Қазақстан республикасы ғылым және жоғары білім министрлігі
Хабарламаны шифрлеу жүйесі
жүктеу/скачать 3,56 Mb.
|
Компьютерлік желі-умкд
- Бұл бет үшін навигация:
- Лекция №11. Дүниежүзілік желідегі ақпараттық қауіпсіздік. Ықтимал қауіптер. Ресурстарды қауіпсіз атау. SSL - қауіпсіз сокеттердің протоколы. Портативті бағдарламалардың қауіпсіздігі.
| Хабарламаны шифрлеу жүйесі
80-жылдардың басында пайда болған дербес ЭЕМ-дер қазіргі кезде ғылым мен техниканың барлық салаларына енді. Сонымен бірге желі қолданушыларында көптеген мəселелер туды. Олардың бірі ақпаратты қорғау. Егер статистикаға сенетін болсақ компаниялар мен кəсіпорындардың 80% ақпарат қауіпсіздігі бұзылуы салдарынан зиян шегуде. Қазіргі кезде ақпарат қорғау өте күрделі мəселелердің бірі болып табылады. Оның негізгі себептері ЭЕМ-дің кең түрде қолданылуы, шифрлеу технологияларының күрделенуі, мемлекеттік құпиялармен қатар өндіріс, коммерциялық жəне т.б. құпияларды қорғау мəселесі кіреді. Шифрлеу - бұл оқуға болатын хабарламаны жасау, тасымалдау жəне сақтау кезінде оқылмайтын пішімге айналдыру процесі. Шынында, тек жіберуші мен алушы хабарларды дұрыс түсініп, оқып бере алады. Бұл тұжырымдама қауіпсіздікте маңызды, өйткені біз электрондық пошта хабарламаларына, электрондық кестелерге жəне телефон қоңырауларына негізгі ақпаратты жиі жібереміз. Құпия сөздер, сату болжамы, қаржылық есеп сияқты ақпарат кілті болуы мүмкін, егер ол қара хакерлер болса, онда ол бізге қарсы қолданылуы мүмкін. Лекция №11. Дүниежүзілік желідегі ақпараттық қауіпсіздік. Ықтимал қауіптер. Ресурстарды қауіпсіз атау. SSL - қауіпсіз сокеттердің протоколы. Портативті бағдарламалардың қауіпсіздігі. Web-қосымшалар қорғанысының өмірлік циклы. Қазіргі таңдағы web-қосымшаларының көпшілігі web-қосымшалар қауіпсіздігі нормалары мен принциптерінің пайда болуынан бұрын жобаланып, әзірленген және қолданысқа енген. Әдетте, қауіпсіздікті қамтамасыз ету, қорғаныс шараларын жасау түсінігі қандай да бір инциденттің орны алуынан кейін қолға алынады. Web-қосымшалары менеджменті орындалуы міндетті болатын ағымдағы талаптарды қанағаттандыру аясынды ғана қауіпсіздік мәселелерін қарастырады. Web-қосымшалар жобасын әзірлеу барысында әзірленіп жатқан қосымшаға қандай қауіптердің төнуі мүмкіндігін алдын-ала бағдарлап ескеру керек және осыған орай тәуекелділік деңгейін минимумға жеткізу шараларын қарастырулары қажет. Эксплойттардың жұмыс принциптерін зерттеп, оны тестілеу, кемшіліктерін жою тәсілдері қарастырылуы керек. Web-қосымшалар қорғанысының принциптері дәстүрлі ақпаратты қорғау мен оның қауіпсіздігі шараларынан өзгешелігін, өзіндік ерекшеліктерін ескере отырып, қосымша қауіпсіздігінің өмірлік циклын 3 қадам мен 7 аймаққа бөліп қарастырады(сурет 1). Сурет1. Web-қосымшалар қорғанысының өмірлік циклы Қауіпсіз әзірлеу: Web-қосымшаны құру, әзірлеу процесі барысында қауіпсіздік элементтерін ескеру. Қосымшалар әзірлеудің өмірлік циклын модификациялау (Software Development Lifecycle) қауіпсіздік талаптарын кірістіруді қажет етеді және Secure SDLC деп аталады. Ол Web-қосымшаны құру, әзірлеу процесі барысында қарапайым тексерулер жүргізіп, туындауы мүмкін мәселелерді алдын-ала айқындайды. Статикалық талдау: Бастапқы кодты қауіпсіздік қателіктеріне сканерлеу құралы.Бұл құралдар “white box” деп аталады. Динамикалық талдау: Қолданысқа жіберу алдында Web-қосымшаны танымал, мүмкін шабуыл түрлеріне төтеп беруін, осалдықтарын зерттеу құралы. Бұл құралдар “black box” деп аталады. Кодтың статикалық талдамын әдетте қосымшаны әзірлеушілер жүргізеді, бұл өз кезегінде жұмысты жылдамдатады және арзанға түседі. Сонымен статикалық талдау программалық кодта жіберілген қателерді табу мақсатында жүргізіледі де, қосымшаның қолданылуы барысында ғана айқын болатын осалдықтарды анықтай алмайды. Осы кемшіліктерді болдырмас үшін динамикалық және гибридті талдаулар қолданылады. Динамикалық талдау статикалық талдауда байқалмайтын қосымшаны қолдану барысында айқын болатын осалдықтарды табады. Динамикалық талдаудың зиянды, қауіпті ақпаратты жіберу тәсілі де бар, онда қосымшаның реакциясын бақылап, нәтижесіне талдау жасайды. Әдетте тестілеу құралдарында зерттелетін қосымша туралы бастапқы еш ақпарат болмауы мүмкін, сондықтан да олар оны «қара жәшік» ретінде зерттейді. Бірақ көп жағдайда “white box” тәсілі қолданылады, мұнда қосымша ерекшеліктеріне орай авторизацияланған пайданаушыларға таныс әлсіз тұстар мен осалдықтарды іздеу мақсатындағы тестілеу жүргізіледі. Негізінен “black box” тәсілі дұрыс деп саналады, себебі ол сыртқы тексеруші немесе хакер ролінде тексеру жүргізеді. “White box” және “black box” әдістері мен тестілеу жүргізгеннен кейін арнайы мамандар шынайы кемшіліктер мен жалған ақаулар сараптамасын жасайды, қажетті өңдеу, жетілдіру жұмыстарын жүргізеді. Негізінен динамикалық талдаушы қандай кемшіліктердің қай жерде жіберілгенін анықтап, хабарлап отырады. Тестілеу барысында жазбаларды, көрсеткіштерді, сұраныстар мен айнымалылыр кезектерін қадағалайды. Статикалық пен динамикалық талдаулар бір-бірін толықтырушы талдаулар олып саналады. Сонымен, Web-қосымша қауіпсіздігінің дұрыс құрылымды программасы Web-қосымшаның сауатты жобалануы мен құрылуынан бастау алып қауіптерді модельдеумен, қауіпсіз дизайнмен, функционалды талаптардың қауіпсіз орындалуымен, статикалық және динамикалық талдаулар жасалумен, ұауіпсіз кодтау әдістерін қолданумен, үздіксіз жетілдірілген тестілеумен жалғастырылады. Қауіпсіз таралу (қолдану, ендіру). Бұл кезеңде Web-қосымша әзірлеу кезеңінің аяғында болып, оны танымал осалдықтар мен шабуылдарға тестілеуге болатын уақыт туындайды. Осы кезде қосымшаны осалдыққа тексеру, бағалау, рұқсатсық ену мүмкіндіктеріне тестілеу, конфигурациялық талдау, жүйе аралық үйлесімдікке тесеру де жүргізілуі крек. осалдықты бағалау: есептік жазбамен де, жазбасыз да Web-қосымшаны қашықтықтан сканерлеу. Web-қосымшаның осалдығын бағалау қосымшанығ өзін тексеруге назар аударады, ал осалдықтың стандартты бағалануында негізгі зерттеу көзі хост-платформалар болып табылады. Енуге тестілеу: рұқсатсыз енуге тестілеуді Web-қосымшаны бұзып кіруге талпыныс деп айтуға болады, ол өз кезегінде қосымшаның әлсіз тұстарын, осалдығын анықтауға және олардың төндіретін қауіптерін, тәуекелдіктерін айқындауға мүмкіндік береді. Енуге тестілеу қосымша кемшіліктерін анықтап, оларды жіктеуге, олардың маңыздылығын, реттілігін анықтауға мүмкіндік береді. Қауіпсіз қолдану. Бұл бөлімде Web-қосымшаның қауіпсіздігін қамтамасыз ету негізінен WAF-қа (Web Application Firewall) жүктеледі, ол пайдаланушылардың рұқсатсыз әрекеттерінен, Web-қосымша компоненттерімен байланысуға ұмтылатын құралдар мен сұраныстарды сканерлейтін құрылғылардан қорғайды. WAF- бұл Web-қосымша трафигін қадағалайтын, танымал қауіптерді бұғаттайтын және олар туралы хабарлама жіберіп отыратын желілік құрылғы. Қосымшалар мен деректер базасы белсенділігінің мониторингі: Берілген ережелердің бұзылуына негізделген қауіпсіздік ескертулерін аудит және генерациялау үшін Әртүрлі әдістермен қосымшалар мен деректер базасы белсенділігін қадағалау құралы. жүктеу/скачать 3,56 Mb. Достарыңызбен бөлісу:
|