Ақпарат қорғау жүйесін жобалау негіздері
Семей қаласының Шәкәрім атындағы университеті КеАҚ
Қорғауға жіберілді
Автоматика және ақпараттық технологиялар
кафедрасының меңгерушісі
_________ А.Д. Золотов
______________2021 ж.
ДИПЛОМДЫҚ ЖҰМЫС
Тақырыбы: Мемлекеттік мекемеде антивирустық қорғанысты жаңғырту
5В070300 - Ақпараттық жүйелер мамандығы бойынша
Орындаған Оспанова Ш.Қ.
Ғылыми жетекші, э.ғ.к. Смагулов С.К.
Нормобақылаушы
Семей 2021
МАЗМҰНЫ
КІРІСПЕ
3
1 АҚПАРАТТЫ ҚОРҒАУДЫҢ ТЕОРИЯЛЫҚ НЕГІЗДЕРІ
5
1.2 Компьютерлік вирустардан қорғайтын программалардың жіктелуі
5
1.3 Ақпарат қорғау жүйесін жобалау негіздері
6
1.4 Қауіпсіздік саясаты және негізгі элементтері
9
1.5 Ақпараттық қауіпсіздіктің жақсарту жолдары
12
2 ЖОБАЛАУДЫ ЖОСПАРЛАУ БӨЛІМІ
15
2.1 Web қосымшаларын құру орталары
15
2.2 Жобалаудың программалық ортасын таңдау
23
2.2.1 Интернет жайлы жалпы түсінік
23
2.2.2 Арасне web-серверін орнату
25
3 ВИРУСҚА ҚАРСЫ ҚОРҒАУ ЖҮЙЕСІН ЖАҢҒЫРТУ ЖӘНЕ ТАҒЫЛЫМДАМАДАН ӨТУШІЛЕРГЕ АРНАЛҒАН ЭЛЕКТРОНДЫҚ ОҚУ ҚҰРАЛЫНЫҢ СИПАТТАМАСЫ
33
3.1 Мемлекеттік бюджеттік Денсаулық сақтау мекемесінде вирусқа қарсы қорғау жүйесін жаңғырту
33
3.1.1 Ұйымның вирусқа қарсы қорғау стратегиясы
33
3.1.2 Ұйымдағы ақпаратты вирусқа қарсы қорғау жүйесін жаңғырту
36
3.1.3 Енгізу жөніндегі ұйымдастыру іс-шаралары
37
3.2 Электрондық оқу құралының сипаттамасы
38
3.2.1 Электрондық оқу құралының тағайындалуы және жалпы сипаттамасы
38
3.3 Электрондық оқу құралының бөлімдері мен интерфейсінің сипаттамасы
43
ҚОРЫТЫНДЫ
47
ҚОЛДАНЫЛҒАН ӘДЕБИЕТТЕР
48
Қосымшалар
КІРІСПЕ
Тақырыптың өзектілігі. Бүгінгі қоғамда мәліметті қабылдау, өңдеу, сақтау және ұсынуды қамтамасыз ететін ақпараттық жүйелерді пайдаланбай алға жылжу мүмкін емес. Қазіргі заманғы ақпараттық технологиялар ақпараттық қауіпсіздікті қамтамасыз етудегі жаңа мәселелерді туындатып қана қоймайды, сонымен қатар оның шешімін табудың жаңа бағыттарын қарастыруды қажет етеді.
Елбасы Н.Ә.Назарбаевтың 2014 жылғы 17 қаңтардағы Қазақстан халқына арнаған Қазақстан жолы - 2050: бір мақсат, бір мүдде, бір болашақ атты Жолдауында Мемлекет ақпараттық технологиялар саласында транзиттік әлеуетті дамытуды ынталандыруы тиіс. 2030 жылға қарай Қазақстан арқылы біз әлемдік ақпараттық ағындардың кем дегенде 2-3%-ын өткізуге тиіспіз. 2050 жылға қарай бұл цифр кем дегенде екі еселенуге тиіс - деп көрсеткен болатын [1]. Осы көрсеткіш деңгейінде әлемдік ақпараттар ағынын өткізу үшін оның қауіпсіздігін қамтамасыз етудің маңызы өте зор.
Ақпараттық қауіпсіздік жайлы сөз қозғалғанда оның өте маңызды деген 3 жағдайына баса мән беріледі. Олар: қол жеткізерлік (оңтайлы), тұтастық және жасырындылық (конфиденциалдық).
Қол жеткізерлік (оңтайлы) қолданушының аз ғана уақыт ішінде өзін қызықтырған ақпаратқа кедергісіз кіру мүмкіндігін сипаттайтын параметр болып табылады.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғалуы. Ақпарат тұтастығы деп кездейсоқ немесе әдейі бұрмаланған кезде автоматтандырылған жүйелердің осы ақпаратты өзгеріске ұшыратудан қорғау қабілетін айтады.
Жасырындық (конфиденциалдық) - қолданушының ақпаратқа кіруіне шектеу қою қажеттілігін көрсететін параметр, яғни, заңсыз қол жеткізуден немесе оқудан қорғауды қамтамасыз етеді.
Ақпараттық қауіпсіздікті қамтамасыз етудің ағымдағы жай-күйі мынадай мәселелердің де бар екендігін көрсетеді:
ақпараттық қауіпсіздік саласында білікті мамандардың жетіспеушілігі, бұл, өз кезегінде ақпараттың кез келген сыртқы ықпалдардан өз деңгейінде қорғалуын толық қамтамасыз ете алмауда;
аса маңызды ақпараттандыру нысандарының ақпараттық қауіпсіздігін қамтамасыз ету жүйесінің жетілдірілмеуі немесе жүйе жұмысының жиі бұзылуы;
қазіргі заманғы ақпараттық-коммуникациялық технологияларды жасаудың, енгізу мен пайдаланудың қоғамның объективті қажеттілігіне жауап бермейтін төменгі деңгейі;
еліміздің ақпараттық технологиялар, ақпараттандыру және ақпаратты қорғау құралдары импортына тәуелді болуы;
әлемдік жетекші мемлекеттердің арасындағы ақпараттық шабуылдың үдей түсуі, ақпараттық кеңістікте мемлекеттердің шектен тыс ықпал етуге ұмтылуы;
әлемдік ақпараттық талдау саласындағы кейбір мемлекеттердің дәйексіз саясаты;
ақпараттық айла-шарғылар жасау технологияларының дамуы;
елдің ұлттық мүдделеріне нұқсан келтіретін, қоғамдық сана мен мемлекеттік институттарға арандатушылық ақпараттың әсер ету мүмкіндіктері;
мемлекеттік мүддеге зиян келтіру мақсатында сенімсіз және қасақана бұрамаланған ақпараттарды тарату;
ақпараттық кеңістіктің ашықтығы және т.б. [3].
Тақырыптың өзектілігі. Бұл аталған мәселелер еліміздегі мемлекеттік маңызы бар құрылымдардың ғана емес, кез келген әлеуметтік-экономикалық салалардағы мекемелердің де ақпараттық қауіпсіздігін қамтамасыз етуге ерекше мән беру қажеттілігін көрсетеді.
Жоғарыда аталған шешімін табуға тиісті мәселелердің негізгілерінің бірі- ақпараттық қауіпсіздікті қамтамасыз ету мамандарының жеткілікті болуы. Бүгінгідей ақпараттық қоғам дәуірінде ақпараттық технологиялар саласының маманына ақпаратты қорғаудың мәселелерімен айналысатын криптология ғылымын терең игерудің қажеттілігі күн өткен сайын айқындала түсуде. Әсіресе, криптологияның ақпаратты талдаудың математикалық әдістерін зерттеумен айналысатын криптография және жасырын кілтті қажет етпей-ақ ақпараттың кодын ашу мүмкіндігін зерттеумен шұғылданатын криптоталдау бағыттарын жетік меңгеру осы саланың білікті маманына қойылатын негізгі талаптардың бірі.
Дипломдық жобаның мақсаты ШҚО аудандық денсаулық сақтау мекемесінің вирусқа қарсы қорғау жүйесін жаңғырту.
Зерттеу объектісі ШҚО аудандық денсаулық сақтау мекемесінің вирусқа қарсы қорғау жүйесі болып табылады.
Зерттеу пәні ұйымның вирусқа қарсы қорғау жүйесін жаңғырту жөніндегі іс-шаралар болып табылады.
Қойылған мақсатты іске асыру үшін осы дипломдық жұмыс аясында келесі қызметтер орындалды:
1. Таңдалған әдебиеттер мен интернет көздеріне талдау жүргізу, материалды жүйелеу және құрылымдау;
2. Ұйымдағы ақпаратты вирусқа қарсы қорғау жүйесіне талдау жүргізу.
3. Ұйымның вирусқа қарсы қорғау жүйесін жаңғырту бағдарламасын әзірлеу.
4. Қызметкерлерді даярлау технологиясын және электронды оқулықтарды әзірлеу принциптерін талдау.
5. Қызметкерлерді оқытуға арналған электронды оқу құралын жетілдіру.
Автоматтандырылған жүйелерде ақпаратты қорғаудың криптографиялық әдістері компьютерде өңделетін немесе түрлі есте сақтау құрылғыларында сақталатын ақпараттарды қорғау ғана емес, сонымен қатар желілік байланыс арналары арқылы жіберілген ақпараттың толықтығын қамтамасыз ету үшін де қажет.
1 АҚПАРАТТЫ ҚОРҒАУДЫҢ ТЕОРИЯЛЫҚ НЕГІЗДЕРІ
1.2 Компьютерлік вирустардан қорғайтын программалардың жіктелуі
Вирустан қорғаудың қарапайым құралына вирус жұқтырған бағдарламалар тізімін құруға мүмкіндік беретін бағдарлама жатады.Мұндай бағдарламаны детектор деп атайды.Детектор ретінде файлда жолды немесе берілген дискіде не каталогта файлдарды іздеуге қабілетті қолданыстағы бағдарламаларды пайдалануға болады.Детектор резидентті болуы да мүмкін.Бұл кезде бағдарлама жүктелгеннен кейін оның жұқтырылғандығын тексереді және тек вирус табылмаған жағдайда оған басқаруды береді.
Екінші және ең көп тараған вирустардан қорғау құралдарына фаги-бағдарламалар жатады,олар жұқтырған бағдарламадан вирусты қыршып алып,бағдарламаны бастапқыға жақын қалыпқа келтіреді. Қыршып алу амалы ылғи ойдағыдай болмайды.Фаги резиденттік болуы мүмкін,бірақ резиденттік фагилардың едәуір көлемді болуынан сирек кездеседі.
Антивирустық бағдарламалардың үшінші түріне іске қосылған бағдарламалардың күдікті іс-қимылын бақылайтын және оларды үнсіз немесе пайдаланушыға хабар жіберіп бұғаттайтын резиденттік бағдарламалар жатады.Мұндай бағдарламаларды қарауылшылар деп атайды.
Төртінші түрі тексеруші-бағдарламалар,олар файлдардың бақылау сомаларын және басқа параметрлерін есептеп,оларды эталондармен салыстыралы.Соңғылар әдетте,жеке файлда сақталады.Бақылаудың бұл түрі ең сенімді болып табылады,өйткені жедел жадта резиденттік компьютерлік вирус жоқ болса,өзгерісті тудырған себептерге байланыссыз бағдарламаның барлық өзгерістерін анықтауға мүмкіндік береді.Бағдарламаның басқа түрлері тәрізді тексерушілер де резиденттік болуы мүмкін.Соңғылар жадқа бағдарламаны жүктейді,оның бақылау сомасын есептейді,егер ол файлдың арнайы өрісінде немесе осы файл каталогы элементінде жазылғанмен түйіссе,онда оған басқаруды береді.
Соңында,антивирустық бағдарламалардың ең өткір түріне вакциналаржатады.Табиғи вакциналар тәрізді вирустың қызмет істеу ортасын өзгертеді,осыдан ол көбею қабілеттілігінен айырылады.Вакциналар белсенді немесе енжар болуы мүмкін.Енжар вакцина дестелік (пакеттік) бағдарлама болып табылады,ол бір шақыруда файлды немесе дискідегі не каталогтағы барлық файлдарды арнайы жолмен өңдейді.Әдетте мұндай өңдеуде вирус жұқтырған бағдарламадан сау бағдарламаны айыратын белгі қойылады.Кейбір вирустар жұқтырған файлдардың соңына қосымша жол жазады.Егер жасанды түрде барлық бағдарламалардың соңына осы жолды қосып жазсақ,онда мұндай бағдарламалар вирус жұқтырмайды,өйткені ол оған әлдеқашан жұққан деп есептейді.Осылай өңделген бағдарлама бұл вирусқа қарсы вакциналанған болып табылады.Басқа вирустар жұқтырған бағдарламаның өріс мезгіліне 62 секунд мәнән қояды.Вакцина бұл белгіні барлық орындалатын бағдарламаларға қоя алады,соның нәтижесінде олар вирустың бұл түрін жұқтырудан қорғалады.
Белсенді вакциналар,іс-қимылы,вирустың жедел жадтың ішінде болу еліктемесіне негізделген резиденттік бағдарламалар болып табылады. Сондықтан, олар әдетте,резиденттік вирустарға қарсы қолданылады.Егер мұндай вакцина жадта болса,онда жұқтырған бағдарлама іске қосылғанда вирус оның көшірмесінің жедел жадта барлығын тексереді,вакцина,көшірме бар тәрізді етіп көрсетеді.Бұл жағдайда вирус бағдарламаға басқаруды береді,оның инсталляциясы жұмыс істемейді.Қарапайым вакциналар ерекшеленген және ептеп түрленген вирус болып көрінеді.Сондықтан олар фаги-бағдарламаларға қарағанда ,тезірек дайындалуы мүмкін.Өте күрделі вакциналар жедел жадтың ішінде бірнеше вирустың болуына себепші болады.
Әрбір антивирустық бағдарлама нақты аймақтық тәрізді,сондықтан оңтайлы тактика антивирустық құралдардың бірнеше түрлерін кешенді қолдану болып табылады.
Детектор-бағдарламалар тек бұрыннан белгілі вирус түрлерінен ғана қорғай алады, жаңа вирусқа дәрменсіз боп келеді.Детектор-бағдарламалар жедел жадтан және файлдардан нақты вирустарға тән сигнатураны іздейді және табылса,тиісті хабар береді.Мұндай антивирустық бағдарламалардың кемшілігі осындай бағдарламаны жасаушыларға танымал вирустар ғана табылады.
Доктор-бағдарламалар немесе фагилар ,сонымен қатар вакцин-бағдарламалар вирустар жұққан файлдарды тауып қана қоймай,оларды емдейді,яғни файлдан вирус-бағдарлама денесін жояды,тек содан кейін файлдарды емдеуге ауысады.Фагилардың арасында полифагилар бөлектенеді,яғни доктор-бағдарламалар үлкен мөлшердегі вирустарды іздеуге және жоюға арналады.
Тексеруші-бағдарламалар вирустардан қорғау құралдарының ең сенімдісіне жатады.Тексерушілер компьютер вирусты жұқтырмаған кездегі бағдарламалардың,каталогтардың және дискінің жүйелік аймақтарының бастапқы жағдайын есіне сақтайды,мезгіл-мезгіл немесе пайдаланушының еркіне қарай ағымдағы жағдайды бастапқымен салыстырады.Байқалған өзгерістер монитор экранына шығарылады. Әдетте,жағдайларды салыстыру бірден амалдық жүйе тиелісімен жүргізіледі.Салыстыру кезінде файлдық ұзындығы,циклдік бақылау коды(файлдың бақылау сомасы),жетілдіру датасы мен уақыты,басқа параметрлер тексеріліеді.
Сүзгі-бағдарламалар компьютерлік жедел жадына тұрақты орналасып, вирустардың зиянды әрекеттеріне әкелетін операцияны ұстап алып, бұл туралы жұмыс істеп отырған адамға дер кезінде хабарлап отырады.
Вакцина-бағдарламалар компьютердегі программалар жұмысына әсер етпей, оларды вирус жұққан сияқты етіп модифмкациялайды да, вирус әсерінен сақтайды, бірақ бұл программаларды пайдалану тиімді емес.
1.3 Ақпарат қорғау жүйесін жобалау негіздері
Ақпараттық қауіпсіздік - мемлекеттік ақпараттық ресурстардың, сондай-ақ саласында жеке адамның қүқықтары мен мүдделері қорғалуының жай-күйі .
Ақпаратты қорғау - ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін алудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезі қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, бағдарламалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режімін қалыптастыру кешендік мәселе болып табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, бағдарламалық, техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың, техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз қол жеткізуге тиісті өкілеттігі бар субъектілердің оған қол жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпарттың бұзудан және заңсыз өзгертуден қорғанылуы. Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет жасайтын үрдістер ғана ақпаратты оқу, жазу құрастыру және жою құқығына ие бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету үшін жеткілікті аппаратық және бағдарламалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшеме бойынша бағаланады: қауіпсіздік саясаты және кепілділік.
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін, қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен істей алатынын көрсетеді. Қауіпсіздік саясатын құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет шаралар кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілділік - жүйенің сәулетіне және жүзеге асырылуына көрсетілетін сенім өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған, белсенсіз сыңары деп сипаттауға болады. Кепілділіктің екі түрі болады: операциялық және технологиялық. Біріншісі жүйенің архитектурасы және жүзеге асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздік қамтамасыз етудің маңызы құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу - жүргізу тексерумен (аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік саясатты жүзеге асыруға жауапты қоршаған тетіктерінің жиынтығы. Компьютерлік жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының міндетін орындау, яғни, объектілерімен белгілі бір операциялар орындау болатындығын бақылау.
Қатынасым мониторы - пайдаланушынына бағдарламаларға немесе деректерге әрбір қатынасының мүмкін болатын іс-әрекеттер тізімімен келісімді екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы талап етіледі:
- оңашаланғандық. Монитор өзінің жұмысы кезінде оны аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде онда орай өтуге мүмкіндік болмау керек;
- сенгіштік. Мониторды талдау және тестілеуге мүмкін болу үшін ол жинақы болуы керек.
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы. Қауіпсіздік өзегі барлық қорғаныш тетіктерінің құрылу негізі болып табылады. Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік өзегі өзінің өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның ішіндегісі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі әлемдер арасындағы байланыс ретқақпа (gateway) арқылы жүзеге асырылады. Бұл ретқақпа сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілеті бар деп саналады.
Объектінің ақпараттық қауіпсіздігін қамтамасыз етуге арналған жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды түгендеу, қатерлі талдау, қорғаныш жоспарын құрастыру және қорғаныш жоспарын жүзеге асыру. Осы аталған кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезеңі. Бұл кезең барлық келесі шаралардың ұйымдастырушылық негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске қатысушылардың өзара қарым - қатанастарын анықтау үшін қажет. Даярлық кезеңде ақпарат қорғау жүйесінің атқаратын міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық ағындар, автоматтандырылған жүйелердің құрылымы, серверлер, хабар тасушылары, деректер өңдеу және сақтау тәсілдері жайында мәлімет жиналады. Түгендеу аяқталған соң олардың осалдылығына талдау жасалынады.
Қатерлі талдау. Келесі шаралардың нәтижелігі ақпараттық қорлардың қорғанылу күй-жағдайының қаншалықты толық және дұрыс талдануына тәуелді болады. Қатерлі талдау мыналардан түрады: талданатын объектілерді және оларды қарастырудың нақтылану дәрежесін таңдау; қатерлі бағалау әдіснамасын таңдау; қауіптерді және олардың салдарын талдау; қатерлі бағалау; қорғаныш шараларын таңдау; таңдап алынған шараларды жүзеге асыру және тексеру; қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін қорғаныш шаралары мен құралдары қажет. Қауіптерді талдау, біріншеден, мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және екіншіден, келтірілетін болашақ зиянды болжау-бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп-қатер тізбесі және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең әсерлі шаралары мен құралдарын таңдап алуға, сондай-ақ, оларды жүзеге асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген талдаудың нәтижесінде анықталған қатерлерді бейтараптау үшін қорғаныштың тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функциональдық сұлбасын әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері анықталады және нақты объектінің ерекшіліктерін ескере отырып жүйеге қойылатын талаптар талқыланады. Жоспарға мынадай құжаттар қосылады: қауіпсіздік саясаты; ақпарат қорғау құралдарының объектіде орналасуы; қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың сметасы; ақпарат қорғаудың ұйымдастырушылық және техникалық шараларын жүзеге асырудың күнтізбелік жоспары.
1.4 Қауіпсіздік саясаты және негізгі элементтері
Қауіпсіздік саясаты (ұйымдастыру тұрғысынан қарағанда) есептеу және қатынас қорларын пайдалану тәсілін, сондай-ақ, қауіпсіздік режімін бұзудың алдын ала және мән беру (жауап қайтару) процедураларын дұрыс анықтайды.
Қауіпсіздік саясатының қалыптастыру іс-әрекетін келесі кезеңдер түрінде қарастыруға болады:
Ұйымдастыру мәселелерін шешу. бұл кезеңде ақпараттық қауіпсіздік қызметі (АҚҚ) құрылады, ақпараттық қауіпсіздік тұрғысынан қарағанда пайдаланушылардың санаттары, пайдаланушылардың барлық санаттарының жауаптылық деңгейлері, құқықты және міндеттері аңықталады.
Қатерге талдау жасау. Қатерді талдау үрдісі нені қорғау керек, неден қорғау керек және қалай қорғау (істеу) керек деген сияқты сұрақтардың жауабын анықтайды. Мүмкін болатын қатерлердің бәрін қарастырып шығу керек және оларды келтіретін зиянының ықтимал мөлшеріне байланысты жіктеу қажет. Қорғанышқа жұмсалатын қаржы қорғанылатын объектінің құнынан аспауға тиісті.
Жеңілдектерді анықтау. Қорларды пайдалану құқықтары, қорларды қолдану ережелері, әкімшілік жеңілдіктер, пайдаланушылардың құқықтары мен міндеттері, жүйелік әкімшілердің құқықтар мен міндеттері, жасырын ақпаратпен жұмыс істеу тәртіптері және т.б. анықталады.
Қауіпсіздік саясатының бұзылуына жауап қайтару шараларын анықтау. Қауіпсіздік режімі бұзушыларды табуға және жауапкершілікке тартуға бағытталған әрекеттер, сонымен қатар, ақпаратты бұрынғы қалпына келтіру және бұзулардың зардаптарын жою шаралары анықталады.
Ұйымдастыру -әкімгерлік құжаттарды дайындау. Қауіпсіздік саясатының негізгі жайлары әр түрлі нұсқауларда, қағидаларда, ережелерде және өкімдерде келтіріледі.
Қауіпсіздік саясаты ақпарат қорғау жүйесінің қауіп-қатерлерге қарсы әрекет жасауға бағытталған құқықтық нормалардың, ұйымдастырушылқ шаралардың, бағдарламалық-техникалық құралдар және процедуралық шешімдер кешенінің жиынтығын анықтайды.
Ақпарат қауіпсіздігінің жоғарғы дәрежесіне қол жету тек тиісті ұйымдастыру шараларын қолдану негізінде ғана мүмкін болады. Ұйымдастырушылық шаралар кешенінің құрамына ақпараттық қауіпсіздік қызметін құру, жасақтау және оның іс-әрекеттерінің қолдану, ұйымдастыру- әкімгерлік құжаттар жүйесін дайындау жұмыстары, сондай-ақ, қорғаныш жүйесін құруға және оның жұмысын сүйемелдеуге арналған бірқатар ұйымдастырушылық және ұйымдастыру-техникалық шаралар кіреді.
Ұйымдастырушылық және ұйымдастыру-техникалық шаралар жүргізу ақпараттың сыртқа кететін жаңа арналарын дер кезінде табуға, оларды бейтараптандыру шараларын қолдануға, қорғаныш жүйелерін толық жетілдіруге және қауіпсіздік режімін бұзу әрекеттеріне жедел қарсы шара қолдануға мүмкіндік береді. Қатерге талдау жүргізу қауіпсіздік саясатын қалыптастырудың негізгі кезеңі болып табылады.
Ұйымдастыру мәселері шешілгеннен кейін бағдарламалық-техникалық проблемалардың кезегі келеді - таңдалған қауіпсіздік саясатын іске асыру үшін не істеу керек? Қазіргі уақытта құны, атқаратын міндеті және сапасы жағынан әртүрлі болатын ақпарат қорғау құралдарының көптеген түрі бар. Олардың
ішінен нақты объектінің ерекшелігіне сай келетінін таңдап алу күрделі мәселелердің бірі болып саналады.
Қауіпсіздік саясаты мынадай элементтерден тұрады: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Қатынас құруды ерікті басқару - жеке субъект немесе құрамына осы субъект кіретін топтың тұлғасын ескеру негізінде жасалған объектілерге қатынас құруды шектеу. Ерікті басқару - белгілі бір тұлға (әдетте, объектінің иесі) өзінің қарауынша басқа субъектілерге өзінің шешімі бойынша объектіге қатынас құру құқығын бере алады (немесе алып тастайды).
Қатынас құрудың ағымдағы жағдайы ерікті басқару кезінде матрица түрінде көрсетілді. Қатарларында - субъектілер, бағандарында - объектілер, ал матрицаның түйіндерінде қатынас құру құқығының құру (оқу, жазу, орындау және т.б.) кодасы көрсетіледі.
Операциялық жүйелердің және дерекқор жүйелерінің көпшілігі осы ерікті басқаруды жүзеге асырады. Оның негізгі жағымдағы - икемділігі, ал негізгі кемшіліктері - басқарудың бытыраңқылығы және орталықтандырылған тексерудің күрделігі, сондай-ақ, қатынас құру құқығының деректерден бөлек қарастырылуы (қаскүнемдер осыны пайдалана отырып құпия ақпараттарды жалпы қол жеткізерлік файлдарға көшіріп алуы мүмкін) [12].
Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия ақпаратты кездейсоқ немесе әдейі шығарып алудан сақтайтын қатынас құруды басқаратын құралдардың маңызды қосымшасы болып табылады.Объектілерді қайтадан пайдаланудың мүмкін болатын 3 қаупі мыналар: жедел жадыны қолдану. сыртқы сақтау құрылғыларын қайтадан пайдалану және ақпарат енгізушығару құрылғыларын қайтадан пайдалану.
Қорғаныш тәсілдерінің бірі - құпия ақпаратпен жұмыс істегеннен кейін жедел жадыны немесе аралық жадыны тазалау. Жақсы әдіс деп тегерішті (дискіні) нығыздау программаларын қолдануды да санауға болады.
Мәселен, принтердің аралық жадында (арашықта) құжаттың бірнеше беті сақталып қалуы мүмкін. Олар басу үрдісі аяқталған соң да жадыда қалып қояды. Сондықтан оларды арашықтан шығарып тастау үшін арнаулы шаралар қолдану қажет. Әдетте кездейсоқ биттер тізбегін үш дүркін қайталап жазу жеткілікті болады.
"Субъектілерді қайтадан пайдаланудың қауіпсіздігі" жайында да қамдану керек. Пайдаланушы ұйымнан кеткен кезде оны жүйеге кіру мүмкіншіліктерінен айыру және барлық объектілерге оның қатынас құруына тиым салу керек.
Қауіпсіздік тамғасы. Қатынас құрудың мәжбүрлі басқаруы кезінде субъектілер және объектілер қауіпсіздік тамғасы арқылы байланысады. Субъектінің тамғасы оның шүбәсіздігін сипаттайды. Объектінің тамғасы оның ішіндегі сақталатын ақпараттың жабықтық деңгейін көрсетеді.
Қауіпсіздік таңбасы екі бөліктен тұрады: құпиялық деңгейі (дәрежесі) және категориялар (санаттар).
Құпиялылық деңгейі реттелген жиынтық құрайды және әр түрлі жүйелерде құпиялық деңгейлер жиынтығы әр түрлі болуы мүмкін. Қазақстан Республикасының заңнамасында мемлекеттік құпия құрайтын мәліметтердің үш құпиялылық дәрежесі тағайындалған және осы дәрежелерге сәйкес аталған мәліметтердің тасуыштарына мынадай құпиялық белгілері берілген: " аса маңызды", "өте құпия" және "құпия", ал қызметтік құпия құрайтын мәліметтерге "құпия" деген құпиялық белгісі беріледі.
Санаттар реттелмеген жиынтық құрайды. Олардың міндеті - деректер жататын аймақтың тақырыбын сипаттау.
Қауіпсіздік таңбалардың тұтастығын қамтамасыз ету оларға байланысты негізгі проблемалардың біреуі болып табылады. Біріншіден, тамғаланбаған субъектілер мен объектілер болмау керек. Әйтпесе тамғалық қауіпсіздікте саңылаулар пайда болады және қаскүнем осы жағдайды пайдаланып қорғанылатын ақпаратқа заңсыз қол жеткізуі мүмкін. Екіншіден, қорғанылатын деректермен қандай да болмасын операция орындалмасын, қаупсіздік тамғалары өзгермей қалуы керек.
Қауіпсіздік тамғаларының тұтастығын қамтамасыз етуші құралдардың біреуі - құрылғыларды көпдеңгейлік және бір деңгейлік деп бөлу. Көпдеңгейлік құрылғыларда әр түрлі құпиялық деңгейлі ақпарат, ал бірдеңгейлік құрылғыларда тек бір құпиялық деңгейі бар ақпарат сақталады[15].
Қатынас құруды мәжбүрлі басқару. Қатынас құруды мәжбүрлі басқару деп атаудың себебі - қатынас құру мүмкіндігі субъектінің ерігіне тәуелді емес. Мұндай басқару субъектінің және объектінің қауіпсіздік тамғаларын салыстыру негізінде жүргізіледі.
Егер субъектінің құпиялық деңгейі объектінің құпиялық деңгейінен кем болмаса, ал объектінің қауіпсіздік тамғасында көрсетілген барлық санаттар субъектінің тамғасында болса, (яғни, осындай екі шарт орындалған болса), онда субъект объектіден кез келген ақпаратты оқи алады. Мысалы, "өте құпия" субъект "өте құпия" және "құпия" файлдарды оқи алады. Бұл жағдайда "субъектінің қауіпсіздік тамғасы объектінің қауіпсіздік тамғасынан басым" деп айтады.
1.5 Ақпараттық қауіпсіздіктің жақсарту жолдары
Қазіргі таңдағы жағдайларда ақпараттық процестердің рөлі автоматтандыруға арналған өндірісте, сонымен қатар қазіргі таңдағы автоматтандыру құралдарына дәстүрлі ақпараттық құралдарды қолданатын рухани саланы айтамыз. Кейінгі онжылдықтағы техникалық және ғылымдық жаңарулар ақпараттың әртүрлі құрылымдарын терең әрі жалпы түрде қарауға байланысты болып отыр.
Ақпарат кез келген саладағы негізгі ресурсқа айналып отыр, сонымен бірге кез келген басқа ресурстар секілді қорғанысқа, өзінің сақталуын, бүтіндігін және қауіпсіздігін қамтамасыз етуге зәру.
Ақпараттық технологиялардың дамуына, олардың адамзат өмірінде барлық салада қолданылуына байлпнысты, ақпараттық технологиялар қауіпсіздігі мәселесі жылдан жылға негізгі және күрделірек болып бара жатыр. Ақпараттарды өңдеу технологиясы үздіксіз дамуда, сонымен қатар ақпараттық қауіпсіздікті қамсыздандырудың тәжірибелік әдістері де өзгеруде.
Ақиқатында қорғаныстың әмбебап әдістері әлі жасалмаған, көп жағдайда нағыз жүйелер үшін қауіпсіздік механизмдерін құрудағы сәттіліктері рәсімдеуге жатпайтын олардың өзіндік ерекшеліктеріне байланысты. Сондықтан да көп жағдайда ақпараттық қауіпсіздікті ақпаратты қорғау жүйесінің сол немесе басқа типін құрудағы рәсімделмеген тұжырымдардың жиынтығы деп те атайды.
Қазіргі кезде ірі банктерді, өндірістік және сауда кәсіпорындарды, транспорттық ұйымдарды және құқық қорғау органдарын сәйкес мәліметтер базасынсыз және жоғары өндірісті есептеуіш техникасынсыз елестету мүмкін емес.
Ақпараттандыру қазіргі таңдағы қоғамның сипатты белгісі болып табылады.
Жаңа ақпараттық технологиялар халық шаруашылығы саласында да қолданыс тауып отыр. Компьютерлер ғарыштық кемелер мен ұшақтарды басқарады, атом электр станцияларының жұмыстарын бақылайды, электр энергиясын таратады және банктік жүйеде қызмет етеді. Компьютерлер ақпаратты өңдеудегі көптеген автоматтандырылған жүйелердің негізі болып табылады. Олар ақпараттарды сақтайды, өңдейді және қазіргі ақпараттық технологияларды жасай отырып ақпараттарды қолданушыға жеткізеді. Ақпараттарды өңдеу процесін автоматтандырудың әдістері мен формаларының дамуы мен күрделенуінен қоғамның ақпараттық технологияларды қолданудағы қауіпсіздік деңгейінің тәуелсіздігі артуда.
Ақпараттық технологиялар қауіпсіздігін қамтамасыз етудегі мәселелердің өзектілігі мен маңыздылығы мына себептерге шартталған:
- қазіргі компьютерлердің пайдалануын жеңілдетумен қатар, есептеуіш қуатының бірден жоғарылауы;
- компьютерлердің және автоматтандырудың басқа да құралдары көмегімен өңделетін, сақталатын және жинақталатын ақпарат көлемдерінің бірден жоғарылауы;
- әр түрлі саладағы және әр түрлі қажеттердегі ақпараттың мәліметтер базасын бір жүйеге келтіру;
- қоғамның әр түрлі салаларында пайдаланатын дербес компьютер жиынтығы дамуының жоғары темптері;
- есептеуіш ресурстарға және мәліметтер массивіне тікелей қолжетімділігі бар қолданушылар аясының тез өсуі;
- қауіпсіздіктің минималды талаптарын қанағаттандыра алмайтын бағдарламалық құралдардың қарыштап дамуы;
-желілік технологиялардың бар жерде таралуы және жергілікті желілердің жаһандық желілерге біріктірілуі;
- барлық әлемде ақпаратты өңдеу жүйесіні қауіпсіздігінің бұзылуына жол бермейтін Интернет жаһандық желісінің дамуы.
Жағдайды ақпараттық қауіпсіздік тұрғысынан қарасақ. Ақпараттық қауіпсіздік ұғымының барлық тәсілдерінде кездесетін төрт жиынтықты атап өтсек:
1. Субъектке қоғамда өзінің құқықтары мен міндеттерін жүзеге асыруға көмектесетін жеткілікті түрде толық және дұрыс ақпараттарға қолжетімділігін қамтамасыз ету;
2.Субъектті деструктивті ақпараттық әсерлерден қорғау;
3. Ақпараттарды субъектке тиесілі рұқсат етілмеген әрекеттерден қорғау;
4.Келеңсіз әрекеттерден субъект топтарының ақпараттық инфрақұрылымдарын қорғау;
Алғашқы үш құраушы білім қауіпсіздігіне қатысты, яғни қоғалып отырған объекттің әсерлеріне байланысты.
Ақпараттық шабуылдардың негізгі себебіне әрқашан ақпараттық әсерлер болып табылады, яғни субъект былай қабылдайды - шабуылшы жақ ақпаратты рұқсат етілмеген әрекетпен алуға тырысса немесе шабуыл обьектісі дезинформация жағдайында әрекет жасаса, ақпарат бұрмаланса және алдандыратын ақпарат енгізілген жағдайлар.
Сонымен бірге заңды тәжірибе жүзінде, техникалық өңдеу барысында қолданылатын тура қадағалау кезінде хабарламалық ақпарат пен субъекттердің физикалық әрекеттері ғана қолжетімді болады.
Мысалы, қорғаныс объектісі ретінде физикалық объект секілді нақты құжат болуы мүмкін, қарсылықты іс-әрекеттер мақсатына - шабуыл моделін болжайтын және ешқашан әрекет ақпаратын ала алмайтын немесе енгізе алмайтын шабуылшы субъекттің нақты физикалық әрекеттері жатады.
Осылайша, ақпараттық қауіпсіздікті қамтамасыз ететін жүйелік міндеттердің, бір жағынан техникалық, заңды және басқа ішкі жүйелердің нақты міндеттері болады, ал екінші жағынан бұйымның әр-түрлі іс-әрекеттері болады. Объекттің ақпараттық қауіпсіздігін қамтамасыз ететін жүйені рәсімдеу процесі - әдетте, құжат қалпындағы ақпараттардың өзара байланысы немесе техникалық жүйенің сигналдар сияқты, рәсімделген ақпараттармен байланысы бар міндеттер қатарының шешілуін талап етеді. Бұл жағдайда ақпараттың математикалық теория әдістерін қолданған дұрыс және бұл жағдайда ақпараттың өзара әрекеттесу деңгейінде жүйенің қорғаныстығын сипаттайтын параметрлердің нақты мәндерін есептеуге болады. Бірақ, қорғанысқа толық баға бермес бұрын бұл параметрлерді ақпарат әсеріне тікелей қолжеткізуге жол бермес үшін қойылатын бағалармен салыстыруға тура келеді.
2 ЖОБАЛАУДЫ ЖОСПАРЛАУ БӨЛІМІ
2.1 Web қосымшаларын құру орталары
Web-қосымша бұл дүниенің кішкентай моделі. Бұрынғы кезде Web-сайты бір адам - Web-мастер жасаған болса, қазіргі кезде Web-сайттарды бірнеше адам жасайды. Олар Web-дизайнер, программист, бизнес-кеңесші, маркетинг бойынша басқарушы, менеджер.
Дүниежүзілік қазіргі заманғы процестердің негізгі ерекшелігі жаңа ақпараттық технологияны қолданудың экспоненциалды түрде өсуі болып табылады. Бұл процестегі маңызды ролді интернет ауқымды компьютерлік желісі алады.
Интернеттің ең негізгі қызметтерінің бірі - гипертекстілік құжаттарды жеткізу үшін қолданылатын WWW - қызметі (word Wide Web - дүниежүзілік өрмек) болып табылады. Интернеттің негізгі технологиялық бағыттарының бірі - www - мен тікелей жұмыс жүргізілетін, "веб - қосымша" атауына ие болған, программалардың ерекше классы болып табылады. Веб - қосымша клиенттік программалық қамсыздандыру ретінде веб-броузерді қолданатын, ал сервер ролінде веб - сервердің шығатынын білдіретін "клиент - сервер" жүйелер класына жатады.
Веб-қосымшаларды әзірлеу кезінде белгілі бір қиындықтармен соқтығысады:
Веб - қосымша интернет пен www-дың стандарты мен хаттамаларына сүйенуге міндетті. Олардың көбісі ескірген және функционалдық қосымшалардың талаптарын қанағаттандырмайды;
Веб - қосымшаның тұтынушылық интерфейсі ерекше қуаттылығы мен міндеттілігі бойынша қарапайым тұтынушылық графикалық интерфейсіне жол беретін интерфейсті түріндегі формасы бар;
Тарихи жағынан қарағанда веб - қосымша өзің әзірлей кезінде қолданылатын тәсілдер мен аз және орташа көлемді жүйелерден пайда болады.
Ақпараттық жобаларды іске асыру табыстылығына әсер ететін ең басты факторлардың бірі - әзірлеу кезінде қолданылған әдістеме болып табылады. Қазіргі заманғы көптеген тәсілдерде аз және орташа көлемді веб - қосымшалар спецификасы есепке алынбайды.
Осыған байланысты масштабта (үлкен көлемді) веб - қосымшаларды құру үшін тәсілдер мен моделдерді әзірлеу зерттеудің актуальды бағыты болып табылады.
ХХ ғасырдың соңғы жағында қауым глобальды желілік технологияның және Интернет желісінің таратылуының пайда болуымен байланысты ақпараттық революцияны басынан өткізді.
Интернет дамуының ең негізгі факторы болып глобальды ақпараттық ортада бірінен - біріне берілетін құжаттар санын біріктірген HTML гипермәтіндік тіл арқасында WWW (world wide web - бүкіләлемдік өрмек) инфрақұрылымының құрылуы негізгі роль атқарады.
Бүкіл әлемдік өрмекші басында сілтемелермен байланысқан статикалық гипермәтіндік құжаттардан құралған болатын.
Веб дамуының келесі қадамы болып бұл құжаттар қолданушылардың қозғалысына әсер ететін динамикалық түрде генерациялау түсінігі қалыптасты.
Әрі қарай бүкіл әлемдік өрмекші интерактивті қосымшалар үшін орта болып қалыптаса бастады. Бұл электронды коммерцияның дамуы үшін жөнелту нүктесі болып 90 жылдардың соңында қызмет жасады. Бүкіл әлемдік өрмек келісімімен Интернет желісінде жұмыс жасалатын стандарттарға сәйкес интерактивті қосымшалар веб-қосымшалары атауына ие болды. Веб-қосымшаларына мысал ретінде интернет-магазиндер, электронды хабарландыру тақталары және форумдарды, құжаттарды басқару жүйелерін жәнее т.б. жүйелерді айтуға болады.
Веб - жүйелер мен қазіргі заманғы тәсілдердің, оларды жүзеге асырудағы негізгі көптеген веб - қосымшаларды орташа немесе көлемді жобалар классына жатқызуға болады. Оларды жүзеге асыру кезінде жоғары еңбек көлемділігімен сипатталатын және аз тиімді болып табылатын шағын жобалар үшін жасалған сол тәсілдер пайдаланылады.
Әзірлеу кезіндегі ең танымал тәсілдердің бірі гипертекстіні алдын-ала өңдеу немесе препрцессингті қолдану болып табылады. Серверде сақталатын құжаттардағы осы тәсілдерге сәйкес белгілі бір программалау тілінің арнайы нұсқауы енгізіледі. Сұранысты өңдеу кезінде сервер құжатың мәтінін оның орындалған нәтижесіне алмастыра отырып, енгізілген нұсқауларды орындайды. Өңделген құжат клиентке жіберіледі. Гипертекстілік препроцессингтің негізгі технологиясы - қазіргі уақытта веб - серверлерде қолданылатындардың 80 пайызына қолдау көрсететін, кең таралған PHP (ағылшыннан аударғанда nypertext preprocessor - гипертексті прероцессоры дегенді білдіретін) технологиясы болып табылады. Көлемді және ірі көлемді жобаларда РНР - ді қолдану белгілі бір қиындықтармен байланысты. Мысалы, РНР күрделі қосымшалардың функционалдылығын декомпозициялау үшін жеткілікті құралдармен қамтылмаған, онда жобалаудың қазіргі заманғы тәсілдерін пайдалануды мүмкін емес ететін объектілі абстракцияның қолайлы деңгейі ұсынылмаған. Сонымен қатар, құжат мәніне нұсқауды енгізу үлкен жобалар үшін тиімді қосымшаны белгілеу деңгейі мен оның функционалдығының арасындағы деңгейінің жоғарылауына алып келеді.
Басқа да танымал тәсілдерінің қатарына қосымшаның жағдайын бейнелеу және өзгерту үшін шаблондардың арнайы тілін пайдалануға негізделген шаблондық технологияларды қолдану жатады. Шаблондық технологияларға JSP, Turbine, Velocity секілді әзірленімдер жатады. Көлемді және ірі көлемді қосымшаларды әзірлеу кезінде шаблондық технологияны қолданудағы негізгі кемшілігі - веб - қосымшаның функционалдылығын модульдік ұйымдастыру және декомпозициялаудың құралдары қосылмағандығында.
Веб - қосымшаны жүзеге асырудың тағы бір тәсілі - CGI, NSAPI, ISAPI, Java Servlet Technology секілді белгілі бір интерфейске сәйкес құрылатын серверлік модульдерді қолдану болып табылады. Бұл спецификациялар веб - қосымшаның программалық бөлігі мен веб - сервер арасындағы мәліметтер алмасу протоколдарымен анықталады, бірақ та функционалдылықты модульдік ұйымдастыруда оларға көңіл бөлінбейді.
Веб - қосымша интерактивтік қосымша болғандықтан, онда Smalltalk тілдін ортасында жүзеге асырылатын тұтынушылық жүйе үшін Поупа мен Краснердің 80-ші жылдардың аяғында әзірленген Модель - Вид - Контроллер (МВК - MVC, ағымы Model - View - Controller) парадигмасы жиі қолданылады.
МВК парадигмасына сәйкес веб - қосымшаны тұрғызу веб - жүйелерді әзірлеудегі еңбек өнімділігі көп мөлшерде азаяды. Бірақ та берілген архитектура Модельдер, Контроллер мен Вид модульдерін жасаумен байланысты мәселерді шешпейді. Шешуші мәнге декомпозицияның үш бөлімінің әр қайсысы бөлек орналасқан архитектурасы ие.
Модель - Вид - Контроллер парадигмасына негізделген веб - қосымшаны әзірлеудің ең танымал тәсілдерің бірі - стратс (ағылшыннан strut - тіреуіш) архитектурасы болып табылады. Стратс веб - қосымшасы МВК-ға сәйкес тұрғызылады, осыдан олардың әрбір бөлігі әске асыру бойынша арнайы құралдар ұсынылады. Бүгінгі күні стратс веб - қосымшаларды құрудың ең дамыған әдістемесінің бірі болып табылады. Сондай-ақ, бұл архитектураның да өзінің бір қатар кемшіліктері бар:
# әзірленіп тұтынушылық интерфейске қатаң байланысты контроллерді құруда фокусталады. Тұтынушының интерфейсті өзгерту үшін контроллер шығарып салу этапында еңбек өнімділігін жоғарлататын қайта өңдеуді талап етеді. Сонымен қатар, берілген тәсілді белгілі бір сызба бойынша тұтынушылық интерфейс динамикалық түрде реттелетін жағдайда қолдану қте күрделі;
# Қосымша функционалдығын декомпозициялаудың алдын-ала өңделген құралдарының болмауы. Стратстағы әзірленімнің басты бағыты контроллерді құру болып табылады, бұл уақытта модельдер секілді арнайы көңіл бөлінбейді.
Осыған байланысты берілген жұмыста көрсетілген кемшіліктерді болдырмауға бағытталған тәсіл ұсынылады және негізделеді.
Клиент - серверлік коммуникацияға лингвистикалық тәсіл мен компоненттік модельдерді қолданумен тұрғызылған веб - қосымшаның жалпы архитектурасы әзірленеді. Веб - қосымша белгілі бір жай-күйді қамтитын, клиенттік сұраныстарды қабылдайтын және де әсер ету ретінде оларға серверлік жауаптар жіберетін "қара жәшік" ретінде қарастырылады. Веб - қосымшаның контроллері НТТР протоколына сәйкес рәсімделген сұраныс түрінде тұтынушының енгізілетіндерін қабылдайды және де алынған мәліметтер негізінде қосымшаның жағдайын өзгертеді.
Веб - қосымша моделі - бұл қосымшаның жағдайын сақтауға жауап беретін мәліметтер, тәсілдер мен объектілері жиынтығы. Веб - қосымшаның түрі - бұл гипертекстілік құжат формасында оның жағдайын бейнелеу процедурасы.
Веб - қосымшаның элементтерін іске асыру көзқарасында еңбектілікті талдау кезінде құралдағылардың бірі ретінде масштабты веб - қосымшалардың модельдерін жасау ерекшеленеді. Веб - қосымшалар үшін алғашқы техникалық тапсырмалар тіркеліп жобаны іске асыру барысында толықтырылатын, жобалық талаптардың өзгеру динамикасының жоғарылауы шартты болып табылады. Маңызды факторлардың бірі ретінде ақпараттық жобалардың экономикалық тиімділігіне кері әсерін тигізетін кодты қайталай қолдану мүмкіндігі болып табылады. Қосымша көлемінің өсуімен қатар тұтынушылық интерфейсте бақылайтын элементтердің санының да өсуі жүреді, оларды қолдану комбинациясы мен модельдің жағдайын өзгерту бойынша нұсқаулар саны, тұтынушының енгізіледі өңдеу процедуралары күрделілене түседі.
Қосымшаның функционалдығының күрделілігін арттыру сондай-ақ презентация деңгейінде байқалады. Веб - қосымшаның тұтынушылық интерфейстің қолдану жеңілдігі мен функционалдығы, сыртқы түріне жоғары талап қойылатындықтан, модель немесе контроллермен салыстырғанда бейнелеу деңгейі түзетудің көп мөлшерін басынан өткізеді.
Масштабты веб - қосымшаның модельдерін әзірлеудегі еңбек өнімділігін төмендету үшін компоненттік архитектураны, программалаудағы жинақталған және аспектіге бейімделген тәсілдерін қолдануды ұсынады. Тәуелсіз компоненттерден веб - қосымшаны жинау модельдеуді ықшамдайды, ал аспект түрінде қосымшаның бөлек модельдерінің жалпы функционалдығын рәсімдеу оларды әзірлеу бойынша күш - қуатты төмендетеді. Компонентті архитектураны қолдану кодты қайта қолдану пайызын жоғарылатуға, сондай-ақ жүйенің кеңейтілімділігі мен көлемділігі мәселелерін шешуге мүмкіндік береді.
Веб - қосымшаның бақылаушыларын әзірлеудегі еңбек өнімділігін төмендету үшін клиент - серверлік коммуникацияның лингвистикалық тәсілін қолдану ұсынылады. Веб - қосымша бақылаушыларының талдауы қосымшаның жағдайы өзгеруі бойынша модельдер нұсқауында клиенттік сұраныстың көптеген параметрлерін бейнелеу негізгі тапсырмаларының бірі екендігі туралы шешім шығаруға мүмкіндік береді. Осыған байланысты сұраныс параметрлері атауы әзірлеуші тағайындалатын, ал мәні тұтынушыға хабарланатын жолдың екіліктің (аты, мәні) көптеген түрлері бар. Сұраныстар параметріндегі әрекеттерді сипаттаудың арнайы тілін жасай отырып, интерпретацияланған кодты автоматты түрде тасымалдауға болады.
Веб - қосымшалардағы бейнелеу деңгейін әзірлеудегі еңбек өнімділігін төмендету үлкен дәстүрлі интерактивті программалау тілдерінің орнына құрылымдық жаңартудың декларативті тілдерін қолдану ұсынылады. Тәжірибе жүзінде көрсеткендей бейнелеу деңгейінде арнайы декларативті тілдер өте тиімдісі болып табылады.
Ұсынылған тәсілдер мен Модель - Вид - Контроллер парадигмалары негізінде веб - қосымшаның жалпы архитектура жасалынады (сурет 1). Берілген архитектурада модель аспектілі ортада орындалатын қосымшаның конфигурациясына сәйкес жинақталатын компоненттер жиынтығын білдіреді.
Тұтынушының енгізіледі өңдеуге қосымшаның жағдайының өзгеруі бойынша нұсқауда оларды бейнелей ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Қорғауға жіберілді
Автоматика және ақпараттық технологиялар
кафедрасының меңгерушісі
_________ А.Д. Золотов
______________2021 ж.
ДИПЛОМДЫҚ ЖҰМЫС
Тақырыбы: Мемлекеттік мекемеде антивирустық қорғанысты жаңғырту
5В070300 - Ақпараттық жүйелер мамандығы бойынша
Орындаған Оспанова Ш.Қ.
Ғылыми жетекші, э.ғ.к. Смагулов С.К.
Нормобақылаушы
Семей 2021
МАЗМҰНЫ
КІРІСПЕ
3
1 АҚПАРАТТЫ ҚОРҒАУДЫҢ ТЕОРИЯЛЫҚ НЕГІЗДЕРІ
5
1.2 Компьютерлік вирустардан қорғайтын программалардың жіктелуі
5
1.3 Ақпарат қорғау жүйесін жобалау негіздері
6
1.4 Қауіпсіздік саясаты және негізгі элементтері
9
1.5 Ақпараттық қауіпсіздіктің жақсарту жолдары
12
2 ЖОБАЛАУДЫ ЖОСПАРЛАУ БӨЛІМІ
15
2.1 Web қосымшаларын құру орталары
15
2.2 Жобалаудың программалық ортасын таңдау
23
2.2.1 Интернет жайлы жалпы түсінік
23
2.2.2 Арасне web-серверін орнату
25
3 ВИРУСҚА ҚАРСЫ ҚОРҒАУ ЖҮЙЕСІН ЖАҢҒЫРТУ ЖӘНЕ ТАҒЫЛЫМДАМАДАН ӨТУШІЛЕРГЕ АРНАЛҒАН ЭЛЕКТРОНДЫҚ ОҚУ ҚҰРАЛЫНЫҢ СИПАТТАМАСЫ
33
3.1 Мемлекеттік бюджеттік Денсаулық сақтау мекемесінде вирусқа қарсы қорғау жүйесін жаңғырту
33
3.1.1 Ұйымның вирусқа қарсы қорғау стратегиясы
33
3.1.2 Ұйымдағы ақпаратты вирусқа қарсы қорғау жүйесін жаңғырту
36
3.1.3 Енгізу жөніндегі ұйымдастыру іс-шаралары
37
3.2 Электрондық оқу құралының сипаттамасы
38
3.2.1 Электрондық оқу құралының тағайындалуы және жалпы сипаттамасы
38
3.3 Электрондық оқу құралының бөлімдері мен интерфейсінің сипаттамасы
43
ҚОРЫТЫНДЫ
47
ҚОЛДАНЫЛҒАН ӘДЕБИЕТТЕР
48
Қосымшалар
КІРІСПЕ
Тақырыптың өзектілігі. Бүгінгі қоғамда мәліметті қабылдау, өңдеу, сақтау және ұсынуды қамтамасыз ететін ақпараттық жүйелерді пайдаланбай алға жылжу мүмкін емес. Қазіргі заманғы ақпараттық технологиялар ақпараттық қауіпсіздікті қамтамасыз етудегі жаңа мәселелерді туындатып қана қоймайды, сонымен қатар оның шешімін табудың жаңа бағыттарын қарастыруды қажет етеді.
Елбасы Н.Ә.Назарбаевтың 2014 жылғы 17 қаңтардағы Қазақстан халқына арнаған Қазақстан жолы - 2050: бір мақсат, бір мүдде, бір болашақ атты Жолдауында Мемлекет ақпараттық технологиялар саласында транзиттік әлеуетті дамытуды ынталандыруы тиіс. 2030 жылға қарай Қазақстан арқылы біз әлемдік ақпараттық ағындардың кем дегенде 2-3%-ын өткізуге тиіспіз. 2050 жылға қарай бұл цифр кем дегенде екі еселенуге тиіс - деп көрсеткен болатын [1]. Осы көрсеткіш деңгейінде әлемдік ақпараттар ағынын өткізу үшін оның қауіпсіздігін қамтамасыз етудің маңызы өте зор.
Ақпараттық қауіпсіздік жайлы сөз қозғалғанда оның өте маңызды деген 3 жағдайына баса мән беріледі. Олар: қол жеткізерлік (оңтайлы), тұтастық және жасырындылық (конфиденциалдық).
Қол жеткізерлік (оңтайлы) қолданушының аз ғана уақыт ішінде өзін қызықтырған ақпаратқа кедергісіз кіру мүмкіндігін сипаттайтын параметр болып табылады.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғалуы. Ақпарат тұтастығы деп кездейсоқ немесе әдейі бұрмаланған кезде автоматтандырылған жүйелердің осы ақпаратты өзгеріске ұшыратудан қорғау қабілетін айтады.
Жасырындық (конфиденциалдық) - қолданушының ақпаратқа кіруіне шектеу қою қажеттілігін көрсететін параметр, яғни, заңсыз қол жеткізуден немесе оқудан қорғауды қамтамасыз етеді.
Ақпараттық қауіпсіздікті қамтамасыз етудің ағымдағы жай-күйі мынадай мәселелердің де бар екендігін көрсетеді:
ақпараттық қауіпсіздік саласында білікті мамандардың жетіспеушілігі, бұл, өз кезегінде ақпараттың кез келген сыртқы ықпалдардан өз деңгейінде қорғалуын толық қамтамасыз ете алмауда;
аса маңызды ақпараттандыру нысандарының ақпараттық қауіпсіздігін қамтамасыз ету жүйесінің жетілдірілмеуі немесе жүйе жұмысының жиі бұзылуы;
қазіргі заманғы ақпараттық-коммуникациялық технологияларды жасаудың, енгізу мен пайдаланудың қоғамның объективті қажеттілігіне жауап бермейтін төменгі деңгейі;
еліміздің ақпараттық технологиялар, ақпараттандыру және ақпаратты қорғау құралдары импортына тәуелді болуы;
әлемдік жетекші мемлекеттердің арасындағы ақпараттық шабуылдың үдей түсуі, ақпараттық кеңістікте мемлекеттердің шектен тыс ықпал етуге ұмтылуы;
әлемдік ақпараттық талдау саласындағы кейбір мемлекеттердің дәйексіз саясаты;
ақпараттық айла-шарғылар жасау технологияларының дамуы;
елдің ұлттық мүдделеріне нұқсан келтіретін, қоғамдық сана мен мемлекеттік институттарға арандатушылық ақпараттың әсер ету мүмкіндіктері;
мемлекеттік мүддеге зиян келтіру мақсатында сенімсіз және қасақана бұрамаланған ақпараттарды тарату;
ақпараттық кеңістіктің ашықтығы және т.б. [3].
Тақырыптың өзектілігі. Бұл аталған мәселелер еліміздегі мемлекеттік маңызы бар құрылымдардың ғана емес, кез келген әлеуметтік-экономикалық салалардағы мекемелердің де ақпараттық қауіпсіздігін қамтамасыз етуге ерекше мән беру қажеттілігін көрсетеді.
Жоғарыда аталған шешімін табуға тиісті мәселелердің негізгілерінің бірі- ақпараттық қауіпсіздікті қамтамасыз ету мамандарының жеткілікті болуы. Бүгінгідей ақпараттық қоғам дәуірінде ақпараттық технологиялар саласының маманына ақпаратты қорғаудың мәселелерімен айналысатын криптология ғылымын терең игерудің қажеттілігі күн өткен сайын айқындала түсуде. Әсіресе, криптологияның ақпаратты талдаудың математикалық әдістерін зерттеумен айналысатын криптография және жасырын кілтті қажет етпей-ақ ақпараттың кодын ашу мүмкіндігін зерттеумен шұғылданатын криптоталдау бағыттарын жетік меңгеру осы саланың білікті маманына қойылатын негізгі талаптардың бірі.
Дипломдық жобаның мақсаты ШҚО аудандық денсаулық сақтау мекемесінің вирусқа қарсы қорғау жүйесін жаңғырту.
Зерттеу объектісі ШҚО аудандық денсаулық сақтау мекемесінің вирусқа қарсы қорғау жүйесі болып табылады.
Зерттеу пәні ұйымның вирусқа қарсы қорғау жүйесін жаңғырту жөніндегі іс-шаралар болып табылады.
Қойылған мақсатты іске асыру үшін осы дипломдық жұмыс аясында келесі қызметтер орындалды:
1. Таңдалған әдебиеттер мен интернет көздеріне талдау жүргізу, материалды жүйелеу және құрылымдау;
2. Ұйымдағы ақпаратты вирусқа қарсы қорғау жүйесіне талдау жүргізу.
3. Ұйымның вирусқа қарсы қорғау жүйесін жаңғырту бағдарламасын әзірлеу.
4. Қызметкерлерді даярлау технологиясын және электронды оқулықтарды әзірлеу принциптерін талдау.
5. Қызметкерлерді оқытуға арналған электронды оқу құралын жетілдіру.
Автоматтандырылған жүйелерде ақпаратты қорғаудың криптографиялық әдістері компьютерде өңделетін немесе түрлі есте сақтау құрылғыларында сақталатын ақпараттарды қорғау ғана емес, сонымен қатар желілік байланыс арналары арқылы жіберілген ақпараттың толықтығын қамтамасыз ету үшін де қажет.
1 АҚПАРАТТЫ ҚОРҒАУДЫҢ ТЕОРИЯЛЫҚ НЕГІЗДЕРІ
1.2 Компьютерлік вирустардан қорғайтын программалардың жіктелуі
Вирустан қорғаудың қарапайым құралына вирус жұқтырған бағдарламалар тізімін құруға мүмкіндік беретін бағдарлама жатады.Мұндай бағдарламаны детектор деп атайды.Детектор ретінде файлда жолды немесе берілген дискіде не каталогта файлдарды іздеуге қабілетті қолданыстағы бағдарламаларды пайдалануға болады.Детектор резидентті болуы да мүмкін.Бұл кезде бағдарлама жүктелгеннен кейін оның жұқтырылғандығын тексереді және тек вирус табылмаған жағдайда оған басқаруды береді.
Екінші және ең көп тараған вирустардан қорғау құралдарына фаги-бағдарламалар жатады,олар жұқтырған бағдарламадан вирусты қыршып алып,бағдарламаны бастапқыға жақын қалыпқа келтіреді. Қыршып алу амалы ылғи ойдағыдай болмайды.Фаги резиденттік болуы мүмкін,бірақ резиденттік фагилардың едәуір көлемді болуынан сирек кездеседі.
Антивирустық бағдарламалардың үшінші түріне іске қосылған бағдарламалардың күдікті іс-қимылын бақылайтын және оларды үнсіз немесе пайдаланушыға хабар жіберіп бұғаттайтын резиденттік бағдарламалар жатады.Мұндай бағдарламаларды қарауылшылар деп атайды.
Төртінші түрі тексеруші-бағдарламалар,олар файлдардың бақылау сомаларын және басқа параметрлерін есептеп,оларды эталондармен салыстыралы.Соңғылар әдетте,жеке файлда сақталады.Бақылаудың бұл түрі ең сенімді болып табылады,өйткені жедел жадта резиденттік компьютерлік вирус жоқ болса,өзгерісті тудырған себептерге байланыссыз бағдарламаның барлық өзгерістерін анықтауға мүмкіндік береді.Бағдарламаның басқа түрлері тәрізді тексерушілер де резиденттік болуы мүмкін.Соңғылар жадқа бағдарламаны жүктейді,оның бақылау сомасын есептейді,егер ол файлдың арнайы өрісінде немесе осы файл каталогы элементінде жазылғанмен түйіссе,онда оған басқаруды береді.
Соңында,антивирустық бағдарламалардың ең өткір түріне вакциналаржатады.Табиғи вакциналар тәрізді вирустың қызмет істеу ортасын өзгертеді,осыдан ол көбею қабілеттілігінен айырылады.Вакциналар белсенді немесе енжар болуы мүмкін.Енжар вакцина дестелік (пакеттік) бағдарлама болып табылады,ол бір шақыруда файлды немесе дискідегі не каталогтағы барлық файлдарды арнайы жолмен өңдейді.Әдетте мұндай өңдеуде вирус жұқтырған бағдарламадан сау бағдарламаны айыратын белгі қойылады.Кейбір вирустар жұқтырған файлдардың соңына қосымша жол жазады.Егер жасанды түрде барлық бағдарламалардың соңына осы жолды қосып жазсақ,онда мұндай бағдарламалар вирус жұқтырмайды,өйткені ол оған әлдеқашан жұққан деп есептейді.Осылай өңделген бағдарлама бұл вирусқа қарсы вакциналанған болып табылады.Басқа вирустар жұқтырған бағдарламаның өріс мезгіліне 62 секунд мәнән қояды.Вакцина бұл белгіні барлық орындалатын бағдарламаларға қоя алады,соның нәтижесінде олар вирустың бұл түрін жұқтырудан қорғалады.
Белсенді вакциналар,іс-қимылы,вирустың жедел жадтың ішінде болу еліктемесіне негізделген резиденттік бағдарламалар болып табылады. Сондықтан, олар әдетте,резиденттік вирустарға қарсы қолданылады.Егер мұндай вакцина жадта болса,онда жұқтырған бағдарлама іске қосылғанда вирус оның көшірмесінің жедел жадта барлығын тексереді,вакцина,көшірме бар тәрізді етіп көрсетеді.Бұл жағдайда вирус бағдарламаға басқаруды береді,оның инсталляциясы жұмыс істемейді.Қарапайым вакциналар ерекшеленген және ептеп түрленген вирус болып көрінеді.Сондықтан олар фаги-бағдарламаларға қарағанда ,тезірек дайындалуы мүмкін.Өте күрделі вакциналар жедел жадтың ішінде бірнеше вирустың болуына себепші болады.
Әрбір антивирустық бағдарлама нақты аймақтық тәрізді,сондықтан оңтайлы тактика антивирустық құралдардың бірнеше түрлерін кешенді қолдану болып табылады.
Детектор-бағдарламалар тек бұрыннан белгілі вирус түрлерінен ғана қорғай алады, жаңа вирусқа дәрменсіз боп келеді.Детектор-бағдарламалар жедел жадтан және файлдардан нақты вирустарға тән сигнатураны іздейді және табылса,тиісті хабар береді.Мұндай антивирустық бағдарламалардың кемшілігі осындай бағдарламаны жасаушыларға танымал вирустар ғана табылады.
Доктор-бағдарламалар немесе фагилар ,сонымен қатар вакцин-бағдарламалар вирустар жұққан файлдарды тауып қана қоймай,оларды емдейді,яғни файлдан вирус-бағдарлама денесін жояды,тек содан кейін файлдарды емдеуге ауысады.Фагилардың арасында полифагилар бөлектенеді,яғни доктор-бағдарламалар үлкен мөлшердегі вирустарды іздеуге және жоюға арналады.
Тексеруші-бағдарламалар вирустардан қорғау құралдарының ең сенімдісіне жатады.Тексерушілер компьютер вирусты жұқтырмаған кездегі бағдарламалардың,каталогтардың және дискінің жүйелік аймақтарының бастапқы жағдайын есіне сақтайды,мезгіл-мезгіл немесе пайдаланушының еркіне қарай ағымдағы жағдайды бастапқымен салыстырады.Байқалған өзгерістер монитор экранына шығарылады. Әдетте,жағдайларды салыстыру бірден амалдық жүйе тиелісімен жүргізіледі.Салыстыру кезінде файлдық ұзындығы,циклдік бақылау коды(файлдың бақылау сомасы),жетілдіру датасы мен уақыты,басқа параметрлер тексеріліеді.
Сүзгі-бағдарламалар компьютерлік жедел жадына тұрақты орналасып, вирустардың зиянды әрекеттеріне әкелетін операцияны ұстап алып, бұл туралы жұмыс істеп отырған адамға дер кезінде хабарлап отырады.
Вакцина-бағдарламалар компьютердегі программалар жұмысына әсер етпей, оларды вирус жұққан сияқты етіп модифмкациялайды да, вирус әсерінен сақтайды, бірақ бұл программаларды пайдалану тиімді емес.
1.3 Ақпарат қорғау жүйесін жобалау негіздері
Ақпараттық қауіпсіздік - мемлекеттік ақпараттық ресурстардың, сондай-ақ саласында жеке адамның қүқықтары мен мүдделері қорғалуының жай-күйі .
Ақпаратты қорғау - ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін алудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезі қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, бағдарламалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режімін қалыптастыру кешендік мәселе болып табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, бағдарламалық, техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады: қол жеткізерлік (оңтайлық), тұтастық және жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың, техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз қол жеткізуге тиісті өкілеттігі бар субъектілердің оған қол жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпарттың бұзудан және заңсыз өзгертуден қорғанылуы. Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.
Жасырындылық - заңсыз қол жеткізуден немесе оқудан қорғау.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет жасайтын үрдістер ғана ақпаратты оқу, жазу құрастыру және жою құқығына ие бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету үшін жеткілікті аппаратық және бағдарламалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшеме бойынша бағаланады: қауіпсіздік саясаты және кепілділік.
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін, қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен істей алатынын көрсетеді. Қауіпсіздік саясатын құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет шаралар кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Кепілділік - жүйенің сәулетіне және жүзеге асырылуына көрсетілетін сенім өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған, белсенсіз сыңары деп сипаттауға болады. Кепілділіктің екі түрі болады: операциялық және технологиялық. Біріншісі жүйенің архитектурасы және жүзеге асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздік қамтамасыз етудің маңызы құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу - жүргізу тексерумен (аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік саясатты жүзеге асыруға жауапты қоршаған тетіктерінің жиынтығы. Компьютерлік жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының міндетін орындау, яғни, объектілерімен белгілі бір операциялар орындау болатындығын бақылау.
Қатынасым мониторы - пайдаланушынына бағдарламаларға немесе деректерге әрбір қатынасының мүмкін болатын іс-әрекеттер тізімімен келісімді екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы талап етіледі:
- оңашаланғандық. Монитор өзінің жұмысы кезінде оны аңдудан қорғалуға тиісті;
- толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде онда орай өтуге мүмкіндік болмау керек;
- сенгіштік. Мониторды талдау және тестілеуге мүмкін болу үшін ол жинақы болуы керек.
Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы. Қауіпсіздік өзегі барлық қорғаныш тетіктерінің құрылу негізі болып табылады. Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік өзегі өзінің өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның ішіндегісі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі әлемдер арасындағы байланыс ретқақпа (gateway) арқылы жүзеге асырылады. Бұл ретқақпа сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілеті бар деп саналады.
Объектінің ақпараттық қауіпсіздігін қамтамасыз етуге арналған жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды түгендеу, қатерлі талдау, қорғаныш жоспарын құрастыру және қорғаныш жоспарын жүзеге асыру. Осы аталған кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезеңі. Бұл кезең барлық келесі шаралардың ұйымдастырушылық негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске қатысушылардың өзара қарым - қатанастарын анықтау үшін қажет. Даярлық кезеңде ақпарат қорғау жүйесінің атқаратын міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық ағындар, автоматтандырылған жүйелердің құрылымы, серверлер, хабар тасушылары, деректер өңдеу және сақтау тәсілдері жайында мәлімет жиналады. Түгендеу аяқталған соң олардың осалдылығына талдау жасалынады.
Қатерлі талдау. Келесі шаралардың нәтижелігі ақпараттық қорлардың қорғанылу күй-жағдайының қаншалықты толық және дұрыс талдануына тәуелді болады. Қатерлі талдау мыналардан түрады: талданатын объектілерді және оларды қарастырудың нақтылану дәрежесін таңдау; қатерлі бағалау әдіснамасын таңдау; қауіптерді және олардың салдарын талдау; қатерлі бағалау; қорғаныш шараларын таңдау; таңдап алынған шараларды жүзеге асыру және тексеру; қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін қорғаныш шаралары мен құралдары қажет. Қауіптерді талдау, біріншеден, мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және екіншіден, келтірілетін болашақ зиянды болжау-бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп-қатер тізбесі және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең әсерлі шаралары мен құралдарын таңдап алуға, сондай-ақ, оларды жүзеге асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген талдаудың нәтижесінде анықталған қатерлерді бейтараптау үшін қорғаныштың тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функциональдық сұлбасын әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері анықталады және нақты объектінің ерекшіліктерін ескере отырып жүйеге қойылатын талаптар талқыланады. Жоспарға мынадай құжаттар қосылады: қауіпсіздік саясаты; ақпарат қорғау құралдарының объектіде орналасуы; қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың сметасы; ақпарат қорғаудың ұйымдастырушылық және техникалық шараларын жүзеге асырудың күнтізбелік жоспары.
1.4 Қауіпсіздік саясаты және негізгі элементтері
Қауіпсіздік саясаты (ұйымдастыру тұрғысынан қарағанда) есептеу және қатынас қорларын пайдалану тәсілін, сондай-ақ, қауіпсіздік режімін бұзудың алдын ала және мән беру (жауап қайтару) процедураларын дұрыс анықтайды.
Қауіпсіздік саясатының қалыптастыру іс-әрекетін келесі кезеңдер түрінде қарастыруға болады:
Ұйымдастыру мәселелерін шешу. бұл кезеңде ақпараттық қауіпсіздік қызметі (АҚҚ) құрылады, ақпараттық қауіпсіздік тұрғысынан қарағанда пайдаланушылардың санаттары, пайдаланушылардың барлық санаттарының жауаптылық деңгейлері, құқықты және міндеттері аңықталады.
Қатерге талдау жасау. Қатерді талдау үрдісі нені қорғау керек, неден қорғау керек және қалай қорғау (істеу) керек деген сияқты сұрақтардың жауабын анықтайды. Мүмкін болатын қатерлердің бәрін қарастырып шығу керек және оларды келтіретін зиянының ықтимал мөлшеріне байланысты жіктеу қажет. Қорғанышқа жұмсалатын қаржы қорғанылатын объектінің құнынан аспауға тиісті.
Жеңілдектерді анықтау. Қорларды пайдалану құқықтары, қорларды қолдану ережелері, әкімшілік жеңілдіктер, пайдаланушылардың құқықтары мен міндеттері, жүйелік әкімшілердің құқықтар мен міндеттері, жасырын ақпаратпен жұмыс істеу тәртіптері және т.б. анықталады.
Қауіпсіздік саясатының бұзылуына жауап қайтару шараларын анықтау. Қауіпсіздік режімі бұзушыларды табуға және жауапкершілікке тартуға бағытталған әрекеттер, сонымен қатар, ақпаратты бұрынғы қалпына келтіру және бұзулардың зардаптарын жою шаралары анықталады.
Ұйымдастыру -әкімгерлік құжаттарды дайындау. Қауіпсіздік саясатының негізгі жайлары әр түрлі нұсқауларда, қағидаларда, ережелерде және өкімдерде келтіріледі.
Қауіпсіздік саясаты ақпарат қорғау жүйесінің қауіп-қатерлерге қарсы әрекет жасауға бағытталған құқықтық нормалардың, ұйымдастырушылқ шаралардың, бағдарламалық-техникалық құралдар және процедуралық шешімдер кешенінің жиынтығын анықтайды.
Ақпарат қауіпсіздігінің жоғарғы дәрежесіне қол жету тек тиісті ұйымдастыру шараларын қолдану негізінде ғана мүмкін болады. Ұйымдастырушылық шаралар кешенінің құрамына ақпараттық қауіпсіздік қызметін құру, жасақтау және оның іс-әрекеттерінің қолдану, ұйымдастыру- әкімгерлік құжаттар жүйесін дайындау жұмыстары, сондай-ақ, қорғаныш жүйесін құруға және оның жұмысын сүйемелдеуге арналған бірқатар ұйымдастырушылық және ұйымдастыру-техникалық шаралар кіреді.
Ұйымдастырушылық және ұйымдастыру-техникалық шаралар жүргізу ақпараттың сыртқа кететін жаңа арналарын дер кезінде табуға, оларды бейтараптандыру шараларын қолдануға, қорғаныш жүйелерін толық жетілдіруге және қауіпсіздік режімін бұзу әрекеттеріне жедел қарсы шара қолдануға мүмкіндік береді. Қатерге талдау жүргізу қауіпсіздік саясатын қалыптастырудың негізгі кезеңі болып табылады.
Ұйымдастыру мәселері шешілгеннен кейін бағдарламалық-техникалық проблемалардың кезегі келеді - таңдалған қауіпсіздік саясатын іске асыру үшін не істеу керек? Қазіргі уақытта құны, атқаратын міндеті және сапасы жағынан әртүрлі болатын ақпарат қорғау құралдарының көптеген түрі бар. Олардың
ішінен нақты объектінің ерекшелігіне сай келетінін таңдап алу күрделі мәселелердің бірі болып саналады.
Қауіпсіздік саясаты мынадай элементтерден тұрады: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік тамғасы және қатынас құруды мәжбүрлі басқару.
Қатынас құруды ерікті басқару - жеке субъект немесе құрамына осы субъект кіретін топтың тұлғасын ескеру негізінде жасалған объектілерге қатынас құруды шектеу. Ерікті басқару - белгілі бір тұлға (әдетте, объектінің иесі) өзінің қарауынша басқа субъектілерге өзінің шешімі бойынша объектіге қатынас құру құқығын бере алады (немесе алып тастайды).
Қатынас құрудың ағымдағы жағдайы ерікті басқару кезінде матрица түрінде көрсетілді. Қатарларында - субъектілер, бағандарында - объектілер, ал матрицаның түйіндерінде қатынас құру құқығының құру (оқу, жазу, орындау және т.б.) кодасы көрсетіледі.
Операциялық жүйелердің және дерекқор жүйелерінің көпшілігі осы ерікті басқаруды жүзеге асырады. Оның негізгі жағымдағы - икемділігі, ал негізгі кемшіліктері - басқарудың бытыраңқылығы және орталықтандырылған тексерудің күрделігі, сондай-ақ, қатынас құру құқығының деректерден бөлек қарастырылуы (қаскүнемдер осыны пайдалана отырып құпия ақпараттарды жалпы қол жеткізерлік файлдарға көшіріп алуы мүмкін) [12].
Объектілерді қайтадан пайдаланудың қауіпсіздігі. Бұл элемент құпия ақпаратты кездейсоқ немесе әдейі шығарып алудан сақтайтын қатынас құруды басқаратын құралдардың маңызды қосымшасы болып табылады.Объектілерді қайтадан пайдаланудың мүмкін болатын 3 қаупі мыналар: жедел жадыны қолдану. сыртқы сақтау құрылғыларын қайтадан пайдалану және ақпарат енгізушығару құрылғыларын қайтадан пайдалану.
Қорғаныш тәсілдерінің бірі - құпия ақпаратпен жұмыс істегеннен кейін жедел жадыны немесе аралық жадыны тазалау. Жақсы әдіс деп тегерішті (дискіні) нығыздау программаларын қолдануды да санауға болады.
Мәселен, принтердің аралық жадында (арашықта) құжаттың бірнеше беті сақталып қалуы мүмкін. Олар басу үрдісі аяқталған соң да жадыда қалып қояды. Сондықтан оларды арашықтан шығарып тастау үшін арнаулы шаралар қолдану қажет. Әдетте кездейсоқ биттер тізбегін үш дүркін қайталап жазу жеткілікті болады.
"Субъектілерді қайтадан пайдаланудың қауіпсіздігі" жайында да қамдану керек. Пайдаланушы ұйымнан кеткен кезде оны жүйеге кіру мүмкіншіліктерінен айыру және барлық объектілерге оның қатынас құруына тиым салу керек.
Қауіпсіздік тамғасы. Қатынас құрудың мәжбүрлі басқаруы кезінде субъектілер және объектілер қауіпсіздік тамғасы арқылы байланысады. Субъектінің тамғасы оның шүбәсіздігін сипаттайды. Объектінің тамғасы оның ішіндегі сақталатын ақпараттың жабықтық деңгейін көрсетеді.
Қауіпсіздік таңбасы екі бөліктен тұрады: құпиялық деңгейі (дәрежесі) және категориялар (санаттар).
Құпиялылық деңгейі реттелген жиынтық құрайды және әр түрлі жүйелерде құпиялық деңгейлер жиынтығы әр түрлі болуы мүмкін. Қазақстан Республикасының заңнамасында мемлекеттік құпия құрайтын мәліметтердің үш құпиялылық дәрежесі тағайындалған және осы дәрежелерге сәйкес аталған мәліметтердің тасуыштарына мынадай құпиялық белгілері берілген: " аса маңызды", "өте құпия" және "құпия", ал қызметтік құпия құрайтын мәліметтерге "құпия" деген құпиялық белгісі беріледі.
Санаттар реттелмеген жиынтық құрайды. Олардың міндеті - деректер жататын аймақтың тақырыбын сипаттау.
Қауіпсіздік таңбалардың тұтастығын қамтамасыз ету оларға байланысты негізгі проблемалардың біреуі болып табылады. Біріншіден, тамғаланбаған субъектілер мен объектілер болмау керек. Әйтпесе тамғалық қауіпсіздікте саңылаулар пайда болады және қаскүнем осы жағдайды пайдаланып қорғанылатын ақпаратқа заңсыз қол жеткізуі мүмкін. Екіншіден, қорғанылатын деректермен қандай да болмасын операция орындалмасын, қаупсіздік тамғалары өзгермей қалуы керек.
Қауіпсіздік тамғаларының тұтастығын қамтамасыз етуші құралдардың біреуі - құрылғыларды көпдеңгейлік және бір деңгейлік деп бөлу. Көпдеңгейлік құрылғыларда әр түрлі құпиялық деңгейлі ақпарат, ал бірдеңгейлік құрылғыларда тек бір құпиялық деңгейі бар ақпарат сақталады[15].
Қатынас құруды мәжбүрлі басқару. Қатынас құруды мәжбүрлі басқару деп атаудың себебі - қатынас құру мүмкіндігі субъектінің ерігіне тәуелді емес. Мұндай басқару субъектінің және объектінің қауіпсіздік тамғаларын салыстыру негізінде жүргізіледі.
Егер субъектінің құпиялық деңгейі объектінің құпиялық деңгейінен кем болмаса, ал объектінің қауіпсіздік тамғасында көрсетілген барлық санаттар субъектінің тамғасында болса, (яғни, осындай екі шарт орындалған болса), онда субъект объектіден кез келген ақпаратты оқи алады. Мысалы, "өте құпия" субъект "өте құпия" және "құпия" файлдарды оқи алады. Бұл жағдайда "субъектінің қауіпсіздік тамғасы объектінің қауіпсіздік тамғасынан басым" деп айтады.
1.5 Ақпараттық қауіпсіздіктің жақсарту жолдары
Қазіргі таңдағы жағдайларда ақпараттық процестердің рөлі автоматтандыруға арналған өндірісте, сонымен қатар қазіргі таңдағы автоматтандыру құралдарына дәстүрлі ақпараттық құралдарды қолданатын рухани саланы айтамыз. Кейінгі онжылдықтағы техникалық және ғылымдық жаңарулар ақпараттың әртүрлі құрылымдарын терең әрі жалпы түрде қарауға байланысты болып отыр.
Ақпарат кез келген саладағы негізгі ресурсқа айналып отыр, сонымен бірге кез келген басқа ресурстар секілді қорғанысқа, өзінің сақталуын, бүтіндігін және қауіпсіздігін қамтамасыз етуге зәру.
Ақпараттық технологиялардың дамуына, олардың адамзат өмірінде барлық салада қолданылуына байлпнысты, ақпараттық технологиялар қауіпсіздігі мәселесі жылдан жылға негізгі және күрделірек болып бара жатыр. Ақпараттарды өңдеу технологиясы үздіксіз дамуда, сонымен қатар ақпараттық қауіпсіздікті қамсыздандырудың тәжірибелік әдістері де өзгеруде.
Ақиқатында қорғаныстың әмбебап әдістері әлі жасалмаған, көп жағдайда нағыз жүйелер үшін қауіпсіздік механизмдерін құрудағы сәттіліктері рәсімдеуге жатпайтын олардың өзіндік ерекшеліктеріне байланысты. Сондықтан да көп жағдайда ақпараттық қауіпсіздікті ақпаратты қорғау жүйесінің сол немесе басқа типін құрудағы рәсімделмеген тұжырымдардың жиынтығы деп те атайды.
Қазіргі кезде ірі банктерді, өндірістік және сауда кәсіпорындарды, транспорттық ұйымдарды және құқық қорғау органдарын сәйкес мәліметтер базасынсыз және жоғары өндірісті есептеуіш техникасынсыз елестету мүмкін емес.
Ақпараттандыру қазіргі таңдағы қоғамның сипатты белгісі болып табылады.
Жаңа ақпараттық технологиялар халық шаруашылығы саласында да қолданыс тауып отыр. Компьютерлер ғарыштық кемелер мен ұшақтарды басқарады, атом электр станцияларының жұмыстарын бақылайды, электр энергиясын таратады және банктік жүйеде қызмет етеді. Компьютерлер ақпаратты өңдеудегі көптеген автоматтандырылған жүйелердің негізі болып табылады. Олар ақпараттарды сақтайды, өңдейді және қазіргі ақпараттық технологияларды жасай отырып ақпараттарды қолданушыға жеткізеді. Ақпараттарды өңдеу процесін автоматтандырудың әдістері мен формаларының дамуы мен күрделенуінен қоғамның ақпараттық технологияларды қолданудағы қауіпсіздік деңгейінің тәуелсіздігі артуда.
Ақпараттық технологиялар қауіпсіздігін қамтамасыз етудегі мәселелердің өзектілігі мен маңыздылығы мына себептерге шартталған:
- қазіргі компьютерлердің пайдалануын жеңілдетумен қатар, есептеуіш қуатының бірден жоғарылауы;
- компьютерлердің және автоматтандырудың басқа да құралдары көмегімен өңделетін, сақталатын және жинақталатын ақпарат көлемдерінің бірден жоғарылауы;
- әр түрлі саладағы және әр түрлі қажеттердегі ақпараттың мәліметтер базасын бір жүйеге келтіру;
- қоғамның әр түрлі салаларында пайдаланатын дербес компьютер жиынтығы дамуының жоғары темптері;
- есептеуіш ресурстарға және мәліметтер массивіне тікелей қолжетімділігі бар қолданушылар аясының тез өсуі;
- қауіпсіздіктің минималды талаптарын қанағаттандыра алмайтын бағдарламалық құралдардың қарыштап дамуы;
-желілік технологиялардың бар жерде таралуы және жергілікті желілердің жаһандық желілерге біріктірілуі;
- барлық әлемде ақпаратты өңдеу жүйесіні қауіпсіздігінің бұзылуына жол бермейтін Интернет жаһандық желісінің дамуы.
Жағдайды ақпараттық қауіпсіздік тұрғысынан қарасақ. Ақпараттық қауіпсіздік ұғымының барлық тәсілдерінде кездесетін төрт жиынтықты атап өтсек:
1. Субъектке қоғамда өзінің құқықтары мен міндеттерін жүзеге асыруға көмектесетін жеткілікті түрде толық және дұрыс ақпараттарға қолжетімділігін қамтамасыз ету;
2.Субъектті деструктивті ақпараттық әсерлерден қорғау;
3. Ақпараттарды субъектке тиесілі рұқсат етілмеген әрекеттерден қорғау;
4.Келеңсіз әрекеттерден субъект топтарының ақпараттық инфрақұрылымдарын қорғау;
Алғашқы үш құраушы білім қауіпсіздігіне қатысты, яғни қоғалып отырған объекттің әсерлеріне байланысты.
Ақпараттық шабуылдардың негізгі себебіне әрқашан ақпараттық әсерлер болып табылады, яғни субъект былай қабылдайды - шабуылшы жақ ақпаратты рұқсат етілмеген әрекетпен алуға тырысса немесе шабуыл обьектісі дезинформация жағдайында әрекет жасаса, ақпарат бұрмаланса және алдандыратын ақпарат енгізілген жағдайлар.
Сонымен бірге заңды тәжірибе жүзінде, техникалық өңдеу барысында қолданылатын тура қадағалау кезінде хабарламалық ақпарат пен субъекттердің физикалық әрекеттері ғана қолжетімді болады.
Мысалы, қорғаныс объектісі ретінде физикалық объект секілді нақты құжат болуы мүмкін, қарсылықты іс-әрекеттер мақсатына - шабуыл моделін болжайтын және ешқашан әрекет ақпаратын ала алмайтын немесе енгізе алмайтын шабуылшы субъекттің нақты физикалық әрекеттері жатады.
Осылайша, ақпараттық қауіпсіздікті қамтамасыз ететін жүйелік міндеттердің, бір жағынан техникалық, заңды және басқа ішкі жүйелердің нақты міндеттері болады, ал екінші жағынан бұйымның әр-түрлі іс-әрекеттері болады. Объекттің ақпараттық қауіпсіздігін қамтамасыз ететін жүйені рәсімдеу процесі - әдетте, құжат қалпындағы ақпараттардың өзара байланысы немесе техникалық жүйенің сигналдар сияқты, рәсімделген ақпараттармен байланысы бар міндеттер қатарының шешілуін талап етеді. Бұл жағдайда ақпараттың математикалық теория әдістерін қолданған дұрыс және бұл жағдайда ақпараттың өзара әрекеттесу деңгейінде жүйенің қорғаныстығын сипаттайтын параметрлердің нақты мәндерін есептеуге болады. Бірақ, қорғанысқа толық баға бермес бұрын бұл параметрлерді ақпарат әсеріне тікелей қолжеткізуге жол бермес үшін қойылатын бағалармен салыстыруға тура келеді.
2 ЖОБАЛАУДЫ ЖОСПАРЛАУ БӨЛІМІ
2.1 Web қосымшаларын құру орталары
Web-қосымша бұл дүниенің кішкентай моделі. Бұрынғы кезде Web-сайты бір адам - Web-мастер жасаған болса, қазіргі кезде Web-сайттарды бірнеше адам жасайды. Олар Web-дизайнер, программист, бизнес-кеңесші, маркетинг бойынша басқарушы, менеджер.
Дүниежүзілік қазіргі заманғы процестердің негізгі ерекшелігі жаңа ақпараттық технологияны қолданудың экспоненциалды түрде өсуі болып табылады. Бұл процестегі маңызды ролді интернет ауқымды компьютерлік желісі алады.
Интернеттің ең негізгі қызметтерінің бірі - гипертекстілік құжаттарды жеткізу үшін қолданылатын WWW - қызметі (word Wide Web - дүниежүзілік өрмек) болып табылады. Интернеттің негізгі технологиялық бағыттарының бірі - www - мен тікелей жұмыс жүргізілетін, "веб - қосымша" атауына ие болған, программалардың ерекше классы болып табылады. Веб - қосымша клиенттік программалық қамсыздандыру ретінде веб-броузерді қолданатын, ал сервер ролінде веб - сервердің шығатынын білдіретін "клиент - сервер" жүйелер класына жатады.
Веб-қосымшаларды әзірлеу кезінде белгілі бір қиындықтармен соқтығысады:
Веб - қосымша интернет пен www-дың стандарты мен хаттамаларына сүйенуге міндетті. Олардың көбісі ескірген және функционалдық қосымшалардың талаптарын қанағаттандырмайды;
Веб - қосымшаның тұтынушылық интерфейсі ерекше қуаттылығы мен міндеттілігі бойынша қарапайым тұтынушылық графикалық интерфейсіне жол беретін интерфейсті түріндегі формасы бар;
Тарихи жағынан қарағанда веб - қосымша өзің әзірлей кезінде қолданылатын тәсілдер мен аз және орташа көлемді жүйелерден пайда болады.
Ақпараттық жобаларды іске асыру табыстылығына әсер ететін ең басты факторлардың бірі - әзірлеу кезінде қолданылған әдістеме болып табылады. Қазіргі заманғы көптеген тәсілдерде аз және орташа көлемді веб - қосымшалар спецификасы есепке алынбайды.
Осыған байланысты масштабта (үлкен көлемді) веб - қосымшаларды құру үшін тәсілдер мен моделдерді әзірлеу зерттеудің актуальды бағыты болып табылады.
ХХ ғасырдың соңғы жағында қауым глобальды желілік технологияның және Интернет желісінің таратылуының пайда болуымен байланысты ақпараттық революцияны басынан өткізді.
Интернет дамуының ең негізгі факторы болып глобальды ақпараттық ортада бірінен - біріне берілетін құжаттар санын біріктірген HTML гипермәтіндік тіл арқасында WWW (world wide web - бүкіләлемдік өрмек) инфрақұрылымының құрылуы негізгі роль атқарады.
Бүкіл әлемдік өрмекші басында сілтемелермен байланысқан статикалық гипермәтіндік құжаттардан құралған болатын.
Веб дамуының келесі қадамы болып бұл құжаттар қолданушылардың қозғалысына әсер ететін динамикалық түрде генерациялау түсінігі қалыптасты.
Әрі қарай бүкіл әлемдік өрмекші интерактивті қосымшалар үшін орта болып қалыптаса бастады. Бұл электронды коммерцияның дамуы үшін жөнелту нүктесі болып 90 жылдардың соңында қызмет жасады. Бүкіл әлемдік өрмек келісімімен Интернет желісінде жұмыс жасалатын стандарттарға сәйкес интерактивті қосымшалар веб-қосымшалары атауына ие болды. Веб-қосымшаларына мысал ретінде интернет-магазиндер, электронды хабарландыру тақталары және форумдарды, құжаттарды басқару жүйелерін жәнее т.б. жүйелерді айтуға болады.
Веб - жүйелер мен қазіргі заманғы тәсілдердің, оларды жүзеге асырудағы негізгі көптеген веб - қосымшаларды орташа немесе көлемді жобалар классына жатқызуға болады. Оларды жүзеге асыру кезінде жоғары еңбек көлемділігімен сипатталатын және аз тиімді болып табылатын шағын жобалар үшін жасалған сол тәсілдер пайдаланылады.
Әзірлеу кезіндегі ең танымал тәсілдердің бірі гипертекстіні алдын-ала өңдеу немесе препрцессингті қолдану болып табылады. Серверде сақталатын құжаттардағы осы тәсілдерге сәйкес белгілі бір программалау тілінің арнайы нұсқауы енгізіледі. Сұранысты өңдеу кезінде сервер құжатың мәтінін оның орындалған нәтижесіне алмастыра отырып, енгізілген нұсқауларды орындайды. Өңделген құжат клиентке жіберіледі. Гипертекстілік препроцессингтің негізгі технологиясы - қазіргі уақытта веб - серверлерде қолданылатындардың 80 пайызына қолдау көрсететін, кең таралған PHP (ағылшыннан аударғанда nypertext preprocessor - гипертексті прероцессоры дегенді білдіретін) технологиясы болып табылады. Көлемді және ірі көлемді жобаларда РНР - ді қолдану белгілі бір қиындықтармен байланысты. Мысалы, РНР күрделі қосымшалардың функционалдылығын декомпозициялау үшін жеткілікті құралдармен қамтылмаған, онда жобалаудың қазіргі заманғы тәсілдерін пайдалануды мүмкін емес ететін объектілі абстракцияның қолайлы деңгейі ұсынылмаған. Сонымен қатар, құжат мәніне нұсқауды енгізу үлкен жобалар үшін тиімді қосымшаны белгілеу деңгейі мен оның функционалдығының арасындағы деңгейінің жоғарылауына алып келеді.
Басқа да танымал тәсілдерінің қатарына қосымшаның жағдайын бейнелеу және өзгерту үшін шаблондардың арнайы тілін пайдалануға негізделген шаблондық технологияларды қолдану жатады. Шаблондық технологияларға JSP, Turbine, Velocity секілді әзірленімдер жатады. Көлемді және ірі көлемді қосымшаларды әзірлеу кезінде шаблондық технологияны қолданудағы негізгі кемшілігі - веб - қосымшаның функционалдылығын модульдік ұйымдастыру және декомпозициялаудың құралдары қосылмағандығында.
Веб - қосымшаны жүзеге асырудың тағы бір тәсілі - CGI, NSAPI, ISAPI, Java Servlet Technology секілді белгілі бір интерфейске сәйкес құрылатын серверлік модульдерді қолдану болып табылады. Бұл спецификациялар веб - қосымшаның программалық бөлігі мен веб - сервер арасындағы мәліметтер алмасу протоколдарымен анықталады, бірақ та функционалдылықты модульдік ұйымдастыруда оларға көңіл бөлінбейді.
Веб - қосымша интерактивтік қосымша болғандықтан, онда Smalltalk тілдін ортасында жүзеге асырылатын тұтынушылық жүйе үшін Поупа мен Краснердің 80-ші жылдардың аяғында әзірленген Модель - Вид - Контроллер (МВК - MVC, ағымы Model - View - Controller) парадигмасы жиі қолданылады.
МВК парадигмасына сәйкес веб - қосымшаны тұрғызу веб - жүйелерді әзірлеудегі еңбек өнімділігі көп мөлшерде азаяды. Бірақ та берілген архитектура Модельдер, Контроллер мен Вид модульдерін жасаумен байланысты мәселерді шешпейді. Шешуші мәнге декомпозицияның үш бөлімінің әр қайсысы бөлек орналасқан архитектурасы ие.
Модель - Вид - Контроллер парадигмасына негізделген веб - қосымшаны әзірлеудің ең танымал тәсілдерің бірі - стратс (ағылшыннан strut - тіреуіш) архитектурасы болып табылады. Стратс веб - қосымшасы МВК-ға сәйкес тұрғызылады, осыдан олардың әрбір бөлігі әске асыру бойынша арнайы құралдар ұсынылады. Бүгінгі күні стратс веб - қосымшаларды құрудың ең дамыған әдістемесінің бірі болып табылады. Сондай-ақ, бұл архитектураның да өзінің бір қатар кемшіліктері бар:
# әзірленіп тұтынушылық интерфейске қатаң байланысты контроллерді құруда фокусталады. Тұтынушының интерфейсті өзгерту үшін контроллер шығарып салу этапында еңбек өнімділігін жоғарлататын қайта өңдеуді талап етеді. Сонымен қатар, берілген тәсілді белгілі бір сызба бойынша тұтынушылық интерфейс динамикалық түрде реттелетін жағдайда қолдану қте күрделі;
# Қосымша функционалдығын декомпозициялаудың алдын-ала өңделген құралдарының болмауы. Стратстағы әзірленімнің басты бағыты контроллерді құру болып табылады, бұл уақытта модельдер секілді арнайы көңіл бөлінбейді.
Осыған байланысты берілген жұмыста көрсетілген кемшіліктерді болдырмауға бағытталған тәсіл ұсынылады және негізделеді.
Клиент - серверлік коммуникацияға лингвистикалық тәсіл мен компоненттік модельдерді қолданумен тұрғызылған веб - қосымшаның жалпы архитектурасы әзірленеді. Веб - қосымша белгілі бір жай-күйді қамтитын, клиенттік сұраныстарды қабылдайтын және де әсер ету ретінде оларға серверлік жауаптар жіберетін "қара жәшік" ретінде қарастырылады. Веб - қосымшаның контроллері НТТР протоколына сәйкес рәсімделген сұраныс түрінде тұтынушының енгізілетіндерін қабылдайды және де алынған мәліметтер негізінде қосымшаның жағдайын өзгертеді.
Веб - қосымша моделі - бұл қосымшаның жағдайын сақтауға жауап беретін мәліметтер, тәсілдер мен объектілері жиынтығы. Веб - қосымшаның түрі - бұл гипертекстілік құжат формасында оның жағдайын бейнелеу процедурасы.
Веб - қосымшаның элементтерін іске асыру көзқарасында еңбектілікті талдау кезінде құралдағылардың бірі ретінде масштабты веб - қосымшалардың модельдерін жасау ерекшеленеді. Веб - қосымшалар үшін алғашқы техникалық тапсырмалар тіркеліп жобаны іске асыру барысында толықтырылатын, жобалық талаптардың өзгеру динамикасының жоғарылауы шартты болып табылады. Маңызды факторлардың бірі ретінде ақпараттық жобалардың экономикалық тиімділігіне кері әсерін тигізетін кодты қайталай қолдану мүмкіндігі болып табылады. Қосымша көлемінің өсуімен қатар тұтынушылық интерфейсте бақылайтын элементтердің санының да өсуі жүреді, оларды қолдану комбинациясы мен модельдің жағдайын өзгерту бойынша нұсқаулар саны, тұтынушының енгізіледі өңдеу процедуралары күрделілене түседі.
Қосымшаның функционалдығының күрделілігін арттыру сондай-ақ презентация деңгейінде байқалады. Веб - қосымшаның тұтынушылық интерфейстің қолдану жеңілдігі мен функционалдығы, сыртқы түріне жоғары талап қойылатындықтан, модель немесе контроллермен салыстырғанда бейнелеу деңгейі түзетудің көп мөлшерін басынан өткізеді.
Масштабты веб - қосымшаның модельдерін әзірлеудегі еңбек өнімділігін төмендету үшін компоненттік архитектураны, программалаудағы жинақталған және аспектіге бейімделген тәсілдерін қолдануды ұсынады. Тәуелсіз компоненттерден веб - қосымшаны жинау модельдеуді ықшамдайды, ал аспект түрінде қосымшаның бөлек модельдерінің жалпы функционалдығын рәсімдеу оларды әзірлеу бойынша күш - қуатты төмендетеді. Компонентті архитектураны қолдану кодты қайта қолдану пайызын жоғарылатуға, сондай-ақ жүйенің кеңейтілімділігі мен көлемділігі мәселелерін шешуге мүмкіндік береді.
Веб - қосымшаның бақылаушыларын әзірлеудегі еңбек өнімділігін төмендету үшін клиент - серверлік коммуникацияның лингвистикалық тәсілін қолдану ұсынылады. Веб - қосымша бақылаушыларының талдауы қосымшаның жағдайы өзгеруі бойынша модельдер нұсқауында клиенттік сұраныстың көптеген параметрлерін бейнелеу негізгі тапсырмаларының бірі екендігі туралы шешім шығаруға мүмкіндік береді. Осыған байланысты сұраныс параметрлері атауы әзірлеуші тағайындалатын, ал мәні тұтынушыға хабарланатын жолдың екіліктің (аты, мәні) көптеген түрлері бар. Сұраныстар параметріндегі әрекеттерді сипаттаудың арнайы тілін жасай отырып, интерпретацияланған кодты автоматты түрде тасымалдауға болады.
Веб - қосымшалардағы бейнелеу деңгейін әзірлеудегі еңбек өнімділігін төмендету үлкен дәстүрлі интерактивті программалау тілдерінің орнына құрылымдық жаңартудың декларативті тілдерін қолдану ұсынылады. Тәжірибе жүзінде көрсеткендей бейнелеу деңгейінде арнайы декларативті тілдер өте тиімдісі болып табылады.
Ұсынылған тәсілдер мен Модель - Вид - Контроллер парадигмалары негізінде веб - қосымшаның жалпы архитектура жасалынады (сурет 1). Берілген архитектурада модель аспектілі ортада орындалатын қосымшаның конфигурациясына сәйкес жинақталатын компоненттер жиынтығын білдіреді.
Тұтынушының енгізіледі өңдеуге қосымшаның жағдайының өзгеруі бойынша нұсқауда оларды бейнелей ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz