hrvatski

Sigurnost javnih informacijskih sustava na Webu

Nasuprot informacijskim sustavima koji pružaju usluge točno specificiranim korisnicima, usko vezanima uz određenu organizaciju ili interesni krug, postoje javni informacijski sustavi koji pružaju usluge društvu u cjelini. Sučelje prema krajnjem korisniku današnjih informacijskih sustava najčešće je izvedeno kao specifična aplikacija Weba. Ostvarenje sigurnosnih i privatnosnih zahtjeva kod javnih informacijskih sustava nije samo poželjna značajka, već praktično osnovni uvjet za ispravnu implementaciju i rad takvih sustava. Informacijski sustavi zbog obično velikog broja korisnika sadrže i količine vrijednih, često vrlo povjerljivih podataka. Stoga je potrebno odgovarajuće zaštititi sve komponente njegove implementacije kao i sadržaj koji poslužuju. U ovom radu opisane su sigurnosne ranjivosti javne informacijske usluge u obliku aplikacije Weba, analizirane su najčešće sigurnosne prijetnje i razrađeni te implementirani sljedeći sigurnosni mehanizmi: SSL (Secure Socket Layer), digitalni potpis i šifriranje asimetričnom i simetričnom kriptografijom. Analiziran je studijski primjer javne informacijske usluge iz e-zdravstva, implementirane pomoću AJAX tehnologije i razvojnog okvira Google Web Toolkit. Rečenim mehanizmima su realizirani sljedeći opći sigurnosni i privatnosni zahtjevi za studijski slučaj: osiguranje povjerljivosti, integriteta i neporecivosti razmjene informacija (primijenjeni mehanizmi: SSL, šifriranje, digitalni potpis) te osiguranje privatnosti medicinskih podataka pacijenata unutar sustava (primijenjeni mehanizmi: digitalni potpis, šifriranje). Demonstrirane sigurnosne ranjivosti sučelja Weba sustava iz studijskog slučaja su: krivotvorenje zahtjeva (XSRF), izvršavanje napadačkog kôda (XSS) i SQL ubacivanje (SQLI).

Sigurnosne ranjivosti; informacijski sustavi; AJAX aplikacije; Google Web Toolkit

nije evidentirano