Коммерциялық емес акционерлік қоғам
АЛМАТЫ ЭНЕРГЕТИКА ЖӘНЕ БАЙЛАНЫС УНИВЕРСИТЕТІ
Компьютерлік технологиялар кафедрасы
АҚПАРАТ ҚАУІПСІЗДІГІНІҢ НЕГІЗДЕРІ
5В070400 – Есептеу техникасы және бағдарламалық қамтамасыз ету мамандығының студенттері үшін дәрістер жинағы
Алматы 2013
ҚҰРАСТЫРУШЫЛАР: Шайхин Б.М., Байжанова Д. О. Ақпарат қауіпсіздігінің негіздері: 5В070400 – Есептеу техникасы және бағдарламалық қамтамасыз ету мамандығының студенттері үшін дәрістер жинағы.– Алматы: АЭжБУ, 2013. – 52 б.
Дәрістер жинағы бағдарламалаудың тәжірибелік сұрақтарын қарастырып оқып жүрген 5В070400 – Есептеу техникасы және бағдарламалық қамтамасыз ету мамандығының студенттеріне арналған.
Суреттер – 9, әдебиеттер тізімі - 4 атау.
Пікір беруші: техн.ғыл.канд., доцент Башкиров М.В.
“Алматы энергетика және байланыс университеті” коммерциялық емес акционерлік қоғамының 2011 жылғы баспа жоспары бойынша басылады.
© “Алматы энергетика және байланыс университеті” КЕАҚ, 2013 ж.
Дәріс 1. Кіріспе. Ұлттық қауіпсіздендірудің негізгі түсініктері; қауіпсіздендірудің түрлері: мемлекеттік, экономикалық, қоғамдық, әскери, ақпараттық, экологиялық; ақпараттық қауіпсіздендірудің жүйелік қамтымасының ҚР ұлттық қауіпсіздендірудің жүйесіндегі рөлі мен орны
Дәріс мақсаты: ақпараттану ұғымы. Жаңа ақпараттық технологиялар. Компьютерлер мен ақпараттық жүйелердің қауіпсіздігін қарастыру.
Ақпарат қорғаныс объектісі ретінде
Қазіргі кездегі ақпараттық технологиялардың дамуы компьютерлік қылмыстар және солармен байланысты ақпараттың ұрлануының өсуімен қосарланып отырады.
"Ақпаратқа шабуыл " дегеніміз не? Бұл әрекетке анықтама беру өте қиын, себебі ақпарат (әсіресе оның электронды түрі) көп әдістермен өңделеді, жөнелтіледі, қабылданады және тағысын тағы.
1 сурет – Ақпаратты қорғау объектісі
Ақпараттық қауіпсіздік
Бұл дәрістің көздейтін мақсаттары келесі: ақпараттық қауіпсіздіктің үш мақсатын анықтау, құпиялыққа қауіп тудыратын шабуылдардың түрлерін анықтау, қауіпсіздік қызмет орындарының, мекемелерінің үш қауіпсіздік мәселелерімен қалай байланысты екенін, олардың қандай қауіпсіздік механизмдерін қолданатынын анықтау, қауіпсіздік механизмін іске асыру үшін қолданылатын криптография және стеганография әдістерімен таныстыру.
Ақпараттық қауіпсіздікті қолдаудың келесі үш мақсатын қарастырамыз: құпиялық (конфиденциальность), тұтастық (целостность) және әзірлік (готовность).
2 сурет – Қауіпсіздікті қолдау мақсаттарын жүйелеу
Ақпараттық қауіпсіздіктің негізгі үш аспектісі 2 – суретте келтірілген. Олар:
- әзірлік (қол жетерлік), яғни тиімді уақыт аралығында қажетті ақпараттық қызметті алу;
- тұтастық (бүтіндік), яғни ақпараттың қайшылықсыз және лездік, оны құрту мен рұқсат етілмеген өзгерістерден қорғау;
- құпиялық (жасырын), яғни рұқсат етілмегенді оқып шығудан қорғау).
Ақпараттық қауіпсіздіктің негізгі қауіптері
Қазіргі заманғы ақпараттық жүйелердің күрделі екені белгілі. Олар әртүрлі сатылы бір-бірімен байланысты үлкен санды компоненттерінен жиналып, деректермен алмасады. Тәжірибе жүзінде әрбір компонент саптан шығуы немесе сыртқы әрекетке ұшырауы мүмкін. Автоматтандырылған ақпараттық жүйенің компоненттерін мына топтарға бөлуге болады:
1) аспаптық құрал – компьютер және оның құрылымы (процессор, монитор, терминал, шеткі (перифериалдық) құралдар – дисковод, принтер, контроллер, кабель, байланыс сызықтары және т.б.);
2) бағдарламалық қамтамасыз ету - операциялық жүйелер және жүйелік бағдарламалар (компиляторлар, құрастырушылар және т.б.), утилиттер, диагностикалық бағдарламалар және т.б.;
3) деректер - магнитті таратушыда терілген, архивтегі жүйелі журналдарда тұрақты және уақытша сақталады;
4) персонал – қолданушы және қызмет ету персоналы.
Компьютерлік ақпараттық жүйелерге қауіпті әрекеттерді кездейсоқ және әдейілеп жасалынған деп бөлуге болады. Жұмыс кезінде кездейсоқ әрекеттердің себебі мыналар болып табылады:
- электр көздерін сөндіру және апаттылық кезіндегі ахуал;
- аспаптардың жұмыс істеуден шығуы;
- бағдарламалық қамтамасыз етудегі қателіктер;
- персонал жұмысындағы қателіктер.
Сыртқы ортаның әрекетінен желі байланыстарындағы бөгеуіл деп отырғанымыз - әдейілеп жасалынған әрекеттер - бұл бұзушының мақсат қойған әрекеті. Бұзушы ретінде: жұмысшы, келуші, бәсекелесуші және тағы басқалар болуы мүмкін. Сондықтан қауіптердің келесі түрлерін қарастыруға болады:
- Өздік қауіптер (стихиялық апаттар, от, заттың уақыт өте бұзылуы және т.б.).
- Ұрлап алу.
- Рұқсатсыз оқу/жазу.
- Ақпараттың жойылуы.
- Электр қорек көзінің тұрақсыздығы.
Қауіптердің пайда болу жолдары келесі:
- Өздігінен болатын қауіптер (техниканың өзіне байланысты) .
- Қызметкерлердің абайсыздығынан (құлату, сындыру, т.с.с.).
- Заңсыз бұзу арқылы.
- Табиғи апаттар.
- Заңсыз ақпарат алу арналарының топтары.
- Байланыс сымдарына қосылу.
- Жүйеге зақым келтіріп, ақпарат алуға мүмкіндік беретін бағдарламаларды енгізу.
- Ақпарат сақтағыштарды ұрлау.
- Ақпарат сақтағыштардағы ақпаратты көшіру.
Ақпараттың бұзылу себептеріне тоқтасақ, олар:
- құралдардың ескіруі (дискінің фрагментациясы);
- физикалық көрсеткіштердің белгілі бір шамадан ауытқуы (кернеу, ылғалдылық т.б.);
- зиянды бағдарламалардың салдары.
Сонымен біздің қарастырған ақпараттық қауіпсіздіктің негізгі қауіптері:
- Ақпараттың бүтіндігінің бұзылуы.
- Қызметкерлердің абайсыздығынан (құлату, сындыру т.с.с.).
- Заңсыз бұзу арқылы.
- Жүйеге зақым келтіріп, ақпарат алуға мүмкіндік беретін бағдарламалық енгізу.
- Ақпарат сақтағыштардағы ақпаратты көшіру.
Ақпараттық қауіпсіздікті қамтамасыз ету
Жоғарыда қарастырылған қауіптерге төтеп беруді және шабуылдармен күресу жолдарын қарастырайық:
- Сервердегі ақпараттың көшірмесін жасаймыз.
- UPS орнатамыз.
- Вирустарға төтеп беретін бағдарламаларды орнатамыз.
- Ақпаратты көшіруге тыйым салынады (яғни салмақты ақпаратты көшіру мүмкіндіктері тек қана әкімші арқылы іске асырылады).
Серверде белгілі құқықтары бар пайдаланушыларды, топтарды құрамыз (әр пайдаланушыға өз аты, кілті беріледі және жасайтын жұмысына тән белгілі бір құқықтары беріледі).
Ақпаратты қорғаудың төменде көрсетілген бірнеше түрлері бар: физикалық (механикалық, электро- және электронды-механикалық потенциалды енушілердің жолындағы қарама-қайшылық); заң шығару, демек заңды түрде (заңдар, нормативті актілер, үлгілер және т.б.); әкімшілік (жалпы мінез-құлықтағы әрекеттер, кәсіпкер басшысымен ұйымдастыру); аспапты-бағдарламалы (электронды құрылыс және арнайы ақпаратты қорғау бағдарламалары); адамгершілік-этикалық; құраулық-бағдарламалық (электронды құрылғылар және ақпаратты қорғаудың арнайы бағдарламалары).
Дәріс 2. Ақпараттарды қорғау
Достарыңызбен бөлісу: |