Энциклопедиялық сөздікте оған келесі анықтама беріледі: латын тілінен анықтау, мазмұндау- адамдар арасында ауызша, жазбаша немесе басқа әдістермен берілетін мәліметтер



бет2/2
Дата04.02.2020
өлшемі60,91 Kb.
#57158
1   2
Байланысты:
Almuh


Құпиялылық (confidentiality) — бұл құпия деретерге ену тек қана рұқсат берілген қолданушыларға берілетіндігінің кепілі. (Бұл қолданушылар авторластырылған деп аталады).

Ену мүмкіндігі (availability) — авторластырылған қолданушылар барлық уақытта деректерге ену құқығы бар болуының кепілі.

Бүтіндігі (integrity) — деректерді түрлі жолдармен өзгертуге авторластырылмағандар үшін рұқсат етілмеуді қамтамасыз ететін дұрыс мәнді деректерді сақтаудың кепілі

Қауіпсідікті қорғау жүйесі жүйенің арналымына, қолданылатын деретердің мінедемесіне, қауіп мүмкіндігінің типіне байланысты өзгеруі мүмкін. Бүтін және ену мүмкіндігі бар жүйені көз алдымызға елестету өте қиын, бірақ құпиялық қасиеті бар болуы міндетті емес. Мысалы: егер Интернетке Web-сервер сіз ақпарат жариялайсыз және сіздің мақсатыңыз оны өте үлкен көлемде адамдарға ену мүмкіндігін беру.

Жүйенің қауіпсіздігінің бұзылуына әкеліп соқтыратын көптеген «заңсыз» қолданылу мүмкіндігі бар жүйелік қорлар бар. Мысалы шексіз ену құқығы бар баспа құрылғысына қаскүнемге баспадағы құжаттың көшірмесін алуға, баптау параметрлерін өзгертуге мүмкіндік береді. Бұл жұмыстың кезектілігіне әсерін тигізіп немесе құрылғы істен шығып қалуы да мүмкін. Құпиялылық қасиеті қолданушыға тек қана анықталған қолданушар ғана қолдана алатындай және құрылғымен тек қана анықталған операцияларды орындай алатындай интерпретациялауға болады. Ену мүмкіндігі қасиеті барлық уақытта қолдануға дайын екендігін көрсетеді. Бүтіндік қасиеті осы құрылғының баптау параметрлері өзгермеуі қасиетімен анықталады. Құрылғы бірнеше қызметтер жасайды: мәтінді теру, факс жіберу, Интернетке ену, электронды пошта және т.с.с. Бұл жғдайды заңсыз қолданғанда ұжымға айтарлықтай шығын әкелуі мүмкін және жүйенің қауіпсіздігінің бұзылуына әкеліп соқтырады. Ақпараттың қ ұпилылығына, бүтіндігіне , ену мүмкіндігіне бағытталға кез -келген іс-әрекет және басқа да қорларды заңсы қолдану қауіп болып саналады.

Таратылған қауіп шабуыл деп аталады. Риск — бұл ойдағыдай өткізілген шабул нәтижесінде ақпарат қоры иесінің шығынға ұщырау мүмкіндігінің өлшемі. Қауіпсіздік жүйесі осал жері көп болғанда риск өлшемі өте үлкен. Қауіп классификациясында әмбебаб қауіп болмайды, мүмкін, өйткені адамның творчестволық мүмкіндігінде шек жоқ, күн сайын желіге заңсыз ену әдісі қолданылып жатады, жаңа вирустар пайда болып жатады, бағдарламалық және аппараттық желілік тауарларда жаңа ақаулар табылып жатады. Бұған жауап ретінде көптеген қауіп көздеріне шек қоятын қауіпсздік құралдары өңделіп шығады, одан кейін ол шабуылдың жаңа объектісі болып қалады. Сонда да болса біз бірнеше талдау жасап көрелік.Біріншіден қауіп қасақана жасалған және байқамай жасаған болып екіге бөлеміз. Байқамай жасаған қауіп деңгейі төмен немесе жауапкершілігі жоқ қызметкердің қате жасалған іс әрекетінен туындайды. Бұдан басқа осы типті қауіп жүйедегі бағдарламалық және аппараттық құрылғылардың сенімді емес жұмысынан штуындайды. Мысалы дискінің істен шығуына байланысты ұжымға керек ақпараттарды өз уақытындам жібере алиай, қолданушыларды ену құқығынан айырады.

Сондықтан қауіпсіздік жағдайы сенімділік жағдайымен тығыз жанасып жатады. Бағдарламалық-аппараттық құралы жұмысының сенімділігінен шығатын қауіпсіздік қауіптерін, оларды барлық уақытта аппаратура деңгейінде резервтеуді қолдану, толық жетілдіріп отыру жолымен шешіледі (RAID-массивтер, көппроцессорлы компьютерлер, үзіліссіз тоқ көзі, кластерлі архитектуралар) немесе деректерді массивтеу деңгейінде (файлды тираждау, резервті көшірмелер). әдейі жасалған қауіп қатер пассивті деректерді оқумен шектелуі мүмкін немесе өзіне активті іс-әрекеттер қосатын мониторингті жүйе. Мысалы ақпараттың бүтіндігі мен ену мүмндігін, құрылғылар мен қосымшалардың істен шығуына әкеліп соқтырады. Қасақана асалған қауіп хакерлардың тәжірибесінің нәтижесінде пайда болады және ол нақ ұжымның жұмысына шығын әкелетіні сөзсіз. Есептеу желісінде қасақана жасалған қауіпті келесі типтерге бөлуге болады:

• Заңды қолданушы ретінде компьютерлердің біріне заңсыз ену;

• Вирус – бағдарламалары көмегімен жүйені бұзу әрекеттері;

• Заңды қолданушының заңсыз әрекеттері;

• Ішкі желіні «тыңшы» тыңдау.
Заңсыз ену операциялық жүйенің құжатталмаған мүмкіндіктерін қолдана отырып, қауіпсіздік жүйесінің осал жері арқылы таралуы әбден мүмкін. Бұл мүмкіндіктер қаскүнемге желіге енуді бақылайтын стандартты процедураны «айналып» өтуге мүмкіндік туғызады. Өзге қолданушының паролын көріп алу арқылы енуі де әбден мүмкін. Сондықтан да барлық қолданушылар өз паролдарын құпия ұстаған жөн. Паролды көрудің тағы бір амалы ол өзге компьютерге «троянского конь» енгізу арқылы. Бұл қаскүнемнің берілген іс-әрекетін орындайтын, компьютер иесіне бағынбайтын резидентті бағдарлама. Бұл бағдарлама компьютер иесі жүйеге енген уақытта енгізілген паролды жаттап жібереді. «троянский конь» бағдарламасы барлық уақытта пайдалы утилиттер мен ойындармен бірге маскіленеді.

13 Жергілікті желіні қорғау үшін желіаралық экранды қолдану.


Желіаралық экран - брандмауэр немесе firewall жүйесі деп аталатын арнайыланған желіаралық қорғаныс комплексі. Желіаралық экран ортақ желіні екіге бөлуге және ортақ желінің бір облысынан екінші облысының шекарасынан берілгендер пакетінің өту шаттарын анықтайтын ережелер жиынтығын іске асыруға мүмкіндік береді. Мұндай шекаралар мекеменің жергілікті желісі және Internet ауқымды желісі арасында жүргізіледі.

Әдетте желіаралық экран Internet ауқымды желісінен мекеменің ішкі желісін бұзып кіруден қорғайды, мекеменің жергілікті желісіне қосылған корпоративті интражелідегі шабуылдан қорғау үшін де қолданыла береді. Желіаралық экран технологиясы корпоративті желілерді сыртқы кауіп қатерден қорғайтын ең алғашқы технологиялардың бірі.

Көптеген мекемелерде желіаралық экран – орнату ішкі желіні қорғаудың ең қажетті шарты болып табылады.

Санкцияланбаған желіаралық бұзуға қарсы тұру үшін желіаралық экран ішкі болып табылатын мекеменің қорғалатын желісі және сыртқы қарсылас желінің арасында орналасуы керек. Соған қарамастан осы желілер арасындағы қарым қатынастар желіаралық экран арқылы жүзеге асырылуы тиіс. Желіаралық экран жалпы қорғалатын желі құрамына кіреді.

Бірнеше түйіндерді бірден шешетін желіаралық экран, мыналарды жүзеге асырады:

- Корпоративті желінің ішкі ресурстарына сыртқы қолданушылардың кіруін шектеу жұмысы (қорғалатын желіге байланысты). Мұндай пайдаланушыларға серіктестер, жойылған қолданушылар, хакерлер және де сол мекеменің желіаралық экран қорғайтын берілгендер қорын алғысы келетін жұмысшыларын жатқызуға болады.

- Сыртқы ресурстарға қорғалатын желінің қолданушыларының кіруін шектемеу мәселесі. Бұл мәселені шешу, мысалы қызмет бабының орындалуын қажет етпейтін серверлерге кіруді қадағалауға мүмкіндік береді.

Осы кезге дейін жалпыға мойындалған бір ғана желіаралық экран классификациясы жоқ. Оларды мысалға келесі негізгі белгілері бойынша классификациялауға болады:

OSI моделінің деңгейінде функционалдау:

• Пакет сүзгіші (screening – экрандалатын маршрутизатор);

• Сеанстық деңгей шлюзі (экрандалатын көлік);

• Қолданбалы шлюз (aplication gateway);

• Эксперттік деңгей шлюзі (stateful inspection firewall).

Қолданылатын технология бойынша:

• Протокол жағдайын қадағалау (stateful inspection);

• Орадағы модульдер (proxy).

Орындалуы бойынша:

• Программа – аппараттық;

• Программалық.

Қосылу схемасы бойынша:

Желіні қорғаудың ортақ схемасы;

• Қорғалатын жабық және қорғалмайтын ашық желі сегменттерінің схемасы;

• Бөлек жабық қорғау мен ашық желі сегментінің схемасы.

Ақпараттық ағымдарды сүзгілеу олардың экран арқылы таңдап өткізу кейбір түрлендірулердің жасалуынан тұрады. Сүзгілеу таңдалған қауіпсіздік ережелеріне сәйкес, желіаралық экранға алдын ала жүктелген ережелер арқылы жүзеге асады. Сондықтан да желіаралық экранды ақпараттық ағымды өңдейтін сүзгі ретінде қарастырған ыңғайлы.

Фильтрдің әрқайсысы бөлек сүзгілерді мына жолдармен интерпретациялау үшін арналған:

1. интерпретацияланатын критерий ережелеріне сәйкес ақпаратты анализдеу, мысалы қабылдаушы адресі бойынша және ақпарат арналған жіберушіге немесе түсініктеме түріне.

2. интерпретацияланатын ереженің біреуі негізінде келесі шешімдерді қабылдау:

• берілгендерді тастап кетпеу;

• алушы атынан берілгендерді өңдеу және жіберушіге қорытындыны жіберу;

• анализді жалғастыру үшін берілгендерді келесі сүзгіге жіберу;

• келесі фильтрлардан берілгендерді өткізіп жіберу.

Сүзгілеудің ережесін жалғастырушы функциясына жататын қосымша іс - әрекеттерде бере алады, мысалға берілгендерді өңдеу, оқиғаларды тіркеу және т.б. Соған байланысты сүзгілеу ережесі орындалуына байланысты шарттарды анықтайды:

• алдағы берілгендердің жіберілуін шектеу немесе шешу;

• қосымша қорғаныс функцияларының орындалуы;

Ақпараттық ағымның талдауының критерийлері ретінде келесі шамалар қолданыла алады:

желілік адрестерден, индикаторлардан, интерфейс адресінен, порттар номерінен және де басқа мәні бар берілгендерден тұратын хабарламалар пакетінің қосымша өрістері;

• мысалы компьютерлік вирустың бар жоғына тексеретін хабарлама пакеттерінің құрамы;

• ақпараттық ағымның сыртқы мінездемелері, мысалы уақытша, жиілік мінездемелер, берілгендердің көлемі және т.б.

Қолданылып отырған анализ критерийлері сүзгілеу жүзеге асырып жатқан OSI моделінің деңгейіне байланысты болады. Жалпы жағдайда желіаралық экран сүзгілеуден өткізіп жатқан пакеттің неғұрлым OSI моделінің деңгейі жоғары болса, соғұрлым ол қамтамасыз ететін қорғаныс деңгейі де жоғары болады.

Желіаралық экран жалғаушы функциясы экрандалатын агент немесе жалғаушы - программа деп аталатын арнайы программалар арқылы орындалады. Бұл программалар резидентті болып табылады және ішкі және сыртқы желілер арасындағы ретсіз ақпарат алмасуға рұқсат бермейді.

Ішкі желіден сыртқы желіге немесе керісінше қол жеткізу қажет болған жағдайда, ең алдымен желіаралық экран компьютерде функционалдайтын жалғаушы – программамен логикалық байланыс орнатылуы қажет. Жалғаушы программа сұралған желіаралық байланысты тексеріп, ол шешілетін болса өзі керекті компьютермен байланыс орнатады. Әрі қарай ішкі және сыртқы желі компьютерлері арасындағы байланыс программалық жалғауыш арқылы жүзеге асады, ол өз кезегінде келген ақпаратты сүзгіден өткізіп, басқа да қорғаныс функцияларын орындайды. Желіаралық экран жалғауыш-программа көмегінсіз сүзгілеу функциясын жүзеге асыра алады, бұл жағдайда ол ішкі және сыртқы желі арасында мөлдір өзара байланысты қамтамасыз етеді. Сонымен қатар жалғауыш-программа хабарламаларды сүзгілеуден өткізуді жүзеге асыра алмауы да мүмкін.

14 Unix операциялық жүйесінің қауіпсіздік құралы


UNIX операциялық жүйедегі деректердің көбісі ағаш түрінде ұйымдастырылған және деректердің кейбір тасушысында орналасқан файлдарда сақталады. Жалпыда ол жергілікті қатқыл диск, бірақ файлдық жүйенің арнайы типі – NFS (Network File System) жойылған компьютердегі файлдарды сақтауын қамтамасыз етеді. Сонымен бірге файлдық жүйе CD-ROM-да, дискеталарда және басқа тасушы типтерінде орналасуы мүмкін.

UNIX System V ізделінген файлдық жүйесі s5fs болып табылады. Берклиде

өңделген FFS файлдық жүйе 4.2BSD версиясында кейін шығарылған. s5fs-пен салыстырғанда ол күшті өнімділігімен, функционалдығымен және сенімділігімен меңгерілген. UNIX қазіргі нұсқаларындағы файлдық жүйелерде әртүрлі нұсқалары үшін өзгешелінген өте күрделі архитектурасы бар. Осылардың барлығына қарамастан олар AT&T және Беркли Калифорниялық университетіндегі UNIX өңдеушілерімен кепілденген базалық идеяларды қолданады.
System V базалық файлдық жүйесі

Әрбір қатқыл диск бір немесе бірнеше логикалық бөліктерден құралады. Олар тараулар (partitions) деп аталады. Тараудың өлшемі және орналасуы дискіні пішімдеу бойынша анықталады. UNIX-те тараулар тәуелсіз құрылғылар түрінде шығады. Олардың қатынауы деректердің өзгешелік тасушыларына сияқты жүзеге асырылады.

Мысалы, диск төрт тараудан тұруы мүмкін. Әр біреуі өзіндік файлдық жүйені құрайды. Айталық, тарауда тек қана бір файлдық жүйе орналаса алады, ол бірнеше тараулармен жұмыс істей алмайды. Басқа конфигурацияда диск тек қана бір тараудан құрыла алады және де көлемді файлдық жүйелердің құрылуын рұқсат етеді.

s5fs файлдық жүйе дискінің тарауында орын алады және үш негізгі

компоненттерден құрылады:
1. Суперблок (superblock). Ол файлдық жүйе жөніндегі жалпы ақпаратты құрайды. Мысалы, блоктың жалпы санын және индексті дескриптерін немесе метадеректерін (inode). 2. Индексті дескриптерінің массиві (ilist). Ол файлдық жүйенің барлық файлдарының метадеректерін құрайды. Индексті дескриптері файл жөніндегі статусты ақпаратын құрайды және бұл файл деректерінің орналасуын көрсетеді. Ядро ilist массивке индекс бойынша inode-ке үндеу тастайды. Бір inode файлдық жүйенің түпкі (root) inode болып табылады. ilist массивінің өлшемі бекітілген болып табылады және файлдық жүйенің құрылуы бойынша беріледі. Осыдан, s5fs файлдық жүйеде файлдар саны бойынша шектеулігі бар, олар бұл файлдардың өлшемдерінен тәуелсіз файлдық жүйеде сақталынуы мүмкін.

3. Деректер сақтауының блоктары. Жалпы файлдардың және каталогтардың деректері блоктарда сақталады. Файлды өңдеу деректер блогына сілтемелер құрайтын inode арқылы жүзеге асырылады. Деректер сақтауының блоктары дискілік тараудың үлкен бөлігін алады және олардың санын берілген файлдық жүйелердегі файлдардың максимальді суммарлы көлемді анықтайды. Блоктың өлшемі 512 байтқа тең, мысалы S51K SCO UNIX файлдық жүйесі 1 Кбайтта блоктың өлшемін қолданады.

BSD UNIX файлдық жүйесі
BSD UNIX нұсқаларында файлдық жүйенің архитектурасына жақсартулары

енгізілген. Ол оның өнімділігін және сенімділігін де жоғарылайды. Жаңа файлдық жүйе Berkeley Fast File System (FFS) атын алды. FFS файлдық жүйесі s5fs жүйесінің толық функционалдығымен меңгерілуі ядро деректерінің сол құрылымдарымен де қолданылады. Негізгі өзгерістер бос блоктардың орналастыру алгоритмдерін, деректердің дискілік құрылымдарын және файлдық жүйенің дискіде орналасуын тигізген.

Суперблок файлдық жүйенің жалпы сипатталуынан құралады және тараудың басында орналасқан. Бірақ суперблокта inode пен бос блоктарының массивтері сияқты файлдық жүйенің еркін кеңістігі туралы деректері сақталмаған. Сондықтан суперблоктың деректері файлдық жүйе бар болуының барлық уақыт аралығында өзгертілмеген болып қала береді. Суперблоктың деректері барлық файлдық жүйелердің жұмысы үшін өте маңызды болғанымен, ол сенімділіктің жоғарылуына байланысты қайталайды.

Файлдық жүйенің ұйымы бір немесе бірнеше цилиндр тобына (cylinder group) дискілік тараудың логикалық бөлуін қарастырады. Цилиндр топтары бірнеше тізбектелген дискілік цилиндрлерден көрсетіледі. Әрбір цилиндр тобы басқарылған ақпаратты құрайды. Ол тобындағы дискілік блоктарын қолдану жөніндегі қорытынды ақпаратын, бос блоктар туралы мәліметтері мен inode массивін және суперблоктың резервтелген көшірмесін қосады.

Файлдық жүйенің құрылуы бойынша цилиндрдің әрбір тобына inode-тің анықталған көлемінен орын бөлінеді. Осымен деректер сақтауының блоктарындағы жалпы 2 Кбайт-тың әр біреуіне бір inode құрылады. Цилиндр топтарының және inode массивінің өлшемі фиксацияланғанмен, BSD UNIX файлдық жүйеде s5fs-ке ұқсас шектеулер бар.

15 Идентификация және аутентификация

Идентификация және аутентификация терминдерінің қиын екеніне қарамастан, қазіргі ақпараттық жүйелердегі қолданушылар жұмыс күні бойына осы терминдерді бір рет болса да қолданады. Техникалық түсініктеріне терең үңілмей ақ, қолданушы компьютерге, желіге, мәліметтер базасына немесе қолданбалы программаға пароль енгізгенен бастап айтсақ болады. Осы процестің орындалуы нәтижсінде ол қажетті ресурсқа қолжетімділік алады немесе оған сыпайы түрде қолжетімділік мүмкін еместігін айтады.

Қысқаша айтқанда бұл процес екі бөліктен тұрады: идентификация және аутентификация. Идентификация қолданушының қандай да бір өзіне тән идентификатор белгісін көрсету. Ол пароль болуы мүмкін, қандай да бір биометрлік ақпарат, мысалы, саусақ іздері, жеке электронды кілт немесе смарт карта және тағы да басқа. Аутентификация дегеніміз енгізілген парольдің ресурсқа қолжетімділігін тексереді.

Бұл процедуралар өзара тығыз байланысты, себебі тексеру тәсілі қажетті ресурсқа қолжетімділік алу үшін қолданушының қандай белгілерді жүйеге енгізгенін анықтайды.

Төменде біз біраз қиыншылықтар туғызатн жағдайларды қарастырамыз.олар ақпараттық ресурстарға қолжеткізу кезінде туындауы мүмкін және осыларға байланысты қолданушының идентификациясы мен аутентификациясы қалай бацланысқанын қарастырамыз.

Ережеге сай, қазіргі мекемелерде ақпараттық инфрақұрылым гетерогенді болып келеді. Бұл дегеніміз бір желіде әр түрлі операциондық жүйе басқаратын бірнеше серверлер бар. Мысалы, Microsoft Windows, Novell Net Ware, Linux және т.б. Және де көптеген қолданбалы программалар болуы мүмкін.мекеменің қызмет түріне тәуелсіз олар электронды пошта және топтыө жұмыс болуы мүмкін (Group Ware), CRM және ERP жүйелері, электронды құжаттарды өңдеуші, бухгалтерлік программалар, корпоративті web-порталдар және тағы да басқа.

Егер ақпараттық технология департаменті арнайы шаралар қолданбаса, онда бір қолданушы білуге тиіс парольдер саны 5-6 болуы мүмкін. Осының нәтижесінде қолданушылар парольдерді қағаздарға азып көрінетін жерлерге жабыстырып қоюы мүмкін (ұмытпас үшін), ал бұл ақпарат қорғаудағы іс шараларды жоққа шығарады. Қолданушы бұл парольдерді бір бірімен шатастырып, немесе ұмытып қалуы мүмкін. Бұл қолдау қызметінде әрқашан бас ауыртатын жайтарға әкелуі мүмкін.

Егер онымен қоса әр пароль 6-8 әріптерден, арнайы символдардан немесе сандардан тұрса, егер оны әрқашан ауыстырып тұру керек болса, мұндай мәселенің қиындық туғызуы әбден мүмін.

Идентификация және аутентификация

Идентификация және аутентификацияны қауіпсіздік құралдрының программалық техникалық тәсілінің негізі деп айтуға болады.себебі, басқа сервистер атауланған субъектілерге қызмет көрсетуге арналған. Идентификация және аутентификация ол қорғаныштың ең алғашқысы, Аутентификация бір жақты болады, (әдетте клиент өзінің шынайы екенін дәлелдейді) және екіжақты (өзара байланысты). Бір жақты аутентификацияға мысал ретінде қолданушының жүйеге кіру процедурасын айтуға болады.

Желілік ортада идентификация және аутентификация жақтары шекаралы енгіліген болса, қарастырылып отырған сервисте екі негізгі аспект болады:

Аутентификатормен қызмет етеді ( объект субъекттің шынайы екендігін анықтау үшін қолданылады);

Идентификация және аутентификация мәліметтерімен алмасуда қалай ұйымдастырылғаны;

Субъект өзінің шынайылығын келесі түрлердің біреуін қолдана отырып дәлелдей алады:

Оның білгені ештеңе емес (пароль, жеке идентификацияланған номер, криптографиялық кілт және т.б);

Оның жасай білетіні ештеңе емес (жеке түбіртек немесе аналогиялық тағайындалған құрылғы);

Оның бір бөлігінің болғаны ештеңе емес (даусы, саусақ іздері және т.б, қысқаша айтқанда оның биометрикалық характеристикасы);



Ашық желілік ортада идентификация және аутентификация жақтарының арасында белгілі сенімді маршрут болмайды; бұл дегеніміз, ортақ жағдайда субъектпен берілген мәліметтердің, алынған және тексерілуден өткен мәліметпен сәйкес келмеуі. Желіні активті және пассивті тыңдаудан қорғау қажет, дәлірек айтқанда, мәліметті ұрлаудан, өзгертуден және мәліметтерді іске қосудан сақтау қажет. Парольдерді ашық күйде беру әрине сенімсіз. Ол жағдайынан және парольдерді шифрлеуден қорғайды, себебі ол іске қосудан қорғамайды. ол үшін аутентификацияның аса қиын протоколдары қажет.

Достарыңызбен бөлісу:
1   2




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет