristite li web preglednikza pristup te vodite li računaod kuda pristupate?Koristite li poseban alat,tzv. e-mail klijent zapristup?Vodite li brigu o sigurnostisvog računala (antivirus,nadogradnja, ...)Jeste li kritični/oprezniprema nepoznatimsugovornicima)Otvarate li priloge odnepoznatih pošiljatelja(.exe, .rar, …)?Koristite lienkripciju/šifriranje?Šaljete li privatne/osobnepodatke elektroničkompoštom?Prosljeđujete li „masovne“poruke, tzv. chain-letter?Odjavite li se sa sustavanakon završetka s radom?Kako bi ocijenili svojulozinku?Koristite li istu lozinku zavećinu sustava?DAd) Poslovnue) Privatnuf) PrivremenuNEDA/povremenoa) Javna računala(npr. Internet kafe)b) Isključivo sa kućnogili službenogračunalaNENEUglavnomDANEDANEDADAPonekadNENE/ne znamPonekadDADA/ne znamSamo iznimnoNEDA/ne znamPonekadNENE/ne znamUglavnomDAa) Loša/ne znamb) Prosječnac) DobraDANE123512345245151512524514524523513525ZapisivanjePosudbaJeste li svoju lozinkuzapisali, i gdje?Jeste li ikad posudili svojulozinku?DANavedenomjesto zapisaNEDANE23-451541

Model za procjenu razine sigurnosti računalnog sustavaSvi anketirani ispitanici su zadovoljavali sljedeća tri kriterija: punoljetnost,državljanstvo Republike Hrvatske i običaj redovitog korištenja sustava elektroničkepošte.7.1. Grupiranje korisnika statističkom metodom grozd analizeStatistička metoda grozd analize (eng. cluster analysis) primjenjuje se na skupuelemenata opisanih nizom varijabli kako bi se elementi grupirali u statistički značajnorazličite skupine. Ova metoda je istraživačka, odnosno rezultat metode nije unaprijedpoznat, a često se ne može niti predvidjeti. Metoda se često koristi u područjumarketinga, gdje se metodom grozd analize pokušavaju identificirati skupine kupaca srazličitim svojstvima, odnosno kupovnim navikama [74, 75]. Cilj metode grozd analizejeste identificirati homogene, međusobno različite, skupine slučajeva ili osoba izukupnog uzorka. Grafički prikaz procesa se naziva dendogram odnosno stablastidijagram iz kojeg se jednostavno može očitati broj skupina prateći razlike uudaljenostima između pojedinih koraka algoritma metode grozd analize (slika 7.1).12010080(Dlink/Dmax)*1006040200C_261 C_33C_173C_232 C_296C_121 C_17 C_36C_62C_34C_54C_258 C_297C_271 C_49Slika 7.1. Stablasti dijagram, dendogram, grafički prikazuje rezultate metode grozdanalize [76]42

Model za procjenu razine sigurnosti računalnog sustavaNavedeni algoritam grupira redom najbliže slučajeve sve dok na kraju procesa svislučajevi ne postanu jedna skupina [74]. U ovoj analizi algoritam je zaustavljen nakon26% procesa, jer je to prvi veći skok u procesu (od 26% do 41%), a to u ovom slučajurezultira sa 6 različitih skupina korisnika.Parametri koji su definirani prilikom primjene grozd analize su sljedeći: hijerarhijskametoda koja je najuobičajenija, Euklidska udaljenost kao mjera sličnosti odnosnorazličitosti između slučajevima zbog ordinarnog svojstva vrijednosti varijabli i Wardovametoda zbog nepostojanja ekstremnih slučajeva te uvjeta da veličine skupina korisnikabudu podjednake. Standardizacija varijabli nije bila neophodna, zbog ordinarnogsvojstva koje proizlazi iz intervala ocjena od „loše“ prema „izvrsno“, no od 18 pitanjaodnosno varijabli 12 je izostavljeno. Prilikom pripreme varijabli, osim eventualnestandardizacije, potrebno je izostaviti varijable koje međusobno koreliraju, izostavitivarijable s binarnim vrijednostima (da/ne odgovori) te prilagoditi broj varijabliminimalno potrebnoj veličini uzorka [74].S odabranih 6 pitanja zadovoljeni su potrebni preduvjeti za analizu, a istovremeno supokrivene sve podklase druge razine u podontologiji ponašanja korisnika sustavaelektroničke pošte (slika 3.1).Kako bi se ustanovila razlika između skupina, odnosno kvaliteta rezultata metode grozdanalize te se identificirale varijable koje statistički značajno utječu na pripadnostpojedinoj skupini, primijenjena je diskriminacijska analiza na dobivenim skupinama(tablica 7.2).Ova statistička metoda je vezana na metodu grozd analize te je uobičajeno primjenjivatiih u kombinaciji. Rezultat diskriminacijske analize daje visokih 98.7%. Navedenipostotak predstavlja proporciju korisnika koji su nedvosmisleno pripali određenojskupini, dok je preklapanje prisutno kod 1.7% korisnika [76].Rezultati analize prikazani su aritmetičkom sredinom ocjene od 1 do 5 te standardnomdevijacijom kao mjerom odstupanja (tablica 7.2). Na treću skupinu nije značajnoutjecao niti jedan odgovor, dok su ocjene odgovora na drugo pitanje bile podjednake usvim skupinama (ocjena „prosječno“, p=0.578, ANOVA). U ostalim skupinamakorisnika identificiran je po jedan odgovor čije se vrijednosti statistički značajno43

Model za procjenu razine sigurnosti računalnog sustavarazlikuju s obzirom na vrijednosti istog odgovora u drugim skupinama (p

Model za procjenu razine sigurnosti računalnog sustava• druga skupina je jedina dobila ocjenu izvrstan kao apsolutnu ocjenu (standardnadevijacija: SD = 0), odnosno kao statistički značajnu varijablu koja određujepripadnost te se naziva „skupina izvrsne kvalitete zaporke“;• treća skupina je nazvana „prosječno svjesna skupina“, jer su ocjene po svimpitanjima prosječne uspoređujući ih s ocjenama istih pitanja kod ostalih skupina;• četvrta skupina je nazvana „zaboravna skupina“, iz razloga što se korisnici oveskupine (statistički značajno češće) ne odjavljuju pri završetku rada sa sustavomelektroničke pošte;• peta skupina se zove „naivna skupina“, jer im nedostaje kritičnosti inepovjerenja u komunikaciji s nepoznatim sugovornicima;• zadnja skupina se naziva „sigurnosno kritična skupina“, zbog njihovog običajaslanja osobnih i povjerljivih podataka elektroničkom poštom.Statistička analiza distribucije nezavisnih varijabli (spol, dob, stručna sprema te brojkorištenih adresa) po skupinama nije našla značajne razlike između dobivenih skupinakorisnika sustava elektroničke pošte.7.2. Testiranje <strong>model</strong>a usporednom analizom <strong>model</strong>om za procjenustanja sigurnosti i statističkom metodom grozd analizeSvaka skupina korisnika sustava elektroničke pošte, dobivena statističkom metodomgrozd analize, ocjenjena je i algoritmom za evidencijsko zaključivanje (tablica 7.3).Usporedba ukupne ocjene dobivene <strong>model</strong>om za procjenu razine sigurnosti srezultatima diskriminacijske analize pokazuje podudarnost u rezultatima. Skupinakorisnika nazvana „skupina izvrsne kvalitete zaporke“, koja je jedina identificirana kaopo nečemu bolja od ostalih skupina, dobila je najvišu ukupnu ocjenu procjene(U=0.855), prosječno svjesna skupina korisnika dobila je nešto nižu ukupnu ocjenuprocjene (U=0.821), dok su sve ostale skupine dobile niže ukupne ocjene, što odgovaranjihovom opisu kao skupina koje su, po nekom od odgovora, značajno lošije skupine.45

Model za procjenu razine sigurnosti računalnog sustavaPodudarnost u rezultatima pokazuje kako je moguće kvalitetno procijeniti svjesnostkorisnika o sigurnosnim pitanjima, odnosno razinu rizičnosti u ponašanju korisnikaračunalnog sustava <strong>model</strong>om za procjenu razine sigurnosti računalnog sustava. Štovišepokazano je kako primijeniti prošireni algoritam za evidencijsko zaključivanje naprocjenu ponašanja korisnika računalnog sustava opisanu OWL ontologijom.Tablica 7.3. Analiza rizičnosti ponašanja skupina korisnika <strong>model</strong>om za procjenurazine sigurnosti računalnog sustavaDistribucijaocjeneSkupinamanjesigurnogpristupa/n=45Skupinaizvrsnekvalitetezaporke/n=42Prosječnosvjesnaskupina/n=63Zaboravnaskupina/n=46Naivnaskupina/n=63Sigurnosnokritičnaskupina/n=47Loše 0.074 0.024 0.022 0.058 0.099 0.096Dovoljno 0.125 0.102 0.137 0.173 0.261 0.165Prosječno 0.076 0.098 0.132 0.136 0.117 0.120Vrlo dobro 0.069 0.068 0.057 0.052 0.053 0.029Izvrsno 0.655 0.707 0.652 0.581 0.468 0.590Nesigurnost 0.001 0.001 0.000 0.000 0.001 0.000Ukupnaocjena0.799 0.855 0.821 0.760 0.670 0.739Interval*- - - - - -nesigurnosti*Interval nesigurnosti nije definiran iz razloga što ne postoji nesigurnost u izračunuUsporedba rezultata analize kombinacijom statističkih metoda (tablica 7.2) te analizepredloženim <strong>model</strong>om (tablica 7.3) prikazuje potpuno podudaranje rezultata za svakuod šest skupna korisnika, odnosno pokazuje veliku točnost predloženog <strong>model</strong>a uocjenjivanju.46

Model za procjenu razine sigurnosti računalnog sustava8. PRIMJENA MODELAModel za procjenu razine sigurnosti računalnog sustava primijenjen je za procjenurizičnosti ponašanja korisnika sustava elektroničke pošte kako bi se, pomoću vanjskihvarijabli (opća pitanja u anketi: spol, dob, stručna sprema, tehničko obrazovanje, brojkorištenih adresa elektroničke pošte) identificirali korisnici s riskantnijim ponašanjempo pitanju računalne odnosno in<strong>for</strong>macijske sigurnost.Model je također primijenjen za procjenu razine sigurnosti nekoliko poslužiteljarazličitih računalnih mreža (različitih institucija i poslovnih subjekata) radi međusobneusporedbe stupnja zaštite pojedinog poslužitelja.8.1. Identifikacija sigurnosno rizičnih korisnika sustavaPodaci za analizu korisnika su prikupljani pomoću ankete zasnovane na podontologiji oponašanju korisnika sustava elektroničke pošte (slika 3.1). Ispitivanje je provedeno naukupno 627 korisnika koji su zadovoljavali sva tri sljedeća uvjeta: punoljetnost,državljanstvo RH te redovitu upotrebu sustava elektroničke pošte. Anketa se nalazi uprilogu A.Simulacijom „naivnog“ te „paranoičnog“ korisnika, dobivene su najniža i najvišamoguća ukupna ocjena procjene, odnosno definiran je raspon ukupne ocjene.Simulacijom „minimalno dovoljno svjesnog“ korisnika te korištenjem ukupne ocjene„prosječno svjesne skupine“ dobivene testiranjem <strong>model</strong>a za procjenu razine sigurnosti,definirane su određene referentne točke u normiranom intervalu ukupnih ocjena (tablica8.1).Interval nesigurnosti nije definiran iz razloga što nije postojala nesigurnost u izračunuukupne ocjene prilikom simulacije.Anketirani korisnici su grupirani u ovisnosti o vanjskim varijablama, odnosno općimpitanjima u anketi, a rezultati procjene pojedine skupine prikazani su u tablici 8.2.47

Model za procjenu razine sigurnosti računalnog sustavaTablica 8.1. Normirani interval ukupne ocjene uz definirane referentne točkeNaivniMinimalnoSvjesniParanoičnikorisnikdovoljno svjesnikorisnikkorisnikLoše 0.810 0.000 0.022 0.000Dovoljno 0.190 0.156 0.137 0.000Prosječno 0.000 0.366 0.132 0.000Vrlo dobro 0.000 0.176 0.057 0.000Izvrsno 0.000 0.303 0.652 1.000Nesigurnost 0.000 0.000 0.000 0.000Ukupna 0.066 0.708 0.821 1.000ocjenaInterval*nesigurnosti- - - -*Interval nesigurnosti nije definiran iz razloga što ne postoji nesigurnost u izračunuTablica 8.2. Rezultati procjene skupina korisnikaRazličiteskupinekorisnika /nSimuliraninaivnikorisnikSimuliraniminimalnosvjesnikorisnikStudentimedicine /70Distribucija ocjeneUkupna ocjenalošedovoljnčnodobronostprosje-vrlonesigur-izvrsnoocjena interval0.810 0.190 0.000 0.000 0.000 - 0.066 -0.000 0.156 0.366 0.176 0.303 - 0.708 -0.097 0.173 0.126 0.044 0.560 - 0.72748

Model za procjenu razine sigurnosti računalnog sustavaKoriste jednuadresu /197Mlađikorisnici(21) /309Viša i visokastručnasprema /201Koriste tri iliviše adresa/1470.071 0.211 0.101 0.049 0.564 0.005 0.7380.735-0.7400.075 0.171 0.128 0.047 0.578 0.002 0.7490.748-0.7500.073 0.182 0.108 0.052 0.582 0.005 0.7520.749-0.7540.072 0.173 0.122 0.048 0.583 0.003 0.7530.751-0.7540.059 0.175 0.117 0.055 0.591 0.005 0.7660.763-0.7680.067 0.153 0.124 0.053 0.601 0.002 0.7690.768-0.7700.073 0.148 0.114 0.053 0.610 0.002 0.7710.770-0.7710.072 0.131 0.125 0.053 0.619 - 0.779 -0.063 0.140 0.118 0.059 0.617 0.004 0.7830.781-0.7850.059 0.151 0.103 0.060 0.624 0.004 0.7870.785-0.7890.056 0.139 0.102 0.066 0.636 0.001 0.7970.797-0.7980.058 0.124 0.111 0.063 0.644 0.001 0.8030.802-0.80349

Model za procjenu razine sigurnosti računalnog sustavaSvjesnikorisnikSimulacijaparanoičnogkorisnika0.022 0.137 0.132 0.057 0.652 - 0.821* -0.000 0.000 0.000 0.000 1.000 - 1.000 -*referentna vrijednostIz rezultata procjene svjesnosti korisnika o pitanjima in<strong>for</strong>macijske sigurnosti, odnosnoprocjene stupnja rizičnosti njihovog ponašanja uočljivo je kako se na primjer studentielektrotehničkog fakulteta sigurnije ponašaju u usporedbi sa studentima medicinskogfakulteta, također se sigurnije ponašaju korisnici muškog spola u odnosu na korisnikeženskog spola i tako dalje. No sve skupine korisnika elektroničke pošte su dobileukupnu ocjenu nižu od ocjene „prosječno svjesnog korisnika“, ali i višu od „minimalnodovoljno svjesnog korisnika“.Nisu velike razlike u ukupnim ocjenama među skupinama djelomično iz razloga što suskupine rađene podjelom iste cjelokupne skupine korisnika po različitim vanjskimkarakteristikama (spol, dob, stručna sprema i ostalo). No rezultati pokazuju kako jeedukacija korisnika prijeko potrebna te kako su iskusniji korisnici (korisnici sa višeadresa, stariji), korisnici s višom stručnom spremom te korisnici s tehničkimpredznanjem svjesniji o sigurnosnim pitanjima vezanim uz komunikacijski sustav kojikoriste.S obzirom kako su sve skupine dobile ukupnu ocjenu, procjene razine sigurnostiponašanja, nižu od referentne slijedi kako je zadatak inteligentnog agentapretraživanjem ontologije pronaći koje su to „podteme“ sigurnosno kritične. Potrebno jeidentificirati sigurnosno kritičnu podklasu (ili više njih), onu s najnižom ukupnomocjenom procjene. U tablici 8.3 prikazane su ukupne ocjene svih podklasa za sveskupine korisnika. Radi jednostavnosti istaknute su samo najniže ukupne ocjene, no kadbi na primjer u pitanju bila analiza određene skupine zaposlenika, tada bi trebaloistaknuti sve podklase s ukupnom ocjenom nižom od referentne. Tada bi se na osnovudobivenih rezultata procjene prilagodila edukacija za cijelu ili ciljanu podskupinuanaliziranih zaposlenika.50

Model za procjenu razine sigurnosti računalnog sustavaTablica 8.3. Međurezultati procjene skupina korisnika, ukupna ocjena pojedinepodklase s pripadajućim intervalom nesigurnostiRazličiteskupinekorisnika /nStudentimedicine /70Koriste jednuadresu /197Mlađikorisnici(

Model za procjenu razine sigurnosti računalnog sustava/93S tehničkim0.6550.7630.827predznanjem0.649* 0.873(0.653-(0.756-(0.825-/1460.658)0.771)0.828)Stariji0.660*0.6840.8890.7550.794korisnici(0.655-(0.681-(0.886-(0.753-(0.793-(>21) /3090.665)0.687)0.891)0.757)0.795)Viša i visoka0.662*0.7010.9010.7650.813stručna(0.661-(0.697-(0.899-(0.764-(0.812-sprema /2010.663)0.705)0.903)0.767)0.814)Koriste tri ili0.6920.7800.842više adresa0.662* 0.879(0.690-(0.779-(0.840-/1470.693)0.781)0.844)*najmanja ukupna ocjena podklase (međuocjene) po skupiniZa sve skupine korisnika najniže ukupne ocjene su dobivene nad podklasama kojeopisuju ili način korištenja adrese ili način pristupa sustavu. S obzirom kako su to uvelikom postotku isti korisnici podijeljeni po različitim vanjskim atributima, moguće jedonijeti sljedeće preliminarne zaključke nad cijelom populacijom korisnika sustavaelektroničke pošte:• Korisnici rijetko razdvajaju službenu od privatne komunikacije elektroničkompoštom;• Mahom se koriste svjetski poznatim besplatnim pružateljima usluga elektroničkepošte, kao što su gmail i yahoo, za službenu komunikaciju;• Na razne Internet usluge se registriraju najčešće službenom ili privatnomadresom, umjesto da koriste treću, privremenu adresu, otvorenu ciljano za tunamjenu;• Često se spajaju na sustav elektroničke pošte s potencijalno zaraženih javnihračunala;52

Model za procjenu razine sigurnosti računalnog sustava• Ne vode brigu, u dovoljnoj mjeri, o sigurnosti svog računala;• Sve skupine, osim studenata medicine, su oprezne prilikom komunikacije snepoznatim sugovornikom, odnosno sve ukupne ocjene podklase o odnosuprema sugovorniku su više od referentne vrijednosti.Spomenuta skupina studenata medicine, osim što ima najnižu ukupnu ocjenu procjene,ima i najnižu ukupnu ocjenu podklase o načinu pristupanja sustavu, od svih najnižihukupnih ocjena podklasa ostalih skupina korisnika.Dvije skupine korisnika s najvišim ukupnim ocjenama razine sigurnosti ponašanjaodnosno razine svjesnosti, uz korekciju od na primjer ±3% (Kr=0.03 u agentovomalgoritmu) dobile bi „prolaznu“ ocjenu. Korekciju definira, prije početka analize,sigurnosni savjetnik koji će najčešće i voditi procjenu razine sigurnosti sustava. Onaovisi o stupnju „važnosti“ in<strong>for</strong>macijske sigurnosti za određeni računalni sustav (banka,restoran) odnosno vrstu korisnika koji se anketira (administrator, vratar).Najbolje je ocjenjena skupina korisnika koji koriste tri ili više adresa elektroničke pošte,odnosno oni koriste najčešće 3 ili 4, a tek jedan korisnik čak 7 adresa. Iz razloga što jeukupna ocjena procjene, nakon korekcije, „prolazna“ zadatak inteligentnog agenta jestepretražiti sve instance u ontologiji, odnosno ocjene na pojedino pitanje iz ankete.Rezultat pretraživanja ontologije inteligentnog agenta jeste identifikacija najlošijeocjenjenog pitanja. Za skupinu korisnika koji koriste tri ili više adresa elektroničkepošte najlošija ocjena se odnosi na peto pitanje o korištenju web preglednika za pristupsustavu elektroničke pošte. Ukupna ocjena cijele skupine, za navedeno pitanje, iznosiU=0.391, a proizlazi iz distribucije ocjena prikazane u tablici 8.4.Korisnici s visokom stručnom spremom također imaju „prolaznu“ ukupnu ocjenu,(ukupna ocjena se nalazi unutar korigiranog intervala) te stoga inteligentni agent trebapretražiti sve instance u ontologiji, odnosno ukupne ocjene na svako pojedino pitanje izankete i pronaći najnižu ukupnu ocjenu. U slučaju skupine korisnika s visokomstručnom spremom najniža ukupna ocjena procjene (U=0.478) je dobivena na desetopitanje koje se odnosi na korištenje enkripcije odnosno šifriranja prilikom komunikacijeelektroničkom poštom, uz moguće odgovore „DA“, „Ponekad“, „NE“ i „Ne znam“53

Model za procjenu razine sigurnosti računalnog sustava(tablica 8.4). Nije neočekivano kako najlošije ocjenjeno pitanje nije iz najlošijeocjenjene podklase „Adresa“.Tablica 8.4. Distribucija ocjene uz ukupnu ocjenu i interval nesigurnosti za sigurnosnonajkritičnije pitanje u anketi po dvjema skupinamaDistribucija ocjeneodgovoraKorisnici kojikoriste tri ili višeadresa /147Viša i visoka stručnasprema /201Loše 0.340 0.000Dovoljno 0.048 0.761Prosječno 0.497 0.000Vrlo dobro 0.095 0.184Izvrsno 0.020 0.055Nesigurnost 0.000 0.000Ukupnaocjena0.391 0.478Interval*nesigurnosti- -*Interval nesigurnosti nije definiran jer ne postoji nesigurnost u izračunu8.2. Procjena razine sigurnosti više poslužiteljaProcjena razine sigurnosti poslužitelja kao tehničkog elementa računalnog sustavaprovedena je procjenom stručnjaka za sigurnosna pitanja intervjuiranjem administratorapripadajućeg poslužitelja pomoću upitnika temeljenog na podontologiji kojom suopisani sigurnosni elementi poslužitelja (slika 3.2).Moguća ocjena pojedinog elementa sigurnosnog sustava poslužitelja mapiranog spodontologijom prikazana je u tablici 8.5, dok su rezultati procjene razine sigurnostiprikazani u tablici 8.6.54

Model za procjenu razine sigurnosti računalnog sustavaTablica 8.5. Mapiranje osnovnih atributa (procjene) s elementima ontologije(ocjenama)SegmentpodontologijeOsnovni atributi Opis procjene MogućeocjeneMrežnazaštitaPortovi:ulazni/izlazniotvoreno samoneophodnoulazni sukonfigurirani, noizlazni su najčešćezanemareni2-53-5IDS (eng. IntrudionDetection System)Ne postojiPostoji25IPS (eng. IntrudionPrevention System)Ne postojiPostoji35Privatnimrežni segmentNENATDA245ProgramskazaštitaKorištenaverzija OSawindowssolarislinux345AntimalwareNe postojiPostoji25FilterNe postojiPostoji35FizičkazaštitaKontrola pristupa:zaključavanje; evidencijapristupa; videonadzor;alarmsvaki element seposebno ocjenjuje,ovisno o postojanju ikvaliteti izvedbe1-5odnosno2-5VatrozaštitaNe postojiDa uz ocjenu kvalitete13-5Zaštita odpoplaveNe postojiDa uz ocjenu kvalitete13-5KlimatizacijaNe postojiDA uz ocjenukvalitete13-5UPS (eng. UninteruptedPower Supply)Ne postojiDa, običniDa, line interaktivni12555

Model za procjenu razine sigurnosti računalnog sustavaZalihostSigurnosneprocedureTvrdi disk, postojanjeRAID poljaDodatnonapajanjePomoćniposlužiteljSigurnosne kopije:sinkronizacija, kopiranje,arhiviranje(medij, udaljenost,starost)Procedure oporavkanakon katastrofe/ispadaKontrola korisnika ipolitika postavljanjazaporkeAdministratorske ovlasti,kvaliteta zaporkeNe postojiPostojiNe postojiPostoji uz ocjenukvaliteteNe postojiPostoji uz ocjenukvalitete i lokacijesvaki element seposebno ocjenjuje,ovisno o postojanju ikvaliteti izvedbeNe postojiPostoji uz ocjenukvaliteteNe postojiPostoji uz ocjenukvaliteteNije reguliranoRegulirano uz ocjenukvalitete2523-523-51-512-512-51-5Vanjske uslugeDaNe25Rezultati procjene razine sigurnosti pojedinog poslužitelja pokazuju na koji način <strong>model</strong>za procjenu razine sigurnosti računalnog sustava rangira razinu sigurnosti pojedinogposlužitelja usporedbom ukupne ocjene procjene. Najgori i najbolji slučaj zaštiteposlužitelja su simulacijom dobivene referentne točke, dok referentnu točku kojaopisuje relativno zaštićeni poslužitelj moguće je usporediti s ukupnom ocjenomprocjene relativno „svjesnog ponašanja“ korisnika (U=0.821).Tada se ovi rezultati mogu objasniti na sljedeći način:• Poslužitelj nevladine organizacije je slabe razine sigurnosti te bi bila potrebnareorganizacija cjelokupne sigurnosne zaštite;• Poslužitelj nekog poslovnog subjekta te poslužitelj IT tvrtke su „relativnodobre“ razine sigurnosti, bilo bi korisno vratiti se u ontologiju i pretragom56

Model za procjenu razine sigurnosti računalnog sustavapomoću inteligentnog agenta pronaći loše elemente zaštite odnosno sigurnosnokritične elemente sustava;• Poslužitelj sa znanstvene institucije u ovome primjeru pokazao se kao najboljezaštićen uz izrazito visoku razinu sigurnosti te može dobiti iznenađujuće visokuocjenu.Tablica 8.6. Rezultati procjene razine sigurnosti poslužiteljaNajgorislučajPoslužiteljnevladineorganizacijePoslužiteljposlovnogsubjektaPoslužiteljIT tvrtkePoslužiteljnaznanstvenojinstitucijiNajboljislučajLoše 0.253 0.089 0.000 0.064 0.000 0.000Dovoljno 0.592 0.342 0.239 0.074 0.057 0.000Prosječno 0.155 0.119 0.017 0.071 0.087 0.000Vrlo dobro 0.000 0.022 0.158 0.057 0.039 0.000Izvrsno 0.000 0.428 0.586 0.734 0.817 1.000Nesigurnost 0.000 0.000 0.000 0.000 0.000 0.000UkupnaocjenaInterval*nesigurnosti0.292 0.632 0.813 0.847 0.918 1.000- - - - - -*Interval nesigurnosti nije definiran iz razloga što ne postoji nesigurnost u izračunuLoše ocjenjeni sigurnosni segment procjenjivanog sustava, odnosno podklase s niskomukupnom ocjenom razine sigurnosti za poslužitelje „relativno dobre“ razine sigurnostimogu se identificirati u tablici 8.7.57

Model za procjenu razine sigurnosti računalnog sustavaTablica 8.7. Međurezultati procjene razine sigurnosti poslužiteljaUkupna ocjenapojedine podklasePoslužiteljposlovnogsubjektaPoslužitelj ITtvrtkeMrežna zaštita 1.000 0.815Zalihost 0.726 0.815Programi 1.000 1.000Fizička zaštita 0.951 0.397*Procedure 0.735 0.838Vanjske usluge 0.350* 1.000*najmanja ukupna ocjena podklase (međuocjene)Znatno lošije ocjenjeni sigurnosni segment analiziranog poslužitelja promatrane ITtvrtke jeste „fizička zaštita“ poslužitelja (U=0.397), dok je analizirani poslužiteljpromatranog poslovnog subjekta dobio najnižu ukupnu ocjenu procjene u segmentu„vanjske usluge“ (U=0.350).Za poslužitelja korištenog na promatranoj znanstvenoj instituciji, koji je dobio iznimnovisoku ukupnu ocjenu procjene razine sigurnosti, potrebno je potražiti osnovneelemente sustava s niskom ocjenom sigurnosti (slika 3.2). Dva su sigurnosna elementadobila najnižu ocjenu i to ocjenu 100% „dovoljno“:• Poslužitelj se stvarno nalazi na javnoj IP adresi, a nije na privatnom segmentumreže, niti se koristi NAT (eng. Network Address Translation) proces;• Procedura oporavka jeste u planu, no nije definirana niti napisana i prihvaćenaod strane upravitelja znanstvene institucije.Interpretacija rezultata sadrži određeni stupanj subjektivnosti u ocjenjivanju, koji semože dodatno smanjiti uporabom inteligentnog agenta, iskustvom sigurnosnog58

Model za procjenu razine sigurnosti računalnog sustavasavjetnika te dodatnim simulacijama i testiranjima. Također se može smanjiti uporabomulazne vrijednosti inteligentnog agenta, koja opisuje važnost sigurnosti za pojedinianalizirani slučaj (ulazna varijabla Kr).U ovome primjeru poslužitelj analiziranog poslovnog subjekta vjerojatno ima potrebuza najvišom razinom sigurnosti, dok je poslužitelj sa znanstvene institucije na nekinačin „prezaštićen“ što bi moglo značiti nepotrebno trošenje sredstava. Općenito jerazličita važnost zahtjeva za sigurnosnom zaštitom in<strong>for</strong>macijskog sustava korištenog u,na primjer, bankarskom sektoru, proizvodnoj djelatnosti, zdravstvenoj instituciji iliugostiteljskom objektu. Ako je investicija za postavljanje ili povećanje in<strong>for</strong>macijskesigurnosti nepotrebno prevelika ona može nepotrebno financijski preopteretitiposlovanje te na neki način postati sama sebi svrhom.59

Model za procjenu razine sigurnosti računalnog sustava9. OSVRT NA SLIČNA SIGURNOSNA RJEŠENJAU uvodnim razmatranjima spomenuto je kako trenutno postoji nekoliko aktivnihznanstvenih projekata koji pokušavaju stvoriti što sveobuhvatnije i kvalitetnijesigurnosno rješenje te kako postoji više razvijenih procedura i programskih rješenja kojase pretežno upotrebljavaju za procjenu sigurnosnog rizika odnosno procjenuvjerojatnosti onoga što bi se moglo dogoditi, te manje za analizu trenutnog stanjasigurnosti. Većina ovih rješenja pokriva samo dio elemenata računalne i in<strong>for</strong>macijskesigurnosti, pretežno su razvijena za menadžere sigurnosnih odjela i upraviteljeposlovnih organizacija te im često nedostaje element koji bi se odnosio na utjecajponašanja korisnika sustava pri procjeni sigurnosnog rizika. Zbog različitog pristupaproblemu, menadžerskog u postojećim rješenjima nasuprot inženjerskom upredloženom <strong>model</strong>u, općenito nije moguća potpuna usporedba predloženog <strong>model</strong>a sasličnim postojećim rješenjima.Od rijetkih sličnih rješenja jedino bi kombinacija austrijskog AURUM sustavazasnovanog na ontologiji o sigurnosti [15] te sustavom za procjenu i edukacijukorisnika, zasnovanom na istoj toj ontologiji [36], možda bila i matematički usporedivas <strong>model</strong>om za procjenu razine sigurnosti računalnog sustava. Međutim programskorješenje je zatvorenog koda te zasad nije moguća detaljnija usporedba odnosno analiza sistim podacima.Ostala rješenja su razvijena za procjenu rizika, odnosno procjenu vjerojatnostieventualnih sigurnosnih incidenata dok predloženi <strong>model</strong> procjenjuje trenutno stanjesigurnosti analiziranog sustava te na osnovu rezultata analize daje preporuke zapoboljšanja. Slijedi kraći osvrt na postojeća, djelom slična, sigurnosna rješenjima.Nekoliko je metoda SRE (eng. Security Requirements Engineering) koje olakšavajuuvođenje norme ISO/IEC 27001. KAOS i SecureTropos su cilju orijentirane metode(eng. goal-oriented), SEPP je problemski orijentiran (eng. problem-oriented), dok jeCORAS metoda razvijena za analizu rizika (eng. risk analysis-<strong>based</strong>). Ove metode semogu koristiti i u međusobnoj kombinaciji, no najsličnija je metoda CORAS [18]. Onase koristi za <strong>model</strong>iranje rizika zasnovano na metodologiji UML na način da povezuje60

Model za procjenu razine sigurnosti računalnog sustavaposlovnu aktivu (eng. assets) i ocjene rizika s najvećim vjerojatnostima kako biomogućila kvantitativno zaključivanje u zatvorenom procesu analize rizika identificirajocjeni-kontrolirajrizik (eng. identify-assess-control risk analysis cycle). Međutimnajveće vjerojatnosti te njihov pojedinačni doprinos na cijelu analizu rizika ostajesemantički nedorečen [77].Proces DDP je osnovni alat, odnosno dio NASA svemirskog programa za detektiranje iprevenciju kvarova kod svemirskih letjelica. Ovaj programski alat je tehnički prilagođenkako bi služio za kvantitativnu analizu rizika te upravljanje sigurnosnim rizicima krozživotni ciklus analiziranog sustava [19]. Proces DDP se dijeli u tri stupnja: određivanjecilja, identifikacija mogućih zapreka te određivanje protumjera u svrhu postizanjazadanog cilja. Alat ima neku vrstu baze znanja organizirane u stablaste strukturepostavljenih zahtjeva, potencijalnih kvarnih modova te skupa PACTova (eng.Preventative measures, Analyses, process Controls and Tests). Rezultat ocjenjivanjautjecaja pojedinog kvarnog moda na postavljene zahtjeve jeste prioritetna lista modova.Na taj način je odabran optimalan skup PACTova koji maksimalno smanjuju preostalipostojeći rizik. Ovo rješenje nije primarno razvijeno za upravljanje sigurnosnimrizikom, usmjereno je na proces analize umjesto na sigurnost (eng. process-<strong>based</strong>) te jeupitna kvaliteta korištene baze znanja.Programski alat GSTool služi kao podrška za pripremu, administriranje te nadogradnjusigurnosnih in<strong>for</strong>macijskih pojmova na način da budu zadovoljeni uvjeti propisaninjemačkim in<strong>for</strong>macijsko-sigurnosnim uputama [10, 16]. Ovaj sveobuhvatni sustav zaizvještavanje u okviru sigurnosnih pojmova omogućuje podršku za sljedeće zadatke:<strong>model</strong>iranje sustava te analizu strukture u skladu s uputama, snimanje sustava, snimanjeprogramskih alata, ugradnju zaštite, analizu troškova, definiranje zahtjeva za zaštitom,izvješćivanje, podršku reviziji, osnovnu sigurnosnu provjeru te certificiranje u skladu snjemačkim in<strong>for</strong>macijsko-sigurnosnim uputama. Kvaliteta ovog rješenja izravno ovisi okvaliteti i aktualnosti njemačkih in<strong>for</strong>macijsko-sigurnosnih uputa na kojima se zasniva,a nedostaje joj baza znanja <strong>model</strong>irana ontologijom.Programski alat EBIOS je potpora metodi EBIOS koja se zasnova na sigurnosnoprimjenjivim ISO/IEC normama [17]. Razvijen je pod pokroviteljstvom francuskeagencije FNISA (eng. French Network and In<strong>for</strong>mation Security Agency). Programskialat omogućuje analizu te upravljanje rizikom uz izvješćivanje i dokumentiranje procesa61

Model za procjenu razine sigurnosti računalnog sustavai rezultata, prateći pet koraka opisanih metodom EBIOS: identifikacija i analiza rizika;mjerenje i procjena razine rizika; postupanje s rizikom; prihvaćanje rizika i povezivanjerazličitih rizičnih elemenata s elementima upravljanja sustavom. Programski alat jeotvorenog koda i besplatan za korištenje, no i kvaliteta ovog rješenja izravno ovisi okvaliteti francuskih uputa na koje se oslanja. Nije usporediv s predloženim rješenjem izrazloga što se ne temelji na ontološkoj bazi znanja te što se orijentira na procjenu iupravljanje sigurnosnim rizikom.Metodologija MOPM je zasnovana na AHP (eng. Analytic Hierarchy Process) i PSO(eng. Particles Swarm Optimization) procesima te kombinira analitičku hijerarhijskustrukturu ocjenjivanja rizika te sveobuhvatno zaključivanje na osnovu trenutnog stanjasigurnosti in<strong>for</strong>macijskog sustava [20]. PSO stupanj rizika proizlazi iz procjenevjerojatnosti pojedinog rizika, procjene jačine utjecaja rizika te stupnja nemogućnostikontrole rizika. Ovo rješenje za procjenu rizika i ocjenu stanja razvijeno je kaoprogramski alat za podršku voditeljima i upravi poslovnih subjekata, međutim važninedostatak jeste nepostojanje aktivne baze znanja o rizicima, odnosno ontološke OWLbaze znanja.Programsko rješenje AURUM zasnovano na NIST SP 800-30 normi razvijeno je nainstitutu SBA (eng. Secure Business Austria) u suradnji s bečkim tehnološkimsveučilištem, te pod pokroviteljstvom austrijske vlade [15]. Rješenje koristi ontologiju osigurnosti zasnovanu na postojećim sigurnosnim uputama i sigurnosnim normama teosigurava aktualnost baze znanja korištenjem rezultata aktivnog projekta [13]. Zaračunanje s vjerojatnostima koristi se Bayesova neuronska mreža radi računanja sasubjektivnošću ljudskog prosuđivanja, rješenje sadrži određeni stupanjautomatiziranosti kao podršku u odlučivanju upravi poslovnog subjekta te omogućujeanalizu sigurnosnih nedostataka (eng. gap analysis). Najveći nedostatak ovog rješenjajeste u tome što ne uključuje utjecaj korisnika u analizu sigurnosti i procjenu rizika, atestiranja provedena tijekom ovog istraživanja su pokazala kako je prošireni algoritamza evidencijsko zaključivanje lakše primijeniti na ontološku strukturu korištene bazeznanja umjesto primjene Bayesove neuronske mreže.Prototip za procjenu svjesnosti korisnika sustava o sigurnosnim pitanjima, predložen2006 godine, ima nekoliko sličnosti s <strong>model</strong>om za procjenu razine sigurnostiračunalnog sustava [78]. Logička struktura <strong>model</strong>a je stablasta struktura, algoritam za62

Model za procjenu razine sigurnosti računalnog sustavaprocjenu uzima u obzir težinske faktore važnosti odnosno utjecaja pojedinog elementate bi mogao biti proširen kako bi obuhvatio sve segmente sigurnosti in<strong>for</strong>macijskogsustava. Čini se kako ovo rješenje nije postiglo širu primjenu, a nedostaje mu bazaznanja te, za razliku od predloženog <strong>model</strong>a, ne može računati s vrijednostimasubjektivnih procjena.Drugo rješenje za evaluaciju svjesnosti korisnika sustava o sigurnosnim pitanjima jetakođer prototip koji omogućuje edukaciju korisnika uz ponovno procjenjivanje nakonedukacije, a zasnovano je na ontologiji o sigurnosti [36]. Kako je ovo rješenje u ranomestupnju razvoja nejasna je kvaliteta algoritma za procjenu te postoji li mogućnostproširenja na ostale segmente in<strong>for</strong>macijske sigurnosti sustava. Međutim, ovo rješenjemoglo bi biti nadogradnja AURUM rješenju s obzirom kako je zasnovano na istoj OWLontologiji o sigurnosti [14].Predloženi <strong>model</strong> za procjenu razine sigurnosti računalnog sustava nije sigurnosnorješenje usredotočeno na procjenu vjerojatnosti hoće li se dogoditi poznati sigurnosniincidenti, kao što to rade dobronamjerna penetracijska testiranja, iako se s takvimtestiranjima može kvalitetno dopuniti. Osnovni cilj ovog rješenja, uz procjenucjelokupnog stanja kojim obuhvaća i procjenu rizika, jeste istraživanje sigurnostisustava kako bi se otkrili loše zaštićeni elementi sustava (eng. opened-back-doors) iliidentificirali eventualni cijeli podsustavi niske razine sigurnosti. Model za procjenurazine sigurnosti se može proširiti kako bi obuhvatio u procjenu razine sva mogućasigurnosna pitanja, od programskih, fizičkih, mrežnih organizacijskih te utjecajačovjeka. Kvaliteta procjene izravno ovisi o kvaliteti baze znanja, odnosno ažurnostiontologije o sigurnosti što u ovome slučaju predstavlja prednost, zbog mogućnostikorištenja bilo koje, već postojeće kvalitetnije ontologije ili izrade nove ontologijeprilagođene određenom sustavu. Na taj način <strong>model</strong> za procjenu razine sigurnostimoguće je primijeniti na sustave različitih veličina i primjena, od pametnih telefona kaozasebnih cjelina, do velikih in<strong>for</strong>macijskih bankarskih sustava.Za razliku od prethodno navedenih, djelomično sličnih sigurnosnih rješenja, predloženi<strong>model</strong> za procjenu razine sigurnosti računalnog sustava je sveobuhvatniji, jer je proširivna sva potencijalno sigurnosno upitna svojstva sustava, budući je zasnovan na ontologijiOWL. Predloženi <strong>model</strong> za procjenu razine sigurnosti obuhvaća i utjecaj ponašanjakorisnika, što je česti nedostatak sličnih sigurnosnih rješenja, odnosno korisnik sustava63

Model za procjenu razine sigurnosti računalnog sustavase posebno tretira ili čak izostavlja iz procjena rizika i sigurnosnih analiza iako je ongradivni i sigurnosno izrazito značajan element sustava.Ovaj <strong>model</strong> je također i precizniji, jer se ocjenjivanjem pojedinih elemenata sustavaopisanih ontološkom bazom znanja uz matematički uključenu subjektivnu procjenu,dobiva ukupna ocjena za razliku od rješenja koja se bave procjenjivanjem rizika izsubjektivnog i iskustvenog znanja eksperta ponekad uz podršku sistematskihsigurnosnih uputa. Ovo svojstvo dobrog računanja sa subjektivnim procjenama proizlaziiz prirode korištenog proširenog algoritma za evidencijsko zaključivanje koji je, kao iBayesova neuronska mreža, nastao na teoriji Dempster-Shafer, a osigurava da se iz višesubjektivnih procjena dobije ukupna objektivna ocjena.64

Model za procjenu razine sigurnosti računalnog sustava10. ZAKLJUČAKKonstantno pojavljivanje novih problema u području in<strong>for</strong>macijske i računalnesigurnosti nameće potrebu za suradnjom raznih interesnih skupina, od upraviteljaposlovnih organizacija i njihovih tehničkih direktora preko voditelja i administratorain<strong>for</strong>macijsko - komunikacijskih odjela do sigurnosnih stručnjaka i savjetnika. Takođerje vidljiva potreba za novim općenitijim i sveobuhvatnijim sigurnosnim rješenjima i/ilinovim sigurnosnim konceptima koji bi dugoročno riješili, ili barem smanjili ovaj rastućiproblem.Uvodnim eksperimentom ovoga rada potvrđene su tvrdnje nekolicine radova novijegdatuma objavljenih u znanstvenim tehničkim časopisima, a koji se bave temomin<strong>for</strong>macijske i računalne sigurnosti, kako ponašanje korisnika sustava značajno utječena sigurnost korisnika sustava, sigurnost sustava te pripadajućih podataka. Štoviše ističese potreba uzimanja u obzir korisnika i njegov utjecaj na cjelokupnu in<strong>for</strong>macijskusigurnost prilikom izgradnje sigurnosnih rješenja. Ova ideja je stoga jedna od osnova zaizradu <strong>model</strong>a za procjenu razine sigurnosti računalnog sustava uključujući osimtehničkih i ljudski element.Model za procjenu stanja sigurnosti računalnog sustava, predstavlja dobru osnovu dapostane sveobuhvatni alat za procjenu razine sigurnosti računalnog sustava uključujućisve sigurnosne elemente: tehničku, organizacijsku, te također i utjecaj čovjeka. Na ovajzaključak navode rezultati ispitivanja te rezultati primjene <strong>model</strong>a za procjenu stanjasigurnosti, široka primjena sveobuhvatne ontologije o sigurnosti te proširenog algoritmaza evidencijsko zaključivanje.10.1. Utjecaj ponašanja korisnikaRezultatima uvodnog empirijskog eksperimenta potvrđena je hipoteza kako je, osimvanjskih utjecaja na sigurnost računalnog sustava, značajan utjecaj i samog korisnikaodnosno sudionika promatranog sustava.Korisnik može „izgubiti“ osobne podatke ili podatke kojima privremeno raspolaže, nanačin da ih na prevaru otkrije ili mu budu otuđeni. Zlouporaba osobnih podataka može65

Model za procjenu razine sigurnosti računalnog sustavaprouzročiti financijsku štetu, te značajno utjecati na društveni ugled pojedinca, njegoveobitelji i prijatelja te organizacija u kojima djeluje i radi. Korisnik kao dio sustavamože, najčešće nehotično, otkriti bitne podatke sustava ili „pustiti“ vanjskog napadača usustav te na taj način kompromitirati sustav kojemu pripada.Iz navedenog proizlazi kako je korisnik, odnosno sudionik sustava, jedan od slabijihsigurnosnih elemenata sustava, a razlog je najčešće neznanje ili neaktivnost korisnika.Rješenje problema leži u, općenito, pridavanju veće važnosti utjecaju ponašanjakorisnika na sigurnost sustava:• Kvalitetnija kontrola korisnika u smislu fizičkog i programskog nadzora;• Edukacija korisnika kroz školske programe za mlade te seminare za starije;• Cjeloživotno in<strong>for</strong>miranje korisnika o (novim) sigurnosnim pitanjima krozmedije te periodične seminare;• Uvođenje elementa „utjecaja ponašanja korisnika“ u <strong>model</strong>e i sigurnosnarješenja;• Razvoj „inteligentnih programskih savjetnika“ kao pomoć korisnicima (moždakao dodatak antivirusnom programu).10.2. Model za procjenu razine sigurnosti računalnog sustavaTestiranjem te praktičnom primjenom <strong>model</strong>a za procjenu razine sigurnosti računalnogsustava pokazano je kako je moguće kvalitetno procijeniti svjesnost korisnika osigurnosnim pitanjima, odnosno procijeniti razinu rizičnosti u ponašanju korisnikaračunalnog sustava. U užem smislu pokazano je kako primijeniti prošireni algoritam zaevidencijsko zaključivanje na procjenu ponašanja.Ontologija OWL je dobar odabir za bazu znanja <strong>model</strong>a za procjenu razine sigurnosti,iz razloga što se već neko vrijeme uspješno primjenjuje u opisu domene in<strong>for</strong>macijskesigurnosti, a pokazala se prikladna u simulacijama i testiranjima.66

Model za procjenu razine sigurnosti računalnog sustavaProšireni algoritam za evidencijsko zaključivanje koristi se duži niz godina za procjenustanja tehničkih sustava te ga je moguće kvalitetno primijeniti na ontološku strukturu,uz upotrebu definiranih pravila.Osnovna zadaća inteligentnog agenta je zaključivanje, odnosno uz nadgledanjesigurnosnog stručnjaka osnovni refleksni agent može poslužiti za automatizacijuodnosno povratnu vezu u <strong>model</strong>u, zaključivanje na osnovu ukupne ocjene procesaprocjene i referentnih vrijednosti, te isticanja sigurnosno kritičnih elemenata inesigurnih dijelova sustava analizom OWL ontologije.Primjene <strong>model</strong>a na ljudski element sustava, procjenu razine rizičnosti ponašanjakorisnika, te na tehnički dio sustava, procjenu razine sigurnosti poslužitelja, pokazujukako bi ovaj <strong>model</strong> mogao postati sveobuhvatno rješenje za procjenu razine sigurnostiračunalnog sustava.10.3. Potvrde postavljenih hipotezaProvedeno istraživanje je potvrdilo postavljene hipoteze:a) Korisnik kao sudionik računalnog sustava može svojim ponašanjem ugrozitisvoju sigurnost, sigurnost sustava kojemu pripada te sigurnost podataka kojimaraspolaže.b) Moguće je definirati pravila za primjenu proširenog algoritma za evidencijskozaključivanje nad ontološkom strukturom.c) Moguće je razviti sveobuhvatni <strong>model</strong> za procjenu stanja sigurnosti računalnogsustava, koji će (uz sva ostala sigurnosna pitanja) obuhvatiti i korisnika kaoelement sustava, upotrebom OWL ontologije za <strong>for</strong>malni opis sigurnosti teprimjenom proširenog algoritma za evidencijsko zaključivanje.d) Inteligentni agent svojim algoritmom može zamijeniti sigurnosnog stručnjakaodnosno savjetnika te na osnovu ukupne ocjene razine sigurnosti računalnogsustava odluči treba li djelovati na sustav kako bi se povećala razina sigurnosti,te istaknuti kritične elemente sustava ili evidentirati cijele podsustave niskerazine sigurnosti.67

Model za procjenu razine sigurnosti računalnog sustavaNa osnovu teorijskih razmatranja i empirijskih istraživanja konceptualno je definiran<strong>model</strong> za procjenu razine sigurnosti računalnog sustava povezivanjem nekolikogradivnih elemenata: OWL ontologije, proširenog algoritma za evidencijskozaključivanje te inteligentnog agenta. Testiranjima, simulacijama i slučajevimaprimjene opisana su svojstva <strong>model</strong>a.10.4. Znanstveni doprinosi istraživanja i budući radČetiri su znanstvena doprinosa ovog istraživanja:1. Statistička analiza empirijskih podataka o svjesnosti korisnika računalnogsustava, prikupljenih eksperimentom.2. Pravila za primjenu proširenog algoritma za evidencijsko zaključivanje nadontološkom strukturom.3. Algoritam osnovnog refleksnog agenta za analizu ontologije s ciljempronalaženja sigurnosno kritičnih elemenata računalnog sustava.4. Model za procjenu stanja sigurnosti računalnog sustava, s pomoću OWLontologije, proširenog algoritma za evidencijsko zaključivanje te osnovnogrefleksnog agenta. Model je ispitan na podontologijama računalnog sustava sciljem identifikacije sigurnosno rizičnih skupina korisnika sustava elektroničkepošte te s ciljem usporedbe razine sigurnosti više poslužitelja.Budući rad na razvoju <strong>model</strong>a za procjenu razine sigurnosti računalnog sustava trebaobi obuhvatiti daljnja ispitivanja, integraciju s postojećim sigurnosnim ontologijama irazvoj programskog koda koji bi automatizirao prilagodbu ontološke strukture teobuhvatio sve elemente <strong>model</strong>a u jednu cjelinu. Takvo programsko rješenje uz grafičkosučelje moglo bi služiti kao sveobuhvatni programski alat koji bi omogućiojednostavniju primjenu <strong>model</strong>a.Osim proširenja korištenih podontologija (slika 3.1 i slika 3.2) te povezivanja u jednuontologiju koja bi opisivala općenitu sigurnost računalnog sustava u planu je i primjenaneke od postojećih ontologija o sigurnosti. Nakon postizanja sveobuhvatnosti <strong>model</strong>a zaprocjenu razine sigurnosti računalnog sustava u planu je primijeniti <strong>model</strong> na manjeposlovne subjekte radi testiranja svojstava te provjere i po potrebni preciznijeg68

Model za procjenu razine sigurnosti računalnog sustavaodređivanja referentnih vrijednosti. Nakon razvoja podontologije o ponašanju korisnikaelektroničke pošte (slika 3.1) u ontologiju o općenitom ponašanju i utjecaju korisnika nasigurnost sustava biti će moguće analizirati populaciju naše županije ili cijele državeradi grupiranja korisnika u ovisnosti o rizičnosti njihovog ponašanja odnosno navika prikorištenju računalnih sustava.Također u planu je, u kasnijim stupnjevima razvoja <strong>model</strong>a uvesti i težinske vrijednostiu izračun ukupnih ocjena kako bi se dobila preciznost pri usporedbi dva i više sustava.Budući rad bi također trebao biti i isticanje problema utjecaja korisnikovog rizičnogponašanja na ukupnu in<strong>for</strong>macijsku sigurnost kako bi se podigla svijest o ovomeproblemu među svim interesnim skupinama iz područja in<strong>for</strong>macijske i računalnesigurnosti.69

Model za procjenu razine sigurnosti računalnog sustavaLITERATURA[1] Zakon o in<strong>for</strong>macijskoj sigurnosti, Osnovne odredbe, Hrvatski Sabor, 2007.[2] Haley K. In<strong>for</strong>mation Robbery: The 2011 Internet Security Threat Report,www.infosectoday.com/Articles/In<strong>for</strong>mation_Robbery.htm, 2012.[3] ISO/IEC 27000 series of standards, http://www.27000.org/[4] ENISA agency, http://www.enisa.europa.eu/about-enisa[5] NIST agency, http://www.nist.gov/index.html[6] InfoSec Institute, http://www.infosecinstitute.com/[7] SANS Institute, http://www.sans.org/about/sans.php[8] Croatian CERT, http://www.cert.hr/[9] US CERT department, http://www.us-cert.gov/[10] IT Grundschutz in brief, Federal Office <strong>for</strong> In<strong>for</strong>mation Security, Bonn, Germany,www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Grundschutz/guidelines/guidelines_pdf.pdf, 2007.[11] Security of Personal Data, CNiL, Francewww.cnil.fr/fileadmin/documents/en/Guide_Security_of_Personal_Data-2010.pdf,2010.[12] Sajko M., Hajdina N., Pesut D., Multi-criteria <strong>model</strong> <strong>for</strong> evaluation of in<strong>for</strong>mation<strong>security</strong> risk <strong>assessment</strong> methods and tools, Proc IEEE MIPRO 2010.[13] Schwittek W., Schmidt H., Beckers K., Eicker S., Faßbender S., Heisel M., ACommon Body of Knowledge <strong>for</strong> Engineering Secure Software and Services, Proc 7 thInternational Conference on Availability, Reliability and Security ARES, 2012.[14] Fenz S., Parkin S., van Moorsel A., A Community Knowledge Base <strong>for</strong> IT Security,Proc IEEE ITPro, 2011.[15] Fenz S., AURUM: A Framework <strong>for</strong> In<strong>for</strong>mation Security Risk Management, Procof the 42 nd Hawaii International Conference on System Sciences, 2009.[16] GSTool software tool, Federal Office <strong>for</strong> In<strong>for</strong>mation Security, Bonn, Germany,https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzGSTOOL/itgrundschutzgstool_node.html, 2008.70

Model za procjenu razine sigurnosti računalnog sustava[17] EBIOS metodology tool, CNiL, France, http://www.ssi.gouv.fr/fr/bonnespratiques/outils-methodologiques/ebios-2010-expression-des-besoins-et-identificationdes-objectifs-de-securite.html,2010.[18] Lund M.S., Solhaug B., Stølen K., Model-Driven Risk Analysis: the CORASapproach, Springer-Verlag, 2011.[19] Corn<strong>for</strong>d, S.L., Feather, M.S., Hicks, K.A. DDP: a tool <strong>for</strong> life-cycle riskmanagement, Aerospace and Electronic Systems Magazine, IEEE, Vol. 21, No 6, p.p.13 - 22, 2006.[20] Gamal A. Awad, Elrasheed I. Sultan, Noraziah Ahmad, Norafida Ithnan, Beg A.H.,Multi-Objectives Model to Process Security Risk Assessment Based on AHP-PSO,Modern Applied Science Vol. 5, No. 3, pp 246-250, 2011.[21] Petz B., Statistika za nematematičare, Naklada Slap, Hrvatska, 1998.[22] Protege ontološki programski alat, Sveučilište Stan<strong>for</strong>d, Kali<strong>for</strong>nija SAD,http://protege.stan<strong>for</strong>d.edu/, 2012.[23] Jagnjic Z., Slavek N, Blazevic D, Condition Based Maintenance of PowerDistribution System, Proc EUROSIM, p.p. 13-14, 2004.[24] Xu D.L., Yang J.B., Intelligent decision <strong>system</strong> <strong>for</strong> self-<strong>assessment</strong>, J Multi-CritDecis Anal, Vol. 12, p.p. 43–60, 2003.[25] Pfleeger S.L., Irvine C., Know M., The Human Side of Risk Management, ProcIEEE Sec&Privacy, 2011.[26] Yoshikai L.N., Kurino S., Komatsu A., et.all., Experimental research on PersonalAwareness and Behavior <strong>for</strong> In<strong>for</strong>mation Security Protection, Proc NBiS, 2011.[27] Solic K., Sebo D., Jovic F., Ilakovac V., Possible Decrease of Spam in the EmailCommunication, Proc IEEE MIPRO, p.p. 1512-1515, 2011.[28] Gros S., Golub M., Glavinic V., Using Trust on the Internet. Proc IEEE MIPRO,p.p. 118-123, 2008.[29] Lukasik S.J., Protecting Users of the Cyber Commons, Communications of theACM, Vol 54, No.9, p.p. 54-61, 2011.[30] Chan Y., Shoniregun C.A., Akmayeva G.A., Al-Dahoud A., Applying semanticweb and user behavior analysis to en<strong>for</strong>ce the intruder detection <strong>system</strong>, Proc IEEEICITST, p.p. 1-5, 2009.[31] Tang K., Zhou M.T., Wang W.Y., Insider cyber threat situational awarenessframework using dynamic Bayesian network, Proc IEEE ICCSE, p.p. 1146-1150, 2009.71

Model za procjenu razine sigurnosti računalnog sustava[32] Saleh K., Habil M., Security Requirements Behavior Model <strong>for</strong> TrustworthySoftware. Proc IEEE MCETECH, p.p. 235-238, 2008.[33] Liquin T., Chuang L., Sunjin X. A Kind of Prediction Method of User Behaviour<strong>for</strong> Future Trustworthy Network, Proc IEEE ICCT, p.p. 1-4, 2006.[34] Horcher A.M., Tejay G.P., Building a better password: The role of cognitive loadin in<strong>for</strong>mation <strong>security</strong> training, Proc IEEE ISI, p.p. 113-118, 2009.[35] Furman S., Theofanos M., Choong Y., Stanton B., Basing Cyber<strong>security</strong> Trainingon User Perceptions, IEEE Sec & Privacy, Vol 10, No. 2, p.p. 40-49, 2011.[36] Mangold L.V., Using Ontologies <strong>for</strong> Adaptive In<strong>for</strong>mation Security Training, Proc7 th International Conference on Availability, Reliability and Security, 2012.[37] The new users’ guide: How to raise in<strong>for</strong>mation <strong>security</strong> awareness, ENISAagency, www.enisa.europa.eu/activities/cert/<strong>security</strong>-month/deliverables/2010/newusers-guide,2010.[38] Sigurnosne preporuke, CERT, www.cert.hr/preporuke, 2012.[39] Sessions R., Software Fortresses: Modeling Enterprise Architectures, Addison-Wesley Professional, 2003.[40] Solic K., Ilakovac V., Security Perception of a Portable PC User (The DifferenceBetween Medical Doctors and Engineers): A Pilot Study, Med Glas, Vol. 6, No. 1, p.p.97-103, 2009.[41] The 25 Most Common Mistakes in Email Security, ITSecurity,www.it<strong>security</strong>.com/features/25-common-email-<strong>security</strong>-mistakes-022807/, 2007.[42] Schryen G., The impact that placing email address on the Internet has on thereceipt of spam: An empirical analysis, Com & Sec, Vol. 26, No. 5, p.p.361-372, 2007.[43] Solic K., Horvat I., Slabosti svjetski poznatih besplatnih e-mail servisa - analiza ipreporuke, MEDIX, Vol. 97, No. 17, p.p. 212-214, 2011.[44] Horridge M., A Practical Guide To Building OWL Ontologies Using Protege 4,University of Manchester, 2011.[45] Klaic A., Hadjina N., Methods and Tools <strong>for</strong> the Development of In<strong>for</strong>mationSecurity Policy, Proc IEEE MIPRO, 2011.[46] Prcela M., Gamberger D., Jovic A., Semantic web ontology utilization <strong>for</strong> heartfailure expert <strong>system</strong> design, Proc MIE, p.p. 851-856, 2008.[47] OWL ontologija, Projekt Heartfaid, http://lis.irb.hr/heartfaid/ontology/, 2011.[48] HEARTFAID, Europski znanstveni projekt, www.ehealthnews.eu/heartfaid, 2012.72

Model za procjenu razine sigurnosti računalnog sustava[49] State of Spam & Phishing - A Montly Report, Symantec,www.symantec.com/content/en/us/enterprise/other_resources/b-state_of_spam_and_phishing_report_12-2010.en-us.pdf, 2010.[50] Solic K., Grgic K., Galic D., A Comparative Study of the Security Level amongDifferent Kind of E-mail Services – Pilot Study, Teh vjesn – Stroj fak, Vol. 17, No. 4,p.p. 489-492, 2010.[51] Top 5 Ways to protect your Email, ITSecurity,www.it<strong>security</strong>.com/whitepaper/five-essential-steps-to-safer-email-ironport/index.php,2009.[52] Yang J.B., Singh M.G., An evidential reasoning approach <strong>for</strong> multiple attributedecision making with uncertainty, IEEE Trans Syst Man Cybern, Vol. 24, No. 1, p.p. 1-18, 1994.[53] Yang J.B., Sen P., A general multi-<strong>level</strong> evaluation process <strong>for</strong> hybrid MADM withuncertainty, IEEE Trans Syst Man Cybern, Vol. 24, No. 10, p.p. 1458–1473, 1994.[54] Dempster A.P., Upper and lower probabilities induced by a multivalued mapping,Ann Math Stat, Vol. 38, p.p. 325–339, 1967.[55] Shafer G., A mathematical theory of evidence, Princeton University Press, NewJersey, 1976.[56] Zhou M., Liu X.B., Yang J.B., Evidential Reasoning-Based NonlinearProgramming Model <strong>for</strong> MCDA Under Fuzzy Weights and Utilities, InternationalJournal of Inteligent Systems, Vol. 25, p.p. 31-58, 2010.[57] Zhang Z.J., Yang J.B., Xu D.L., A hierarchical analysis <strong>model</strong> <strong>for</strong> multiobjectivedecision making, Analysis, Design and Evaluation of Man–Machine Systems,Pergamon, Ox<strong>for</strong>d, UK, p.p. 13–18, 1990.[58] Yang J.B, Xu D.L., On the Evidential Reasoning Algorithm <strong>for</strong> Multiple AttributeDecision Analysis Under Uncertainty, IEEE Transactions on Systems, Man andCybernetics - part A: Systems and Humans, Vol. 32, No. 3, p.p. 289-304, 2002.[59] Zhang X.D., Zhao H., Wei S.Z., Research on Subjective and objective evidencefusion method in oil reserve <strong>for</strong>ecast, J Syst Simul, Vol. 17, No. 10, p.p. 2537–2540,2005.[60] Liu X.B., Zhou M., Yang J.B., Yang S.L., Assessment of strategic R&D projects<strong>for</strong> car manufacturers <strong>based</strong> on the evidential reasoning approach, Int J Comput IntellSyst, Vol. 1, p. 24–49, 2008.73

Model za procjenu razine sigurnosti računalnog sustava[61] Beynon M., Cosker D., Marshall D., An expert <strong>system</strong> <strong>for</strong> multi-criteria decisionmaking using Dempster–Shafer theory, Expert Syst Appl, Vol. 20, p.p. 357–367, 2001.[62] Wu W.Z., Zhang M., Li H.Z., Mi J.S., Knowledge reduction in random in<strong>for</strong>mation<strong>system</strong>s via Dempster–Shafer theory of evidence, Inf Sci, Vol. 174, No. 3-4, p.p. 143–164, 2004.[63] Srivastava R.P., Liu L., Applications of belief functions in business decisions: areview, Inf Syst Frontiers, Vol. 5, No. 4, p.p. 359–378, 2003.[64] Jovic F., Filipovic M., Blazevic D., Slavek N., Condition Based Maintenance inDistributed Production Environment, Machine engineering, Vol. 4, No. 1-2, p.p. 180-192, 2004.[65] Solic K., Jovic F., Blazevic D., An Approach To The Assessment Of PotentiallyRisky Behavior Of ICT Systems’ Users, Tehn Vjes, (prihvačeno za objavu), 2013.[66] Blažević D., Predviđanje održavanja tehničkog sustava procjenom stanja,(disertacija) ETF Osijek, 2012.[67] Yen, J., Generalizing the Dempster - Shafer Theory to Fuzzy Sets, IEEETransactions on Systems, Man, and Cybernetics, Vol. 20, No. 3, p.p. 559-570, 1990.[68] Wang, W., Christer A.H., Towards a general condition <strong>based</strong> maintenance <strong>model</strong><strong>for</strong> a stochastic dynamic <strong>system</strong>, The Journal of the Operational Research Society, Vol.51, No. 2, p.p. 145-155, 2000.[69] Huang C.L., Yoon K., Multiple Attribute Decision Making Methods andApplications, A State-of-Art Survey, Springer-Verlag, New York, SAD, 1981.[70] Keeney R.L., Raiffa H., Decision With Multiple Objectives, Cambridge Univ.Press, UK, 1993.[71] Russell S., Norvig P., Artificial Intelligence, A Modern Aproach, Third Edition,Pearson Education Inc., New Jersey, SAD, 2010.[72] Huang T., Li W., Yang C., Comparison of Ontology Reasoners: Racer, Pellet,Fact++, American Geophysical Union, Fall Meeting, abstract #IN13A-1068, 2008.[73] Prcela M., Predstavljanje znanja zasnovano na integraciji ontologija i Bayesovihmreža (disertacija) FER Zagreb, 2010.[74] Mooi E., Sarstedt M., A Concise Guide to Market Research (Cluster Analysis,Chapter 9), Springer, p.p. 237-284, 2011.[75] Jobson J.D., Applied Multivariate Data Analysis, Springer, p.p. 518-616, 1992.[76] Solic K., Tovjanin B., Ilakovac V., Assessment Methodology <strong>for</strong> the Categorizationof ICT System Users Security Awareness, Proc IEEE MIPRO, 2012.74

Model za procjenu razine sigurnosti računalnog sustava[77] Beckers K., Faßbender S., Heisel M., Schmidt H., Using Security RequirementsEngineering Approaches to Support ISO 27001 In<strong>for</strong>mation Security ManagementSystems Development and Documentation, Proc ARES, 2012.[78] Kruger H.A., Kearney W.D., A prototype <strong>for</strong> assessing in<strong>for</strong>mation <strong>security</strong>awareness, Computers & Security, Vol. 25, p.p. 289-296, 2006.75

Model za procjenu razine sigurnosti računalnog sustavaSAŽETAKSigurnost računalnog sustava se svodi na zaštitu podatka, odnosno povjerljivosti,cjelovitosti i raspoloživosti zapisane in<strong>for</strong>macije, a može se razdijeliti na zaštitu mreže,zaštitu programske podrške, na fizičku zaštitu uređaja, definiranje sigurnosnih politika,postojanje zalihosti te nadzor i edukaciju korisnika sustava. Nažalost, sigurnosnarješenja kao što su različite sigurnosne upute i norme te tehnička i programska rješenja,rijetko uzimaju u obzir utjecaj ponašanja korisnika na cjelokupnu razinu sigurnosti,odnosno zanemaruju korisnika kao sudionika i element računalnog sustava.U radu je eksperimentom potvrđena hipoteza kako „korisnik računalnog sustava možesvojim ponašanjem ugroziti svoju sigurnost, sigurnost podataka koje posjeduje ilikoristi, te sustava kojemu pripada“. Razvijen je <strong>model</strong> za procjenu razine sigurnostiračunalnog sustava, koji osim tehničkih i programskih elemenata sustava može uzeti uobzir i organizacijski dio te utjecaj ponašanja korisnika na cjelokupnu razinu sigurnostiračunalnog sustava.Gradivni elementi <strong>model</strong>a su: ontologija OWL, prošireni algoritam za evidencijskozaključivanje te jednostavni refleksni inteligentni agent. Ontološka osnova predstavljabazu znanja odnosno logički dio <strong>model</strong>a, odabrani algoritam služi za matematičkuprocjenu razine sigurnosti, dok je inteligentni agent povratna veza za automatizaciju ipodršku odlučivanju.Rezultati testiranja te pokušaji primjene razvijenog <strong>model</strong>a pokazuju kako bi ovaj<strong>model</strong> mogao postati sveobuhvatno rješenje za procjenu razine sigurnosti računalnogsustava.Ključne riječi: in<strong>for</strong>macijska sigurnost, utjecaj korisnika, procjena razine sigurnosti,ontologija, evidencijsko zaključivanje, inteligentni agent76

Model za procjenu razine sigurnosti računalnog sustavaABSTRACTAmount of <strong>security</strong> issues in the ICT persists through time. Ongoing activities on<strong>security</strong> solutions aim to integrate existing <strong>security</strong> guidelines, best practices, <strong>security</strong>standards and existing solutions, but they often lack of knowledge base or do notinvolve all <strong>security</strong> issues particularly human influence. Presented novel solution aimsto become overall ICT <strong>system</strong>’s <strong>security</strong> evaluation tool that will cover all possiblein<strong>for</strong>mation <strong>security</strong> issues. It is <strong>based</strong> on the OWL ontology knowledge base, uses theEnhanced Evidential Reasoning Algorithm <strong>for</strong> mathematical calculations and possessesthe Simple Reflex Intelligent Agent’s Algorithm as decision supporting element.Properties <strong>for</strong> the In<strong>for</strong>mation Security Evaluation Tool (ISET) supervene fromproperties of its constructing elements: high flexibility and applicability to bothdifferent ICT solutions and different business organizations; upgradeability in order tobe up-to-dated in real time regarding current <strong>security</strong> issues and new treats; and highgenerality taking into evaluation all possible aspects regarding <strong>security</strong> issues e.g.network <strong>security</strong>, software and hardware issues, human influence, <strong>security</strong> policies,disaster recovery plans, etc.Simulation and testing results has shown that proposed solution could achieve its aim ifit would be developed into integral software tool with well defined and up-to-datedontological knowledge base.Keywords: Risk Management, Human Factor, In<strong>for</strong>mation Security, EvaluationMethodology77

Model za procjenu razine sigurnosti računalnog sustavaŽIVOTOPISKrešimir Šolić rođen je 13. kolovoza 1976. godine u Osijeku gdje je završioosnovnu školu i Opću gimnaziju. Elektrotehnički fakultet Osijek, Sveučilišta J. J.Strossmayera u Osijeku upisuje 1995. godine, te se nakon druge godine studijaopredjeljuje se za smjer elektronika i automatizacija, izborni blok računarstvo.Diplomira 2002. godine s temom uvođenja CRM sustava za podršku korisnicimau Ericsson Mobile AB, Geteburg, Švedska. Pripravnički staž odrađuje u tajništvuOsječko-baranjske županije tijekom kojeg završava CCNA stupanj Cisco Akademije tepolaže državni stručni ispit za rad u državnoj službi. U svibnju 2005. godine zapošljavase na Medicinskom fakultetu u Osijeku na mjestu CARNet sistem inženjera. Početkom2007. godine upisuje poslijediplomski doktorski studij na Elektrotehničkom fakultetuOsijek, smjer komunikacije i in<strong>for</strong>matika, pod mentorstvom prof. dr. sc. Franje Jović.Radno mjesto na Medicinskom fakultetu mijenja početkom 2008. godine kadapostaje znanstveni novak na projektu prof. dr. sc. Vesne Ilakovac “Valjanost podatakaobjavljenih u znanstvenom časopisu” te asistent na predmetima iz područja medicinskestatistike.Uže područje interesa i istraživanja su mu sigurnost in<strong>for</strong>macijskokomunikacijskihsustava te primjena statističkih <strong>model</strong>a u biomedicinskim znanostima.Krešimir je oženjen i otac blizanaca Ane i Marka.78

Model za procjenu razine sigurnosti računalnog sustavaPRILOZIPrilog A. Pseudokod inteligentnog agenta za analizu ontologijePočetakulazne varijable:početne vrijednosti:Rd - referentna vrijednost: minimalno dovoljno sigurno;Rp - referentna vrijednost: željena razina sigurnosti;RdR onda Xako U>=Rd onda Yinače Zizlazne radnje:X - savjet za reorganizacijom kompletnog sustava;Y - savjet za poboljšanjem segmenata sustava;Z- savjet za popravkom sigurnosti kritičnih elemenata sustava;ako X onda:kraj.ako Y onda:pretraga ontologije;identifikacija segmenata sustava niske razine sigurnosti U

Model za procjenu razine sigurnosti računalnog sustavakraj.izlistanje segmenata;kraj.ako Z onda:pretraga ontologije;identifikacija sigurnosno kritičnih osnovnih elemenata sustava U

Model za procjenu razine sigurnosti računalnog sustavaPrilog B. Anketni upitnik za prikupljanje podataka o ponašanju korisnikaOvo je anonimna anketa na temu sigurnosti, a pitanja će biti korištena za znanstvenoistraživanje, unaprijed zahvaljujem na Vašem vremenu!Krešimir ŠolićOpća pitanja:A. Koliko godina imate? _________B. Spol? M ŽC. Što ste po zanimanju (što radite) _____________________________,a što ste po zvanju (po školovanju, stručna sprema)? ____________________D. Radite li i gdje:a. Radite u privredib. Radite u državnoj službi ili drugoj državnoj institucijic. Nezaposleni sted. Još se školujete te nemate stalna primanjae. U mirovini steE. Koliko imate e-mail adresa: _____, a koliko njih koristite? _______Pitanja o korištenju e-mail sustava:1. Koristite li posebnu e-mail adresu za poslovnu, a drugu za privatnu e-mailkomunikaciju?DA / NE2. Koristite li svjetske besplatne e-mail servise (npr. gmail, yahoo, hotmail ...)DA / NEte ako da na koji način?a. za poslovnu e-mail komunikacijub. isključivo privatno ilic. samo za povremenu upotrebu81

Model za procjenu razine sigurnosti računalnog sustava3. Koristite li e-mail adresu za registraciju na razne Internet servise (<strong>for</strong>umi,fondovi, društvene mreže... Kao što su: facebook, <strong>for</strong>um.hr ...)DA / NEte ako da, koju (najčešće):a. poslovnu,b. privatnu ilic. „privremenu“?4. Ostavljate li e-mail adresu čitljivom/prikazanom/dostupnom na Internetu:DA / NEte koju:a. poslovnu,b. privatnu ilic. „privremenu“?5. Koristite li web preglednik (npr. Internet Explorer, Mozilla Firefox, Opera, ...) zapristup e-mail servisu,DA / povremeno / NEte ako da, vodite li računa od kuda pristupate?a. Isključivo s osobnog ili službenog računala (posao, fakultet)b. Po potrebi i s javnih računala (npr. Internet kafe, knjižnica, info stup)?6. Koristite li poseban alat tzv. e-mail klijent za pristup e-mail servisu (npr.Outlook, Thunderbird ...)?DA / ponekad / NE7. Vodite li brigu o sigurnosti svog računala (antivirusni program, redovitanadogradnja opercijskog sustava i pripadajućih programa, ...)? DA / NE8. Jeste li kritični/oprezni prema novim/nepoznatim osobama s kojimakomunicirate mailom?DA / NE9. Otvarate li priloge od nepoznatih pošiljatelja (.exe, .rar, ...)? DA / ponekad / NE10. Koristite li enkripciju/šifriranje pri komunikaciji mailom? DA / ponekad / NE/ne znam11. Šaljete li osobne/privatne podatke mailom? DA / samo iznimno / NE/ne znam12. Prosljeđujete li kad „masovne“ mailove tzv. chain letter? DA / ponekad /NE /ne znam82

Model za procjenu razine sigurnosti računalnog sustava13. Odjavite li se sa e-mail sustava nakon završetka rada? DA / uglavnom / NE/ne znam14. Kako biste ocijenili svoju zaporku:a. Dobra (niz velikih, malih slova i brojeva)b. Prosječnac. Loša (ime, riječ, kratki niz ...)d. Ne znam ocijeniti15. Koristite li istu zaporku za većinu sustava (ili nastojite imati različite zaporke zarazličite sustave)?DA / NE16. Jeste li svoju zaporku zapisali: DA / NEi ako jeste gdje (npr. u bilježnicu na sigurno, na papir u novčaniku, ...)?_____________________________________________17. Jeste li ikad posudili svoju zaporku? DA / NE83

Model za procjenu razine sigurnosti računalnog sustavaPrilog C. Ontologija o ponašanju korisnika sustava elektroničke poštePrilog, XML i OWL datoteka, se nalozi na CD mediju u mapi nazvanoj „Prilog C“.Obje datoteke se mogu pregledavati web preglednikom.84

Model za procjenu razine sigurnosti računalnog sustavaPrilog D. Ontologija o sigurnosnim elementima poslužiteljaPrilog, XML i OWL datoteka, se nalozi na CD mediju u mapi nazvanoj „Prilog D“.Obje datoteke se mogu pregledavati web preglednikom.85