Лекция 26
Қауіпсіздікті қамтамасыз ететін архитектура.
Жоспар:
1. Желідегі ақпараттардың қауіпсіздігін қамтамасыз ету.
2. Ақпараттық қауіпсіздік мақсаттары
Лекция мақсаты: Қауіпсіздікті қамтамасыз ететін архитектураға түсінік беру, тақырыпты пысықтау
1. Желідегі ақпараттардың қауіпсіздігін қамтамасыз ету
Желідегі ақпараттардың қауіпсіздігін қамтамасыз ету өте жоғары болып келеді, ақпаратты желіде өңдеудің артықшылықтары оның қорғалуын қамтамасыз ету көптеген қиындық әкеледі. Келесі маңызды мәселелерді қарастырайық: пайдаланылған ресурсты бөлу. Көп ресурстар санының әр түрлі байланыс пайдаланушылар күшін пайдалану, мүмкін бір – бірінен үлкен қашықтықта болуы, НСД мүмкіндігін қатты үлкейтеді – байланысты оны жеңіл және белгісіз етіп көрсетуге болады. Бақылау аймағының үлкеюі. Басқа жүйенің немесе байланыс маңының администраторы немесе операторы пайдаланушы жұмысын бақылауы керек, басқа елдегі оның ене алатын маңына байланыссыз орналасуы мүмкін. Сонымен қатар ол басқа мекемедегі өзінің әріптестерімен байланыста болуы керек. Әртүрлі бағдарлама – аппараттық құралдардың комбинациясы. Бірнеше жүйенің қосылуы, тіпті мінездемесі бірдей болса да, байланыста барлық жүйенің кемшіліктерін үлкейтеді. Жүйе өзінің қауіпсіздіктің спецификалық сұрауын орындау үшін бағытталған болады, басқа жүйеде сұралыммен келмеуі мүмкін. Әртүрлі жүйе байланысын орнату жағдайында тәуекел ету үлкейеді. Белгісіз периметр. Байланыстың жеңіл таралуы желі шекарасын анықтау сол кезде қиын болатынына алып келеді: бір және тек қана сол узел әртүрлі желі пайдаланушылар үшін байланыста болуы мүмкін. Сонымен қатар, олардың көбіне қанша пайдаланушы анықталынған узелге байланысты және оның кім екенін анықтауы әрқашан болып келмейді. Көптеген нүктелер қарсылығы. Желіде бір ғана мәліметтің терілуі немесе хабарлар бірнеше қосымша узелдер арқылы берілуі мүмкін,олардың әрбіреуі қауіптің потенциалдық бастамасы болып келеді. Сонымен бірге, бұл желінің қауіпсіздігінің үлкеюін қамтамсыз ете алмайды. Көптеген қазіргі желіге байланысты коммутирленген сыммен және модеммен қосылуға болады, олар нүктелердің берілу санын көп түрде үлкейтеді. Бұндай амал оңай болып келеді, ол жеңіл орындалады және қиын бақыланады; сол себепті ол ең бір қауіпті болып саналады. Орындалатын желі тізімі сонымен қатар байланыс сымдарын ретке келтіреді және көптеген коммуникациялық құралдардың түрлерін береді: дыбыс күшейткіш, ретрансляторлар, модемдер және т.б. Басқару қиындығы және жүйеге байланысты басқару болады. Көптеген желіге қарсылық анықталынған узелге физикалық байланысты алмай-ақ орындалуы мүмкін – ол желінің жойылған нүктесі көмегімен болады. Сол себепті бұзушы идентификациясы өте қиын болуы мүмкін. Сонымен қатар, қарсылас уақыты адекватты мөлшерді қабылдау өте аз болуы мүмкін. Желіні қорғау мәселесі екілік қасиетімен қамтамасыз етілген: бұл туралы біз жоғарыда айтып кеттік. Бір жағынан, желі ақпаратты өңдеудің бірегей ережелерін беретін бірегей жүйе болып табылады, екінші жағынан – жүйенің біртектілігі, әрбіреуінде ақпаратты өңдеудің өзіндік ережелері бар. Жеке түрде, бұл екілік қасиет қорғаудың мәселесіне байланысты болады. Желідегі қарсылық екі деңгейде болуы мүмкін (олардың комбинациясы болуы мүмкін): 1. Жоғарғы – қасақана пайдаланушы желінің қасиетін басқа узелге кіру үшін пайдалана алады және берілген санкцияланбаған іс - әрекеттің орындалуы бар. Қорғаудың ақылдасқан мөлшері қасақана пайдаланушының потенциалды мүмкіндіктерімен анықталады және басқа узелдің қорғауының тиімділігімен болады. 2. Төменгі – қасақана пайдаланушы желі протоколының қасиетін пайдаланады және конфиденциалды немесе тұтастық бірегей хабарлама немесе тұтастай ағын болады. Хабар ағынының бұзылуы ақпараттың істен шығуына әкелуі мүмкін және тіпті желіні бақылаудың жойылуына да. Пайдаланылған протоколдар хабардың қорғалуын және олардың тұтастай ағынын қамтамасыз етуі керек. Желіні қорғау, бөлек жүйе қорғалуы сияқты үш мақсат қояды: желідегі берілген ақпараттың және өңделген ақпараттың конфиденциалдылығы, желінің ресурстық тұтастығы және рұқсат етілуі(компоненттер). Бұл мақсаттар мекеменің қорғалуын жоғарғы деңгеймен қарсыласу әрекетін анықтайды. Желіні қорғауды бақылау алдында тұрған, нақты есептер жоғарғы деңгей протоколының мүмкіндігін береді: неғұрлым ол мүмкіндік кең болса, соғұрлым есептерді шығару керек болады. Шындығында, егер желі мүмкіндігі мәліметті теруді жіберумен шектеледі, онда маңызды қорғау мәселесі мәліметтерді терудің НСД, жіберу мүмкіндігі үшін пайдаланады. Егер желі мүмкіндігі жойылған бағдарламаны жіберуге мүмкіндік жасаса, сонымен қатар виртуалды терминал режиміндегі жұмысты, онда толық қорғау комплексінің мөлшерін анықтау керек. Бір жағынан мынаны есте сақтаған жөн, желінің әрбір узелі желі мүмкіндігінің индивидуалды қорғанышы болуы керек. Бұл кезде бөлек узел қорғанышы барлық қорғаудың бөлігі болып келуі керек. Әрбір бөлек узелге міндетті түрде ұйымдастыру керек: - барлық файлға байланысты бақылау және басқа мәліметті теруде, олар жергілікті желі мен басқа да желілермен байланыста болады; - процесс бақылауы, жойылған узелмен активтелген; - желілік трафик бақылауы; - эффективті идентификация және желідегі берілген узелге байланысты алушы пайдаланушы аутентификациясы; - желі пайдаланушысының пайдалануы үшін байланысты жергілікті узел ресурстарына байланысты бақылау; - жергілікті желі шегіндегі ақпаратты таратуды бақылау және онымен байланысты басқа желілерді де.
2. Ақпараттық қауіпсіздік мақсаттары
Сонымен ақпараттық қауіпсіздік немен байланысты жұмыс жасайды? Келесі кезекте оның қамсыздандыруға тиісті негізгі мақсаттары мен есептері және де оның шешімдері берілген (жақшаларда ағылшын эквиваленттері келтірілген):
-
құпиялылық (privacy, confidentiality, secrecy);
-
тұтастық (data integrity);
-
идентификация (identification);
-
рұқсат бақылауы (access control);
-
қол таңба (signature);
-
растау (confirmation);
-
ратификация (validation).
Әрбір айтылған принциптерді нақтырақ қарастырайық. Құпиялылық бұл ең талап етілетін қорғаныштың бір түрі болып табылады. Практикалық түрде әрбір адамда немесе мекемеде құжаттар табылады, және де олар ешқашанда жалпыға бірдей дәрежеде, мысалы жеке медициналық мәлімет секілді, финанстық операция туралы ақпарат немесе мемлекеттік құпия секілді болмауы керек. Қазіргі уақытта қорғаныш ретінде электронды емес құралдар пайдаланылады (қағаз, фотопленка), құпиялылық администраторлық әдіспен қамтамасыз етіледі (сейфте сақтау, күзеттің қарауымен тасу және т.б.). Бірақ ақпарат компьютерлерде өңделген кезде байланыс ашық канал арқылы таратылады, администраторлық әдістер әлсіз болып келеді және бұл кезде ақпараттық қауіпсіздік әдістері көмекке келеді. Құпиялылықпен қамтамасыз ету есебі, фактілі түрде, мәліметтерді сақтауды және жіберуді мүмкін ету үшін оны сондай түрде, тіпті қарсылас жіберу ортасына байланысты орнатқан кезде де қорғалған мәліметті өздері ала алмайтындай етіп қоюға әкеліп соқтырады.
Тұтастық бұл тағы да бір маңызды принциптің бірі. Байланыс каналдары арқылы өңдеу және тапсыру барысында мәліметтер бұрмаланған, кездейсоқ немесе қасақана болуы мүмкін. Сонымен қатар ақпарат сақталған жерінен сақтаушыда тікелей өзгертілуі мүмкін. Қате мәлімет интерпретациясын аса маңызды зардапқа әкелуі мүмкін болса тұтастықты бақылау жағдайы керек, мысалы банктік аударма сомасының қате көрінуі кезінде немесе отырғызуға кірген ұшақ жылдамдығының маңыздылығы жатады. Тұтастықты қамтамасыз ету (тұтастық бақылауы) мәліметтерді сақтау және жіберу кезінде модификацияланбаған болуының нақтылауына рұқсат етуін немесе мәлімет бұрмалауын анықтау үшін болып табылады. Яғни мәліметтердің ешқандай өзгертуі байқаусыз өтуі мүмкін емес.
Идентификация пайдаланушыны бірсыпыра бірегей теңестірумен теңдестіру үшін қажет. Содан кейін барлық әрекеттер үшін орындалу кезінде осы теңестіру көрсетілген және осы теңестіру қайда бекітілген соны пайдаланушыға жауапкершілік ретінде жүктеледі.
Рұқсат бақылауы ешқандай пайдаланушы жүйеге теңестірудің табысты орындалуынсыз рұқсат алмауы керек және де келесі аутентификация үшін де және ешбір пайдаланушы ресурстарға байланысты алмауы керек, егер ол бұндай әрекетке арнайы рұқсатпен уәкілетті болмаса ғана әкеледі. Рұқсат бақылауы әдістердің және құралдардың жиынтығын белгілейтін, ресурсқа рұқсаттың шек қоюына арналған комплексті түсінік. Байланысты тек қана уәкіл етілген пайдаланушылар қолдана алады, байланыс әрекеттері тиісті протоколдануы керек.
Қол таңба құжат қабылдаушыға берілген құжат жіберушімен жазылғандығын білдіреді. Сол себептен қол таңба келесі басқа құжатқа ауысуы мүмкін емес, жіберуші өз қол таңбасынан бас тарта алмайды, әрбәр құжатқа енгізілген өзгеріс қол таңбаның бұзылуына әкеліп соқтырады, және кез келген пайдаланушы өз бетінше қол таңбаның дұрыс еместігіне көз жеткізуіне болады.
Барлық келтірілген принциптер қисынға келген, ақпараттық әлемнің қажеттілігін аралап шыққан кезде. Мүмкін, келе келе принцип бөлігі өз актуалдығын жоғалтады, нақты түрде шешуді талап ететін жаңа принциптер пайда болады.
Бақылау сұрақтары:
1. Желідегі ақпараттардың қауіпсіздігін қамтамасыз ету.
2. Ақпараттық қауіпсіздік мақсаттары
Достарыңызбен бөлісу: |