Дәріс - 12. Қорғау процестерін жүйелі басқару
Дәріс жоспары:
1 Қорғаудың бағдарламалық және жабдықтық жобалау кезінде процестерді жүйелі басқару моделдері мен әдістері;
2 Қорғаудың ұйымдастыру шараларын жобалау кезінде процестерді жүйелі басқару моделдері мен әдістері.
1 Қорғаудың бағдарламалық және жабдықтық жобалау кезінде процестерді жүйелі басқару моделдері мен әдістері
Бағдарламалық-техникалық шаралар, яғни компьтерлік мәндерді бақылауға бағытталған шаралар – жабдықтар, бағдарламаның немесе деректердің, ақпараттық қауіпсіздіктің соңғы және ең маңызды шекарасын құрады. Еске саламыз, шығынды, негізінде, процедуралық регуляторлар аз әсерлі болатын заңды қолданушылардың әрекеті жасайды. Негізгі жаулар – қызметті жауапкершілікті орындау кезіндегі салақтық пен білімсіздік, және тек бағдарламалық техникалық шаралар оларға қарсы әрекет жасай алады.
Компьютер адамның әрекет ету салаларының көбін автоматтандыруға көмектесті. Толықтай табиғи болып өзінің қауіпсіздіктің қамтамасыз етуі болып табылады. Физикалық қорғаныстың өзін күзетшілерге емес, интегралданған компьютерлік жүйелерге жиі беріледі, бұл қызметшілердің орын астыруымен қатар, олардың ақпараттық жүйелердегі жолын бақылауға мүмкіндік береді. Бағдарламалық техникалық дәреже үшін орталық болып қауіпсіздік сервисі ұғымы табылады. Объектілі бағытталған жол бойынша жүре отырып, бірлік дәрежелі ақпараттық жүйені қарастыру кезінде біз онымен көрсетілетін қауіпсіздік сервистерін көре аламыз. Оларды негізгі деп атайық. Олар керекті қасиеттерді иеленіп, жұмыс атқаруы үшін қосымша сервистердің бірнеше дәрежесі керек – СУБД мен транзакциялар мониторларынан операциялық жүйе мен құрылғылардың ядросына дейін. Қауіпсіздік сервистері, қандай күшті болса да, өзінен өзі қорғаныстың бағдарламалық техникалық дәрежесінің сенімділігіне кепілді бола алмайды. Тек тексерілген сәулет қана сервистер жиынтығын ісерлі етіп, ақпараттық жүйенің басқарылуын қамтамасыз ете алады, жоғары өндірушілік, қарапайымдылық, ыңғайлық сияқты қасиеттерді сақтаумен қатар жаңа шабуылдарға қарсы тұра алу қасиеті.
2 Қорғаудың ұйымдастыру шараларын жобалау кезінде процестерді жүйелі басқару моделдері мен әдістері.
Егер қастың немесе көңілі толмаған қолданушыда қорғаныс құралдарын айналып өту мүмкіндігі туса, ол әрине солай істейді. Жоғарыда айтылған сервистер мұндай мүмкіндікті болдырмауы керек.
Қабылданған стандарпен жүру және тексерілген шешімдерді қолдану АЖ сенімділігін жоғарылатады және қауіпсіздікті қамтамасыз ету өте үлкен шығындарды талап еткен кездегі лажсыз жағдайға тап болу ықтималдығын төмендетеді.
АЖ иерархиялық ұйымы мәндердің аз санымен әр қадамда технолиялық түсініктер жағынан қажетті. Берілген приципті бұзу жағдайында жүйе басқарылыла алмайды және, онда оның қауіпсіздігін қамтамасыз ету мүмкін емес болады. Кез келген қорғаныстың қауіпсіздігі жеңілтек орын болып анықталады. Қылмыскер күшке қарсы күреспейді, ол жеңілтектік үстінен жеңіл жеңісті таңдайды. (көбінде жеңілтек жүйе болып компьтер немесе бағдарлама болып табылады, ал адам ақпараттық қауіпсіздіктің қамтамасыз етілуі техникалық емес болған жағдайда). Қауіпсіз жүйеге көшудің мүмкін еместік принципі кез келген жағдайда, сонымен қатар тыс қорғаныс құралы толығымен өзінің қызметін атқарып жатқанын немесе қолдануду толығымен шектейтінін білдіреді. Бейнелі айтқанда, егер тіреуде көтергіш көпір механизмі сынса, жаудың өтуіне қарсылық жасау үшін оны көтерілген жағдайда қалдырады. Бағдарламалық техникалық дәрежеге қолданымды артықшылықтың минимизация принципі қолданушылар мен ұйымдастырушыларға қызмет бабындағы міндеттерді орындауы үшін қажетті құқықтарды рұқсат ету. Бұл принцип қолданушылардың немесе қйымдастырушылардың байқаусыз немесе ойластырылған қате әрекеттерінің шығындарын азайтуға мүмкіндік береді.
Достарыңызбен бөлісу: |