Компьютерлік желілер қауіпсіздігінің негізгі технологиялары

Ақпаратқа өзара әсер ету және оған рұқсатсыз қол жеткізудің көптеген жағдайларының зерттелуі мен талдауы, оларды кездейсоқ және алдынала ойластырылған деп бөлуге болатынын көрсетеді.

Ақпаратты корғау құралдарын құру үшін қауіп-қатерлердің табиғатын, түрлерін, олардың айқындалу және автоматтандырылған жүйеде жүзеге асырылу жолдарын анықтау қажет. Қойылған мақсатқа жету үшін қауіп- қатерлердің және олардың әсер ету жолдарының бүкіл әралуандылығын автоматтандырылған жүйеде, олардың жиынына теңбе-тең бола алатын қарапайым түрлерге және пішіндерге келтіреміз.

Жобалау тәжірибесін дайындауды, автоматтандырылған жүйелерді байқауды және пайдалануды зерттеу ақпаратты енгізу, сақтау, өңдеу, енгізу және тарату сияқты әртүрлі кездейсоқ әсерлерге душар қылады.

Қауіп-қатерлер мына әсерлердің салдарынан болуы мүмкін:

  • аппаратураның қабыл алмаулары және жаңылулары;
  • сыртқы орта әсерінен байланыс желілеріндегі бөгеттер;
  • жүйенің бөлімі ретіндегі адамның қателері;
  • өңдеушілердің жүйелік және жүйелік-техникалық қателері;
  • құрылысты, алгоритмдік және бағдарламалық қателер;
  • апаттық жағдайлар;
  • басқа әсерлер.

Аппаратураның қабыл алмаулар мен жаңылулар жиілігі таңдау және аппаратураның жұмыс жасауының сенімділігіне қатысты әлсіз жүйені жобалау кезінде ұлғаяды. Байланыс желілеріндегі бөгеттер техникалық құралдарды бір-біріне катысты және көршілес жүйелердің аппаратурасына қатысты орналастыру орындарын таңдау дұрыстығына тәуелді болады.

Жүйенің торабы ретінде адамның қателеріне адамның ақпарат көзі, адам-оператор ретінде қателері, қызмет етуші қызметкерлер құрамының дұрыс емес әрекеттері және адамның шешім қабылдаушы торап ретіндегі қателері жатады.[1]

Адамның кателері логикалық (дұрыс кабылданбаған шешімдер), сенсорлық (ақпарат операторымен дұрыс қабылданбаған) және оперативті немесе моторлы (шешімнің жүзеге дұрыс аспауы) болып бөліне алады.

Кездейсоқ сипатты қауіп-катерлерге автоматтандырылған жүйенің орналастыру объектісінде пайда болуы мүмкін апаттық жағдайларды жатқызған жөн. Апаттық жағдайларға мыналар жатады:

  • жұмыс істеуден толығымен бас тарту, мысалы электр-қоректенудің істен шығуы;
  • табиғи апаттар: өрт, су басу, жер сілкіну, дауылдар, найзағай соққылары, т.б.;

Осы оқиғалардың ықтималдығы, ең алдымен, жабдықтауды орналастыру орнымен, географиялық орналасуды қоса дұрыс таңдаумен байланысты.

Алдынала ойластырылған қауіп-қатерлер адам әрекеттерімен байланысты, олардың себептері -өзтіршілік жағдайымен ерекше наразылығы, аса материалдық назар немесе хакерлер тәрізді өзінің қабілеттерін өздік нығайту мақсатымен құр көңіл көтеру, т.б.

Есептеу жүйелеріне мынадай штаттық ақпаратқа қол жеткізу арналары тән: пайдаланушылар терминалдары; жүйе әкімгерінің терминалы; функционалдық бақылау операторының терминалы; ақпаратты көрсету құралдары бағдарламалық жасақтаманы жүктеу құралдары;акпаратты құжаттау құралдары; ақпаратты тасымалдаушылар; сыртқы байланыс арналары.

Заңды пайдаланушының, бақылаудың жоқ болған жағдайында, терминалға жетуге шек қойылмағанда маманданған бұзушы оның функционалдық мүмкіндіктерін сәйкес сауалдар мен командаларды енгізу жолымен ақпа-ратқа рұқсатсыз қол жеткізу үшін оңай пайдалана алуы айқын. Бөлмеге еркін жету бар болғанда кескіндеу және құжаттау құралдарында ақпаратты байқап отыруға болады, ал соңғысында қағаз тасымалдаушыны ұрлауға, артық көшірме алуға, сонымен қатар басқа да ақпарат тасымалдаушыларын тонауға болады: листингтер, магниттік таспалар, дискілер, т.б. құралдар арқылы.

ЭЕМ-ге бакылаусыз бағдарламалық жасақтаманы жүктеу ерекше қауіп- қатер тудырады, онда өзгертілген мәліметтер, алгоритмдер немесе қосымша заңсыз әрекеттер: бөтен сақтаушыға ақпарат жазуды, есептеуіш желінің басқа абонентінің байланыс арналарына тапсыруды, жүйеге компьютерлік вирус енгізуді, т.б. жүзеге асыратын "трояндың ат" бағдарламасы енгізілген болуы мүмкін.

Өзінің функционалдық міндеттері бойынша ақпараттың бір бөлігіне рұқсаты бар, бірак. өзінін, мүмкіндіктерінен тыс басқа ақпаратқа катынайтын жүйе пайдаланушысы бұзушы болған жағдайда бұл қауіпті болып табылады.

Заңды пайдаланушының жағынан есептеуіш жүйенің жұмысын бұзудың, онымен қиянат етудің, алып шығудың, модификациялау немесе ақпаратты жоюдың көптеген тәсілдері бар. Еркін қол жеткізу, оған бөтен файлдарғажәне мәліметтер банктеріне қатынау және оларды кездейсоқ немесе қасақана өзгертуге мүмкіндік береді.

Аппаратураға техникалық қызмет көрсетуде (профилактикада және жөндеуде) магнит таспада, дискілердің үстіңгі қабаттарында және басқа да ақпарат тасымалдауыштарда ақпараттың қалдықтары байқалған болуы мүмкін. Ақпараттың әдеттегі өшірілуі әрқашан нәтижелі болмайды. Оның қалдықтары оңай оқылуы мүмкін. Тасымалдаушыны қорғалмайтын аумақта тасу кезінде оны ұстап қалудың және кейін бөтен адамдардың құпия ақпаратпен танысу қаупі бар. [2]

Егер ЭЕМ басқару пультіне, аппаратураның ішкі монтажына, кабельдік қосуларға рұксат бақыланбаса, онда бағдарламалық деңгейде бақылау жүйесін жасаудың және ақпаратқа жетуге шек қоюдың мәні болмайды.

Бұзушының қабылдау аппаратурасы мен арнайы көрсеткіштерді электр коректену тізбектеріне және жерге қондыруға, байланыс арналарына тікелей қосуы ақпаратпен рұқсатсыз танысуды іске асыруға мүмкіндік береді, ал жіберуші аппаратураның байланыс арналарына рұқсатсыз қосылу ақпараттың модификациясына соңғы уақытта әртүрлі елдерде есептеуіш желілердегі ақпаратқа рұқсатсыз жетудің потенциалдық арналарын табу мақсатымен көптеген зерттеу жұмыстары өткізілген. Онда желілік жабдықтауға заңды рұқсат алған тек қана бұзушының мүмкіншіліктері ғана қарастырылмайды, сонымен қатар бағдарламалық жасақтаманың немесе қолданылатын желілік хаттамалардың қасиеттерінің қателерімен ескертілген әсерлер де қарастырылады. 80-жылдардың басында есептеуіш желілердегі мәліметтер қауіпсіздігінің қауіп- қатерлерінің бес негізгі категориялары қисынға келтірілген болатын:

  • таратылатын хабарлаулардың құрамын ашу;
  • мәліметтерді таратушының және алушының желі пайдаланушыларының бір тобының қатарына енушілігін анықтауға мүмкіндік беретін трафик талдауы;
  • нөтижесінде жойылған ЭЕМ-мен басқарылатын қандай да болсын объекттің жұмыс тәртібін бұзуына әкелетін хабарлаулар ағынын өзгерту;
  • қызмет көрсетуден заңсыз бас тартуы;
  • рұқсатсыз қосылуды құруы.

1 және 2 қауіп-қатерлерін ақпараттың кемуіне, 3 және 5 кауіп-қатерлерін оның модификацияларына, ал 4 қауіп-қатерді ақпаратпен алмасу процесін бұзуға жатқызуға болады. [1]

Акпаратты қорғау құралдарының бес негізгі түрін айырады:

  • техникалық;
  • бағдарламалық;
  • криптографиялық;
  • ұйымдық;
  • заң шығарушы.

Жүйеге кауіпсіз кірудің ең жоғарғы дәрежесіне пароль кодын екі бөлікке бөлумен жетеді, біреуін пайдаланушы еске сақтайды және қолмен енгізеді, ал екіншісі, арнайы сақтаушыда - карточкада орналастырыладыжәне ол пайдаланушымен терминалмен байланысты арнайы оқитын құрылғыға қондырылады.

  • Идентификация мен техникалық құралдардың шынайылығын анықтау құралдары.
  • Пайдаланушылардың парольдеріне катысты қосымша қорғаныс деңгейі.
  • ЭЕМ-да парольдер тізімі және нақты терминалдармен жұмыс істеу рұқсат етілген пайдаланушылар туралы басқа ақпарат сақталады, сонымен қатар қандай да бір терминалдан нақты пайдаланушыға қол жеткізерлік ресурстар кестесі сақталады.
  • Файлдардың қорғауды қамтамасыз ету құралдары. Жүйеде файлдар түрінде сақталатын ақпараттың барлығы әр түрлі белгілері бойынша бірнеше категорияларға бөлінеді, олар таңдау жүйесімен орындалатын функцияларға тәуелді болады. Анағұрлым жиірек ақпараттың маңыздылық дәрежелері, құпиялық, пайдаланушылардың орындайтын функциялары, құжаттардың атауы, құжаттардың түрлері, мәліметтердің түрлері, томдардың, файлдардың, сілемдердің, жазулардың, атауына, пайдаланушы атына, ақпаратты өңдеу функциялары: оқу, жазу, атқару; жедел және ұзақ уақыттық жад облыстары; уақыт, т.б. бойынша бөлінуін кездестіруге болады.

Лауазымды тұлғалардың файлдарға рұқсаты олардың функционалдық міндеттерімен және өкілеттіктерімен сәйкес жүзеге асады.

Операциялық жүйені қорғау - ерекше жоғарғы дәрежелі мақсат. Операциялық жүйе орналасатын жад облысында рұқсатқа тыйым салу арқылы жүзеге асады.

Пайдаланушылық бағдарламалардың қорғанысы үшін сол бағдарламалардың алып отырған жадқа рұқсатқа шек қою қолданылады.

Ақпараттың бағдарламалық қорғанысына қосалқы құралдар жатады:

  • пайдаланушылардың жұмысының дұрыстығын бақылайтын бағдарламалық құралдар;
  • ақпарат қалдықтарының бағдарламалық жоюшылары;
  • қорғаныс механизмінің жұмысын бақылау бағдарламалары;
  • жүйеге қатынасуды тіркеу және ресурстармен әрекеттердің орындалу бағдарламалары;
  • компьютерлік вирустардан қорғаныс бағдарламалық құралдары және т.б.

Қорғаныстың криптографиялық құралдары - ол мәліметтерді арнайы шифрлеу әдістері, оның нәтижесінде мәліметтердің құрамына арнайы ақпаратты және кері өзгертуді қолданусыз қол жеткізу мүмкін болмай қалады.

Криптографиялық қорғаныс мәні арнайы алгоритмдер немесе аппараттық шешімдердің және кілттердің кодтарының, яғни оны келтіруде айқын емес түріне келтіру көмегімен ақпараттың құрама бөліктерін (сөздердің, әріптердің, буындардың, цифрлардың) өзгертуінде болады. Жабық ақпаратпен таныстыру үшін кері процесс -дешифрлеуқолданылады. Криптографияларды қолдану ЭЕМ желілеріндегі мәліметтерді, жадтың жойылған құрылғыларында сақталатын мәліметтерді жіберу және жойылған объектілер арасындағы ақпаратпен айырбас кезінде қауіпсіздігін жоғарлатушы әдістердің кең таралғандарының бірі болып табылады. [3]

Ұйымдық қорғаныс шараларына ақпаратты корғауды ұйымдастыру және қамтамасыз ету үшін арналған жүйені құру және пайдалану барысында жүзеге асырылатын арнайы ұйымдық-техникалық және ұйымдық-құқықтық шаралар, актілер және ережелер жатады.

Ұйымдық шаралар екі жақты функцияны жүзеге асырады:

  • ақпараттың кему каналдарын толық немесе жарым-жартылай жабу;
  • қолданылатын корғаныс құралдарының барлығын тұтас механизмге біріктіру.

Заң шығаратын қорғаныс құралдарына ақпаратты қолдану және өңдеу ережелерін регламентациялайтын және осы ережелерді бұзғаны үшін жауапкершілік пен санкцияларды орнататын заң шығарушы актілер жатады.

Акпаратты рұқсат етілмеген жетуден қорғаудың заң шығарушы шаралары елде бар зандарды орындау немесе лауазымды тұлғалардың - пайдаланушылардың және қызмет етуші адамдардың оларға тапсырылған, қорғауға жататын ақпараттың кемуі немесе модификациясы үшін, оның ішінде ақпаратқа немесе аппаратураға қасақана рұқсатсыз жету үшін заңның жауапкершілігін реттейтін жаңа заңдарды, қаулыларды, ережелерді және нұсқауларды кірістіруге негізделеді.

Қауіпсіздіктің негізгі технологияларына мыналар жатады: аутентификация, авторизация, тексеру және корғалған арна технологиясы.

Аутентификация (authentication) - жағымсыз тұлғалардың желіге рұқсатына жол бермейді және ресми пайдаланушыларға кіруге рұқсат береді. Аутентификацияны идентификациядан айырған жөн. Идентификация пайдаланушымен жүйеге өз идентификаторын хабарлауда қорытылады, ал аутентификация - бұл пайдаланушының өзін кіммін десе, сол екенін, әсіресе онымен енгізілген идентификаторлық соныкі екенін дәлелдеу процедурасы болып табылады.

Авторизация (authorization) желілік әкімге пайдаланушылардың желі ресурстарына рұқсатын басқару тәсілін береді. Ресми және ресми емес пайдаланушыларды танып білетін аутентификациядан айырғанда, авторизация жүйесі тек қана аутентификация процедурасын өткен ресми пайдаланушылармен жұмыс жасайды. Авторизацияның мақсаты - әрбір ресми пайдаланушыға ол үшін жүйе әкімімен анықталған нақты рұқсат түрлері мен қорларға рұқсат беруден түзеледі.

Авторизацияның негізгі принципі - "қауіпсіздіктің жалғыз қол қою принципі" пайдаланушыларға желіге бір рет логикалық кіруді іске асыруға және оларға қолдануға рұқсат етілген барлық қорларға жетуге мүмкіндік береді. Авторизация жүйелері операциялық жүйе құралдарымен іскеасырылған немесе өзі Kerberos жүйесі типті бөлек күрделі бағдарламалық пакеттерді ұсынған болуы мүмкін.

Тексеру (auditing) - бұл қорғалатын жүйелік қорларға рұқсатпен байланысты оқиғалардың жүйелік журналда бекітілуі. Есептеу және байқау құралдары қауіпсіздікпен байланысты маңызды оқиғаларды немесе рұқсат құру, алу не жүйелік қорларды жою үшін жасалынған кез келген әрекеттерді анықтауға және жазып қоюға мүмкіндік береді. Тексеру тіпті жүйені "бұзудың" сәтсіз әрекеттерін де белгілеп қалу үшін қолданылады.

Қорғалған арна технологиясы ашық транспорттық желі, мысалы, Internet бойымен мәліметтерді беріп жіберудің қауіпсіздігін қамтамасыз ету үшін өңделген. Қорғалған арнаға үш негізгі функциялардың орындалуы кіреді:

  • абоненттердің өзара аутентификациясы;
  • арна бойымен таралатын хабарлаулардың бекітілмеген рұқсаттан қорғанысы;
  • арна бойымен келіп түсетін хабарлаулардың тұтастылығын растау.

Қосылуды құру кезінде екі жақтың өзара аутентификациясы, мысалы, сертификаттарды айырбастау жолымен орындалуы мүмкін. Құпиялық шифрлеудің қандай да бір әдісімен қамсыздандырылуы мүмкін. [1]

Таралатын хабарлаулардың тұтастығы оған (оны кілтпен шифрлемес бұрын) оның мәтініне бір жақты функцияны қолданудың нәтижесінде алынған дайд-жестің қосылуының арқасында жүзеге асырылады.

Қорғалған арна технологияларын орындау әр түрлі болады. Сонымен қатар олар OSI моделінің әр түрлі деңгейлерінде жұмыс істей алады. Осылайша SSL хаттамасының функциялары OSI моделінің келісті деңгейіне сәйкес ке-леді. Желілік хаттаманың жаңа үлгісі IP анықтама бо- йынша қорғалған арнаға тән барлық функцияларды -аутентификацияны, шифрлеуді және тұтастықты қамтамасыз етуді алдын ала ескереді. Ал РРТР туннелдеу хаттамасы мәліметтерді арналық деңгейде қорғайды.

Қорғалған арнаны орындау, тек қана таңдалған хаттамамен емес, сонымен қатар оның пайда болу тәсілімен де анықталады:

  • шеткі тораптардың арнайы бағдарламаларының жасақтама арнасында;
  • жеке және жалпы желілердің арасындағы шекарасында тұрған шлюздердің арнайы бағдарламалық жасақтама арнасында.

Бірінші жағдайда жойылған клиент компьютерінде орнатылған бағдарламалық жасақтама қорларына клиент қатынайтын, бірлескен желі сервері бар, қорғалған арна орнатады. Бұл тәсілдің артықшылығы - бүкіл еру жолының бойында арнаның толық қорғанушылығы, сонымен қатар қорғалған арналарды жасаудың кез-келген хаттамаларын қолдану мүмкіншілігі, әйтеуір каналдың түпкі нүктелерінде бір хаттамаға сүйенсе болды. Кемшіліктер - шешімнің артықшылығы және децентралдануы болып табылады. Хакерлер үшін әдетте телефондық желі арналары немесе бөлінген арналар емес, пакеттердің коммутациясы бар желілер әлсіз болып саналады, артықшылық осыдан құралады. Сондықтан бірлескен желінің әрбір клиенттік компьютеріне және әрбір серверіне арнайы бағдарламалықжасақтаманы орнатудың қажеті жоқ. Қорғалған арналарды құру процедураларының децентралдануы желі қорларына рұқсатпен орталықтандырылған басқаруды жүргізуге рұксат етпейді. Үлкен желіде әрбір серверге және әрбір клиенттік компьютерге оларда мәліметтерді қорғау құралдары конфигурациялау мақсатымен бөлек әкімшілік ету - бұл көп еңбекті процедура. [4]

Екінші жағдайда клиенттер және серверлер қорғалған арнаны құруға қатыспайды; ол тек пакеттер коммутациясы бар ашық желінің ішінде ғана салынады, мысалы, Internet ішінде. Арна қызметтері провайдерінің жойылған рұқсаты мен бірлескен желінің шекаралық жолдаушысының арасында құрылады. Бұл бірлескен желінің әкімгерімен де, провайдер желісінің әкімгерімен де басқарылатын жақсы, кең ауқымды шешім. Клиенттік компьютерлерге және бірлескен желі серверлеріне арна анық - осы шеткі тораптардың бағдарламалық жасақтамасы өзгертулерсіз қалады. Бұл тәсілді орындау қиынырақ - қорғалған арнаны құрудың стандартты хаттамасы қажет, барлық провайдерлерде осындай хаттаманы қолдайтын бағдарламалық жасақтаманы орнату керек, жойылған рұқсат пен жолдаушыларды өндіруші серверлер хаттамасының қолдауы қажет.

 

Әдебиеттер

  1. В.Яворский, Ә.Смағұлов, А.Әміров. Компьютерлік желілер: Оқу құралы.-Астана, «Флориант» 2008, 152б.
  2. М.Мансурова.Компьютерлік орта:Оқу құралы.-Алматы: ТОО «Prints» 2004.-133б.
  3. Криптология. Логунова О.С.,Ямчиков И.М., Ильина Е.А. «Феникс». 2006 – 390 с.
  4. Кан Д. Взломщики кодов//Защита информации. «Конфидент»-1997.- №1,6. – 280 с.
Жыл: 2011
Қала: Қостанай