АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
МАЗМҰНЫ
КІРІСПЕ 3
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ 5
1.1 Ақпаратты қауіпсіздік ұғымы 5
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері 9
2 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ БАСҚАРУ ӘДІСТЕРІ МЕН ҚҰРАЛДАРЫ 11
2.1 Ақпаратты қорғаудың техникалық және жан жақты қамтитын құралдары 11
2.2 Ақпаратты қауіпсіздікті басқауды жоспарлау және ұйымдастыру 32
3 TCPIP КЛИЕНТ-СЕРВЕР ПРОГРАММАСЫН ҚҰРУ 52
3.1 Программаның алгоритмі және жұмыс істеу принципі 52
3.2 ТСРIP клиент-сервер программмасының негізгі атқаратын функциялары 57
4 ПРОГРАММАНЫҢ ЭКОНОМИКАЛЫҚ НӘТИЖЕЛІЛІГІН БАҒАЛАУ 60
4.1 Экономикалық есептер 60
ҚОРЫТЫНДЫ 65
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ 66
КІРІСПЕ
Қазіргі кезеңнің ерекшелігі – материалды және жігерлік қорларға
қарағанда, ақпарат маңыздырақ болып табылатын, индустриальды қоғамнан
ақпаратты қоғамға өту болып табылады. Қоғамда бар шаруашылық істердің нақты
мақсатына жету үшін қажетті, экономикалық потенциалдың элементтері қорлар
деп аталады. Бірақ қазіргі таңда, ақпаратты қорлар деген ұғым пайда болды,
олар заңдастырылғанмен, әлі де болса толығымен меңгерілген жоқ. Ақпаратты
қорлар дегеніміз–ақпаратты жүйелердегі (кітапханалардағы, мұрағаттардағы,
қорлардағы және т.б.) бөлек құжаттар мен бөлек көлемді құжаттар. Ақпаратты
тек тауарлар мен қызметтер үшін қолдануға ғана емес, сонымен қатар, оны
басқа біреуге сату немесе жою арқылы қолда бар затқа айналдыруға
болатындықтан, ақпаратты қорлар, жеке меншік болып саналып, тіркеуге
алынып, қорғалуы керек. Өндіруші үшін өзінің ақпараты, үлкен құндылық болып
саналады – өйткені мұндай ақпаратты алу өте көп еңбекті және қаржыны қажет
ететін процесс. Ақпараттың құндылығы бірінші орында оның табыс келтіруімен
анықталады.
Нарықтық экономика жағдайларында ақпаратты қорлар маңызды орынға ие.
Бәсекелестік нарықтық экономикадағы маңызды фактор болып табылады.
Мұндай жағдайлардағы негізігі қағида: кім ақпаратқа ие болса, сол адам
әлемге ие болғаны. Бәсекелестік тартыста, әр түрлі тәсілдермен, тіпті
заманауи барлау техникалық құралдарды қолдана отырып, тікелей өндірістік
тыңшылық жасай отырып, құпия ақпаратты алуға бағытталған әр түрлі іс-
шаралар кеңінен тараған.
Мұндай жағдайларда ақпаратты қорғау үшін арнайы көңіл бөлінеді.
Мұндағы ақпаратты қорғау мақсаттары болып: сыртқа хабарлауға жол бермеу,
қорғалынып жатқан мағлұматтардың сыртқа шығуына және оған деген
санкцияланбаған рұқсатқа жол бермеу; ақпаратты жою, модификациялау, бұзу,
көшірме жасау, шектеу сияқты әрекеттерді, заңға қайшы іс шараларды
болдыртпау; ақпаратты қорларға және ақпаратты жүйелерге басқа да заңсыз қол
сұғу түрлеріне жол бермеу; меншік объектісі ретінде құжатталған ақпаратты
заңды тәртіппен қамтамасыз ету; ақпаратты жүйелерде бар жеке құпиясын және
дербес мағлұматтардың құпиясын сақтау үшін азаматтардың конституциялық
құқығын қорғау; заңнамаға сәйкес мемлекеттік құпия мен құжатталған
ақпаратты қорғау; ақпаратты жүйелерді, технологияларды және оны қамтамасыз
ету құралдарын жасауда, өндіру мен қолдануда ақпаратты жүйедегі
субъектілердің құқығын қамтамасыз ету болып табылады.
Ақпаратты қауіпсіздік –ақпаратты қорғаудың нақты қажеттілігін ғана
қамтымай, сонымен қатар, қалай қорғау, неден, немен қорғау және қорғаныс
қалай болатындығын қамтитын, ауқымды және көп қырлы мәселе болып табылады.
Зерттеудің негізгі мақсаты–қазіргі таңдағы ақпаратты қауіпсіздіктің
маңызын, қауіп түрлерін, мониторингтің құралдары мен әдістерін және
ақпаратты қауіпсіздікті қорғау, мемлекет, компания және тұтынушы
деңгейлерінде оның ролін анықтау болып табылады.
Бұл мақсатқа жету үшін келесі мәселерді шешу керек:
• ақпаратты қауіпсіздік деген ұғымның мағынасын кеңінен ашу;
• ақпаратты қауіпсіздікті қамтамасыз етудің негізгі принциптері
мен тәсілдерін, қазіргі таңдағы оны реттеудің амалдарын негіздеу;
• мемлекеттің, әр түрлі кәсіпорындардың, сонымен қатар, соңғы
тұтынушылардың ақпаратты қауіпсіздігінің мәнін анықтау.
Зерттеудің объектісі қазіргі таңдағы ақпарат болып табылады.
Зерттеудің тақырыбы ақпаратты қорғаудың әдістері мен құралдары, сонымен
қатар, ақпаратты қорғаныстың қауіп-қатерлерімен күрес болып табылады.
Зерттеудің объъектісі мен тақырыбының ерекшеліктеріне байланысты,
оларды анализ жасауға әр түрлі ғылыми пәндердің методологиялық арсеналы
тартылған болатын: әлеуметтанудың, саясаттанудың, ақпараттандырудың,
ақпараттық қауіпсіздікті зерттейтін пән ретінде психологияның.
Жұмыс кіріспеден, тақырыптық принциптері әр түрлі төрт тараудан,
қорытынды және қолданылған әдебиеттер тізімінен тұрады.
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
1.1 Ақпаратты қауіпсіздік ұғымы
Ақпараттық қауіпсіздіктің (АҚ) астында ақпараттың және оны ұстап
тұрған инфрақұрылымдардың, кез келген кездейсоқ немесе әдейі жасалынған
ықпалдардың нәтижесінде, ақпаратқа, оның иесіне немесе оны ұстап тұрған
инфрақұрылымға тигізетін зиянынан қорғанысы деген ұғым жатыр.
Ұйымның ақпаратты қауіпсіздігі –ұйымның құрылуын, қолданылуын және
дамуын қамтамасыз ететін, ақпаратты қорғаныс күйі.
Ақпаратты өріс оны құрайтын екі бөлімдерден тұрады:
• ақпаратты–техникалық (адамның жасанды қолдан жасап алынған
техника, технология және т.б. әлемі)
• ақпаратты – психологиялық (адамның өзі де кіретін, тірі
табиғаттың табиғи әлемі)
Қауіпсіздіктің стандартқа сәйкес үлгісі ретінде үш категориядан
тұратын үлгілер ұсынылады:
1. Құпиялылық –ақпаратты тек оны пайдалануға құқы бар ғана субъект
қана еркін қолдана алатын, ақпараттың күйі ;
2. Тұтастық –ақпаратты заңсыз модификациялауды болдырмау.
Тұтастықты статистикалық (ақпаратты объектілердің тұрақтылығы деп
түсіндірілетін) және динамикалық (қиын іс әрекеттерді дұрыс орындауға
жатқызылатын (транзакцияға)) деп бөлуге болады;
3. Қолжетімділік –ақпаратты қолдануға құқы бар тұтынушыдан, уақытша
немесе әрдайым ақпаратты жасыруды болдырмау.
Ақпаратты қауіпсіздік:
• қолжетімділік
• тұтастық
• құпиялылық
Қауіпсіздіктің басқа да барлық уақытта қажетті емес категориялардың
үлгісін атап айтуға болады:
• қабылдау немесе шағым жасау –авторлықтан бас тарту
мүмкіншілігінің жоқтығы;
• біреуге міндеттілік –субъекттің кіруге рұқсатын сәйкестендіруді
қамтамасыз ету және оның іс әрекетін тіркеу;
• шынайылық –қарастырылған іс әрекетке немесе оның нәтижесіне
сәйкестік қасиеті;
• түп нұсқалық немесе шынайылық–субъект немесе қордың мәлімделген
субъект немесе қорға сәйкес екендігін қамтамасыз ететін қасиет;
Ақпаратты қауіпсіздікті қамтамасыз ету ісіндегі жетістік тек құрама
тәсілдерге ғана қол жеткізуі мүмкін.
АҚ қамтамасыз етудің келесі деңгейлерін бөліп көрсетуге болады:
• Заң шығарушы.
• Әкімшілік (қорғалынып жатқан ақпаратты жүйелермен байланысты,
ұйым басшыларының бұйрықтары мен басқа да іс-әрекеттері).
• Процедуралы (адамдарға бағытталған қауіпсіздік шаралары).
• Ақпаратты – техникалық.
Заң шығарушы деңгей ақпаратты қорғанысты қамтамасыз етудегі ең маңызды
деңгей. Адамдардың көпшілігі заңға қайшы іс әрекеттерді, техникалық жағынан
мүмкін емес болғандықтан емес, заңсыз әрекеттер жасауға болмайтындықтан, ол
әрекеттер қоғам тарапынан айыпталатын немесе жазаланатын болғандықтан
жасамайды[1].
АҚ қамтамасыз ету үшін заңға сәйкес екі шаралар тобы:
• шектеулі бағытталушылық шаралары –ақпаратты қауіпсіздіктің
бұзылуына және оны бұзушыларға қарсы қоғамда оларға деген кері қарым-
қатынасты құру мен оны сақтап қалуға бағытталған шаралар;
• ақпаратты қауіпсіздік саласында қоғамның сауаттылығын арттыруға
ықпал ететін, ақпаратты қауіпсіздікті қамтамасыз ететін құралдарды жасап
шығаруға, және оны таратуға көмектесетін, бағыттаушы және байланыстырушы
шаралар.
Заң шығару деңгейіндегі ең басты мәселе – діндер мен ақпаратты
технологиялардың ілгері дамуымен байланысты заңдарды шығару процесімен бір
қорытындыға келуге мүмкіндік беретін механизм құру.
АҚ басқарушы деңгейіне, ұйым басшыларының жалпы сипаттамаға ие іс-
әрекеттері жатады.
Басқарушы деңгейдің шараларының басты мақсаты – ақпаратты қауіпсіздік
саласында жұмыс бағдарламасын құру және керекті қорларды белгілей отырып,
іс шараларды қадағалай отырып, оның жүзеге асырылуын қамтамасыз ету.
Бағдарламаның негізі ұйымның өзінің ақпаратты активтерін қорғау
тәсілдерін бейнелейтін қауіпсіздік саясаты болып табылады. Қауіпсіздік
саясаты деген ұғымның астында, ұйым басшылығымен қабылданатын және
ақпаратты және онымен бірге ассоциацияланатын қорларға бағытталған құжаттық
шешімдердің жиынтығы жатыр.
Қауіпсіздік саясаты ұйымның ақпаратты жүйесі үшін айқын болып
табылатын, қауіп-қатерлерді анализ жасау негізінде құрылады.
Процедуралы деңгей шараларының негізгі таптары:
• қызметкерлерді басқару;
• физикалық қорғаныс;
• жұмысқа деген қабілеттілікті ұстап тұру;
• қауіпсіздік шарттарының бұзылуына қарсы әрекет ету;
• қайта құру жұмыстарын жоспарлау.
Қызметкерлерді басқару қызметкерді жұмысқа алудан, тіпті одан да
ертеректе – қызметке түсіндірме құрудан басталады.
Қызметтік нұсқаулықтарды құру үшін қажетті екі ереже:
• міндеттерге бөлу;
• артықшылықтарды азайту.
Міндеттерді бөлу принципіне ұйым үшін өте маңызды процесті бір адам
бұзбас үшін, қалай рольдер мен міндеттерді бөлу керектігіне кеңес береді.
Артықшылықтарды азайту приципі қызметтік міндеттіліктерді орындау үшін
ғана қажетті, құқықтарды қолданушыларға бөлуге кеңес береді.
Физикалық қорғаудың негізігі принципі, әрдайым қадағалануы тиіс,
уақыт кеңістігінде үздіксіз қорғау тұжырымдамасын сақтау.
Ақпараттық қауіпсіздік саясаты
Қауіпсіздік саясаты – мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі және қатынас құруды мәжбүрлі басқару.
Кепілдік – жүйенің сәулетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) – компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы - пайдаланушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы
талап етіледі:
• оңашалылық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
• толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
• иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу үшін
ол жинақы болуы керек[2].
Қауіпсіздік өзегі – қатынасым мониторының жүзеге асырылуы. Қауіпсіздік
өзегі барлық қорғаныш тетіктерінің құрылу негізі болып табылады. Қатынасым
мониторының аталған қасиеттерінен басқа қауіпсіздік өзегі өзінің
өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады.
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған
жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды
түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған
кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық
негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске
қатысушылардың өзара қарым - қатынастарын анықтау үшін қажет. Даярлық
кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық
ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар тасышулар,
деректер өңдеу және сақтау тәсілдері жайында мәлімет жиналады. Түгендеу
анықталған соң олардың осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайының қаншалықты толық және дұрыс талдануына тәуелді
болады. Қатерді талдау мыналардан тұрады: талданатын объектілерді және
оларды қарастырудың нақтылану дәрежесін таңдау; қатерді бағалау әдістемесін
таңдау; қауіптерді және олардың салдарын талдау; қатерлерді бағалау;
қорғаныш шараларын талдау; таңдап алынған шараларды жүзеге асыру және
тексеру; қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен құралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және
екіншіден, келтірілетін болашақ зиянды болжау – бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп-қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады. Жоспарға мынадай құжаттар қосылады:
қауіпсіздік саясаты; ақпаратты қорғау құралдарының объектіде орналасуы;
қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың сметасы; ақпарат
қорғаудың ұйымдастырушылық және техникалық шараларын жүзеге асырудың
күнтізбелік жоспары[4.]
Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында
келтірілген шаралармен қоса жабдықтаушылармен келісім-шарттар жасасу
жабдықтарды орнату және баптау, қажетті құжаттарды әзірлеу және т.б. осы
сияқты шаралар іске асырылады.
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері
Ақпаратпен бірге пайда болатын, өзіндік қауіпке ие төрт іс-әрекет бар:
жинау, модификация, шығу және жою.
Ары қарай қарастыру үшін бұл әрекеттер негізгі болып табылады.
Қабылданған жіктеулерге сүйене отырып, барлық қауіптердің қайнар
көздерін сыртқы және ішкі деп бөлеміз.
Ішкі қауіптердің қайнар көздері:
1. Ұйымның қызметкерлері;
2. Ауқымды қамтамасыз ету;
3. Аппаратты құралдар.
Ішкі қауіптер келесі формада көрініс табуы мүмкін:
• пайдаланушылар мен жүйелі әкімдердің қателіктері;
• қызметкерлердің, ақпаратты жинау, өңдеу, хабарлау мен жою сияқты
фирманың бекітілген регламенттерін бұзуы;
• жан жақты қамтамасыз ету жұмысындағы қателіктер;
• компьютер құрылғыларының жұмыс барысында істен шығуы мен
жаңылуы.
Қауіптердің сыртқы қайнар көздері:
1. Компьтер вирустары мен зиянды программалар;
2. Ұйымдар мен жеке тұлғалар;
3. Табиғи апаттар.
Сыртқы қауіптердің көрініс формалары болып:
• компьютерлердің вирустар немесе қауіпті программаларды жұқтыруы;
• бірлескен ақпаратқа заңсыз кіру (АЗК) ;
• бәсеке құрылымдары, барлау және арнайы қызмет орындары тарапынан
ақпаратты мониторинг;
• ақпаратты жинау, модификациялау, тәркілеу және жою іс-
әрекеттерімен бірге жүретін мемлекеттік құрылымдар мен қызметтердің іс-
әрекеттері;
• апаттар, өрттер, техногендік апаттар жатады.
Ақпаратты қауіпсізідік объектілеріне әсер ету тәсілдеріндегі
қауіптерді төмендегідей бөлуге болады: бағдарлама негізінде жасалатын,
физикалық, радиоэлектрлік және заңды ұйымдастыру.
Ақпараттылыққа жататындар:
• ақпаратты қорларға заңсыз кіру;
• ақпаратты жүйенің ішіндегі мағлұматтарды заңсыз көшіру;
• кітапханадан, мұрағаттардан, банктерден және мағлұматтар
базасынан ұрлау;
• ақпаратты өңдеу технологиясын бұзу;
• ақпаратты заңсыз жинау мен қолдану;
• ақпаратты қаруды қолдану.
Программа негізінде баяндалатын қауіптерге жататындар:
• БЖ қателерін қолдану;
• компьютер вирустары мен зиянды программалар;
Физикалық қауіптерге жататындар:
• ақпаратты және байланысты өңдеу құралдарын жою немесе құрту;
• ақпаратты тасымалдаушыларды ұрлау;
• программалы немесе аппаратты кілттер мен мағлұматтарды
криптографиялық қорғау құралдарын ұрлау;
Радиоэлектронды қауіптерге жататындар:
• ақпаратты ұстап қалудың электронды құрылғыларын техникалық
жағдайлар мен бөлмелерге ендіру;
• байланыс каналдарында ақпаратты ұстап қалу, қайта шифрлеу,
ауыстыру және жою.
Заңды ұйымдастырушы қауіптерге жататындар:
• ақпараттың аяқталмаған немесе ескірген ақпаратты технологиялары
мен құралдарын сатып алу;
• ақпаратты ортада заң шығарушы талаптарды бұзу және қажетті
нормативті заңдастырылған шешімдерді қабылдаудағы кідірулер[5].
Пайдаланушының идентификациясы мен аутентификациясы
Ақпаратты активтерге кіру барысында идентификация функциясы келесі
сұрақтарға: Сіз кімсіз? және Сіз кайдасыз? - сіз желінің
авторизацияланған пайдаланушысы болып табыласыз ба деген сұрақтарға жауап
береді. Авторизация функциясы, пайдаланушының қандай нақты қорларға кіруге
рұқсаты бар екендігіне жауап береді.
Қорларға кіруге рұқсат алу үшін пайдаланушы, екі деңгейден тұратын,
компьютерлі жүйені көрсету процесінен өтуі керек:
• идентификация- пайдаланушы жүйеге, жүйенің сұрауымен өзінің атын
айтады (идентификаторын);
• аутентификация- пайдаланушы жүйеге басқа пайдаланушыларға белгісіз,
өзі жайлы бірден бір мағлұматты енгізу арқылы идентификацияны растайды
(масылы, пароль).
Пайдаланушының идентификация және аутентификация процедураларын жүргізу
үшін төменде көрсетілгендер болу керек:
• аутентификация программалары;
• пайдаланушы жайында мағлұмат.
Субъект, келесі маңызды нәрселерді ұсына отырып, нағыз өзі екендігін растай
алады:
• өзі ғана білетін нәрсе (пароль, дербес идентификациялық нөмір,
криптографиялық кілт және т.с.с );
• өзінде ғана бар нәрсе (жеке карточкасы немесе осыған ұқсас басқа зат);
• өзінің бір бөлігі болып табылатын нәрсе (дауысы, саусақ іздері және
т.б., яғни өзінің биометриялық сипаттамасы).
Ашық желі ортасында идентификацияаутентификация жақтарының арасында
сенімді жол желісі жоқ; бұл дегеніміз, жалпы жағдайда субъект берген
мағлұматтар нағыз өзі екендігін тексеруге арналған алынған және қолданылған
мағлұматтармен сәйкес келмеуі мүмкін. Желіні, мағлұматтарды алу, өзгерту
және жаңадан жасау әрекеттерін болдырпау мақсатында, пассивті және активті
тыңдаулардан сақтайтын қорғанысты қамтамасыз ету қажет. Ашық түрде
парольді жіберу қанағаттанарлықсыз; ол жаңадан өңдеуден қорғай алмайтын
болғандықтан, парольдердің көрінісі мен шифрленуін құтқара алмайды. Мұндай
жағдайда аутентификацияның қиынырақ хаттамалары қажет.
Сенімді идентификация тек желілік қауіптерден ғана емес, сонымен
қатар, көптеген себептердің арқасында да қиындатылған. Біріншіден, барлық
аутентификациялық маңызды нәрселерді біліп алуға, ұрлап алуға немесе
ұқсастырып жасауға болады. Екіншіден, бір жағынан аутентификацияның сенімді
екендігі болса, екінші жағынан пайдаланушы мен жүйелі администратордың
ыңғайлылығы арасында қайшылықтар бар. Қауіпсіздік мақсатында,
пайдаланушыны бекітілген жиілікпен қайтадан аутентификациялық мағлұматты
енгізуді сұрау қажет (өйткені, оның орнына басқа біреу отыруы мүмкін), бұл
тек машахатты іс әрекет қана емес, сонымен қатар, басқа біреудің
енгізілетін мағлұматты біліп қою мүмкіндігін жоғарылатады. Үшіншіден,
қауіпсіздік әдістері сенімді болған сайын, оның құны да қымбат бола береді.
Соңғы уақытта ақпаратты қорғанысқа қатысты мәселелер актуальды болып
отыр. Компаниялар өздерінің ақпаратты активтердің қорғанысын жоғары
деңгейде қамтамасыз ету мақсатында, аутентификация құралдарын қолдану
жайында жиі ойланып жатыр. Пайдаланушының стандартты идентификация
құралдарын қолдануы ақпаратты қауіпсіздіктің қажетті деңгейін қамтамасыз
етпейді, ал бұл жағдайда пайдаланушылар әдетте:
• Стандартты парольдерді қолданады;
• Жұмыс орнында логин және паролі жазылған хаттар тастап кетеді;
• Идентификациялық мағлұматты электронды пошта арқылы жібереді.
Мұндай жағдайда зиянкестердің, бұзу және маңызды ақпараттқа ие болу қаупі
өте жоғары.
Идентификацияаутентификация жүйелерін құру программалы-ақпаратты
құралдарды-токендерді қолдану арқылы, ұйымның ақпаратты қауіпсіздігінің
жоғары қорғанысын қамтамасыз етеді.
Токендер–пайдаланушының жеке мағлұматы сақталынған тығыз USB-құралдары
немесе смарт-карталар. USB-құралы мен смарт-карта арасында функциональды
айырмашылық жоқ, екеуі де қорғалынған есі бар арнайы микросхеманы
қолданады. Олардың қолданысы ғана әр түрлі, USB-құралы дербес компьютерге
жалғанады, ал смарт-карталар арнайы оқитын құралдарды қолданады.
Токендер айтарлықтай жиі қолданылады:
Дербес компьютерде авторизациялау;
Электронды құжаттарды қорғау;
Қорғаныс байланыстарын орнату (SSL VPN);
Қиын парольдерді сақтау;
Қызметкерлердің жеке мәліметтерін сақтау;
Цифрлі сертификаттарды сақтау;
Бөлмені бақылау мен оған кіруге рұқсаттылықты басқару жүйесі (БКБЖ);
Ұйым ішінде қызметкерлердің қозғалысын бақылау;
Қызметкерлердің жұмыс уақытын ескеру және т.б..
Токендерді қолдану, ұйымның ақпаратты қауіпсіздігінің жалпы деңгейін көпке
жоғарылатады, ал егер сертификатталған тоқтамдарды қолданса, дербес
мағлұматтардың қорғанысын қамтамасыз ету барысында қаржыны үнемдеуге
мүмкіндік береді.
Негізінде, аутентификация жүйесі рұқсатсыз кіруден (РК) қорғайтын бірден
бір қорғаныстың құрамы болып табылады.
eToken PASS Aladdin компаниясынан –өзінің жұмысы барысында
компьютерге жалғануды талап етпейтін, бір рет қана қолданылатын
парольдердің автономды генераторы. eToken PASS бір рет қана қолданылатын
парольдердің генерациясына арналған батырмасы және оларды бейнелеуге
арналған СК-дисплейі бар.
ETOKEN PRO
eToken PRO USB-кілттері мен смарт-карталары смарт-картаның
микросхемасы негізінде жасалынған және олар аутентификация мен қорғалған
мағлұматтарды сақтауға арналған, ол цифрлі сертификаттар мен электронды
цифрлі қолдармен (ЭЦҚ) жұмысты аппаратты түрде қолдап тұрады.
Precise 100 MC және AET60 BioCARDKey заттары— Windows ортасында жұмыс
істейтін, USB-құралы. Смарт-картаны оқитын ISO 7816-3 (T=0, T=1
хаттамалары) стандартының талаптарына сәйкес келетін, микропроцессорлы
карталардың барлық типтерін қолдайды. Дактилоскопиялық оқитындар Precise
100 MC және AET60 BioCARDKey сәйкес сканерлеу жылдамдығы секундына 4 және
14 саусақ іздеріне дейін болатын, көлемді типті сканерлер болып табылады.
Шифрлеу
Әр түрлі көлемді желілердегі ақпаратқа рұқсатсыз кірумен байланысты,
компьютерлі қылмыстардың деңгейі жоғары болғандықтан, желілерді қорғаудың
нақты механизмдерін құру қажеттілігі туындап отыр. Байланыстардың желі
каналдарындағы ақпаратты қорғаудың тек бір ғана сенімді механизмі, оны
шифрлеу болып табылатындығын тәжірибе көрсетті, ал бұл дегеніміз, құпия
мағлұматтарды криптографиялық өзгертуді қолдану.
Кез келген компьютерлі желінің ерекшелігі, олардың деңгейлерге бөлінуі
болып табылады, олардың әр қайсысы желіде байланысқан компьютерлер
арасындағы қарым-қатынас үшін арналған нақты шарттардың сақталуына және
функциялардың орындалуына жауап береді. Мұндай деңгейлерге бөлу, стандартты
компьютерлер желілерін құруда маңызды мәні бар. Сол себептен, 1984 жылы
бірнеше халықаралық ұйымдар мен комитеттер өздерінің күшін біріктіріп, OSI
(Open Systems Interconnection - Ашық желі байланысының үлгісі) атты атақты
компьютерлі желіге ұқсас үлгісін жасап шығарды.
OSI үлгісіне сәйкес, коммуникация функциялары деңгейлерге бөлінген.
Әрбір деңгейдің функциясы төменгі немесе жоғарғы деңгейлерге бағынышты
емес. Әрбір деңгей тек тікелей екі көршілес деңгейлермен ғана қарым-
қатынаста бола алады. Теориялық тұрғыдан, компьютерлі желінің байланыс
каналдары арқылы жіберу үшін мағлұматтарды шифрлеу, OSI үлгісінің кез
келген деңгейінде жүзеге асырыла алады. Тәжірибеде ол әдетте, ең төменгі
немесе ең жоғарғы деңгейде жасалынады. Егер мағлұматтар ең төменгі деңгейде
шифрленсе, мұндай шифрлеу каналды деп, ал жоғарғы жақта шифрленсе, тесіп
өтетін деп аталады. Мағлұматтарды шифрлеуге арналған екі тәсілдер де
артықшылықтар мен кемшіліктерге ие.
Каналды шифрлеу барысында әрбір байланыс каналынан өтетін ашық
мәтінді хабарламаны, сонымен қатар, оның бағыты мен қолданған қарым-қатынас
хаттамасы жөнінде ақпаратты қоса алғанда, барлық мағлұматтар шифрленеді.
Бірақ, бұл жағдайда, кез келген интеллектуальды желі түйіні (мысалы,
коммутатор) кіріп жатқан мағлұматтар ағынын үлгіге сәйкес өңдеу үшін,
шифрлеуі тиіс, содан соң қайта шифрлеп, желінің басқа түйініне жіберуі
тиіс.
Кілттермен бірге жұмыс істеу де айтарлықтай қиын жұмыс емес.
Қолданылып жатқан кілттерін, кейіннен түйіннің басқа жұбына қарамастан
ауыстыра алатындай болу үшін, байланыс желісінің көршілес екі түйінін ғана
бірдей кілттермен қамтамасыз ету керек.
Сонымен қатар, каналды шифрлеу барысында мағлұматтар жіберілетін
компьютерлі желінің әрбір түйінін қосымша қорғау керек болады. Егер желі
абоненттері бір-біріне толық сенімді болса, және оның әрбір түйіні
зиянкестерден қорғалған жерде орналасса, онда каналды шифрлеудің бұл
кемшілігіне назар аудармауға болады.
Жіберілетін хабарламаны енді әрдайым шифрлеу және желінің әрбір аралық
түйінінен өту барысында оның шифрін ашу қажет емес. Ол жіберуші мен
қабылдап алушыға дейінгі барлық жолда шифрленген болып қала береді.
Желіні пайдаланушылар алдындағы негізгі мәселе, ол тесіп өтетін
шифрлеуді қолдануды қажет ететін жерлер, бұл мәселе хабарламалар бағыты
үшін қолданылатын, қызметтік ақпарат желі ішінде шифрленбеген түрінде
өтетіндігімен байланысты.
Тесіп өтетін шифрлеу каналды шифрлеумен салыстырғанда, кілттермен
жұмыс жасаудың қиындығымен ерекшеленеді, өйткені компьютер желісін
қолданатын әрбір жұп бір бірімен байланыс жасамай жатып, бірдей кілттермен
қамтамасыз етілуі керек.
Аппаратты шифрлеу
Мағлұматтарды криптографиялық қорғау құралдарының көпшілігі арнайы
физикалық құрал түрінде жасалған. Бұл құралдар байланыс желісіне орнатылып,
желі арқылы жіберілетін барлық ақпараттарды шифрлейді.
Криптографиялық алгоритмдер ашық мәтін биті бар қиын операциялар
санының көптігінен тұрады. Заманауи жан жақты компьютерлер бұл
операцияларды тиімді орындауға жақсы бейімделмеген, ал арнайы құрал бұл
жұмысты айтарлықтай тез атқара алады.
Файлдарды программалы шифрлеу
Кез келген криптографиялық алгоритмді сәйкес келетін программа түрінде
жүзеге асыруға болады. Мұндай іске асырудың артықшылықтары айқын:
шифрлеудің программалы тәсілдері оңай көшіріледі, оларды қолдану оңай, және
нақты қажеттіліктерге сәйкес оларды модификациялау қиынға соқпайды.
Әрине, бірлескен қорғаныстың бірінші желісі пайдаланушының іс-
әрекетін, қосымша дәрежесінде брандмауэрлердің және қорғаныс құралдарының
дұрыс орнатылуын қатаң бақылауды алдын ала қарастыруы керек. Бірақ, әңгіме
ең маңызды бірлескен ақпарат жайында болғанда, терең эшелонды қорғанысты
құру қажет.
Шифрлеу құралдарын қолданатын барлық ұйымдар, ұйым ішінде мұндай
құралдарды қолданудың барлық жағдайларын реттейтін, мағлұматтарды шифрлеуді
бақылаудың барлық ережелерін қатаң сақтауы керек (Cryptographic Controls
Policy).
Қандай мағлұматтар құпия категориясына жататынын, ал қандайлары
жатпайтыны анықтау міндеті пайдаланушыға жүктелгенде, FDE технологиясы
бөлек файлдарды шифрлеу үшін арналмаған. Бұл технология қатты дискке
жазылған барлық битті дерлік шифрлейді, егер ең соңғысы зиянкестің қолына
түскен жағдайда, ол адам мағынасы жоқ, кездейсоқ мағлұматтар жинағын көре
алады. Әдетте, FDE өнімдері өзінің тиеуіш секторын құра отырып, және
операциялық жүйенің қарапайым тиеу процесін айналып өтіп, бұл мәселені
шешеді, сол себептен, шифрлеудің өшіріп қойылған функциясы барысында жүйе
тіпті қосыла да алмайды. Әдетте FDE программалары симметриялық (құпия)
кілтті пайдалана отырып, дисктің ішіндегісін шифрлейді, өйткені бұл
процедура өте тез орындалады. Ақпаратты қорғау деңгейін жоғарылатуды
қамтамасыз ету мақсатында FDE ассиметриялық (ашық) кілт көмегімен
симметриялық кілтті шифрлейді. Осылайша, симметриялық шифрлеудің ең жылдам
процедурасы қатты дисктегі мағлұматтар үшін қолданылады, ал ашық кілт
кілтті шифрлеу үшін ғана қолданылады, ал ол жылдамырақ жұмыс жасауды
қамтамасыз етеді.
Нарықта мағлұматтарды шифрлеуге арналған көптеген пакеттер ұсынылған.
Қарапайым администратордың көзқарасы бойынша, олардың саны таң қаларлық
болып көрінуі мүмкін. Осы жағдайды есепке ала отырып, мен үш заманауи
өнімдерді қысқаша сиапаттаумен шектелемін—Microsoft компаниясының
BitLocker, PGP компаниясының Whole Disk Encryption және WinMagic
компаниясының SecureDoc.
BitLocker
Windows жүйесінде тікелей операциялық жүйеге интегралданған, диск
деңгейінде шифрлеу құралдары бұрыннан пайдаланып жатқаны көпшілікке
белгісіз. Бұл құрал EFS деп аталады, және бұл программа жайында айтылатын
ең жақсы хабар, оның тегін таратылатындығы. Бірақ EFS диск ішіндегі
барлық мағлұматтарды шифрлемейді, ол тек операциялық жүйенің каталогтарымен
ғана шектеліп қояды. Bitlocker пакетінің ең маңызды артықшылығы – дәл осы
мүмкіндігі мен бағасында. Ал ең басты кемшілігі, жергілікті
администратордың тіркеуінсіз кілттерді шығару мүмкін емес. Әрбір
пайдаланушыға арналған сақталынған кілт, осы пайдаланушының тіркеу
жүйесінде тіркелу үшін пароль көмегімен шифрленеді. Сол себепті, егер
зиянкес жергілікті администратор құқығына ие болғанша сіздің
компьютеріңізде отырып, үйреніп қалса, онда ойын аяқталады да, зиянкес
шифрлеудің кілтін ала алады (егер, олар жоғарыда айтып өткендей, сыртқы
қорғаушыда сақталмаса).
PGP компаниясының Whole Disk Encryption
Жасап шығарушы-компания самғау сәттерін де, құлау сәттерін де басынан
өткізді, бірақ соған қарамастан осы күнге дейін ол жеке қажеттіліктер үшін
шифрлеу аясында басты стандарт болып қалуда. Сонымен қатар, Whole Disk
Encryption. Whole Disk Encryption деп аталатын—платформа шешімдеріне
тәуелсіз FDE топты өнімді қоса алғанда, PGP серверлер мен кәсіпорындар
үшін кең көлемді шешімдерді ұсынады, сол себептен, бір қатар серверлі
операциялар жүйесін қолданатын ұйымдар үшін тиімді таңдау болып саналады.
WinMagic компаниясының SecureDoc
WinMagic компаниясы күшті басқару құралдарының қасында іріктеп сайланатын,
SecureDoc деп аталатын, Windows платформасы үшін FDE-шешімін ұсынады. Өнім
256-разрядты кілтпен бірге AES стандарты бойынша шифрлеуді қолданады; онда
қолданылатын хеширлеуге арналған SHA2 алгоритмі де жеткілікті деңгейде
берік болып саналады. Шифрлеу кілттеріне сүйенгенде, SecureDoc
аутентификацияның екі факторын қолдануды жорамалдайды; өнімнің негізгі
массасын өндірушілер парольдер мен шартты белгілермен ғана шектеліп қояды.
Брандмауэр
Брандмауэр – желіні екі немесе одан да көп бөліктерге бөлуге және
пакеттердің бір бөліктен екінші бөлікке өту шартын анықтайтын ережелер
жиынтығын жүзеге асыруға мүмкіндік беретін жүйе немесе жүйелер әрекеті
болып табылады. Әдетте, бұл шекара кәсіпорынның жергілікті желісі мен
INTERNET арасында жүргізіледі, оны кәсіпорынның жергілікті желісінің ішінен
де жүргізуге болады. Осылайша, брандмауэр өзі арқылы барлық трафикті
өткізеді. Әрбір өтіп жатқан пакетті өткізу немесе өткізбей қою жөнінде
шешімді брандмауэр өзі қабылдайды. Брандмауэр мұндай шешімдерді қабылдай
алу үшін, ол ережелер жиынтығын өзі үшін анықтап алуы керек. Бұл ережелер
қалай сипатталатыны және оларды сипаттау барысында қандай параметрлер
қолданылатындығы жайында төменде көрсетіледі.
Әдетте, брандмауэр жұмысына басшылық ететін операциялық жүйеге
өзгертулер енгізіледі, олардың мақсаты – брандмауэрдың қорғанысын күшейту.
Бұл өзгертулер ОЖ өзегін де, конфигурацияның сәйкес файлдарын да қозғайды.
Брандмауэрдің өзінде пайдаланушылардың санының болуы рұқсат етілмейді, тек
администраторлардың саны ғана рұқсат етіледі. Брандмауэрлердің көпшілігінде
программа кодтарының тұтастығын тексеретін жүйесі бар. Осыған қарамастан,
программа кодтарының бақылау соммасы қорғалған жерде сақталынып,
бағдарламалы қамтамасыз етуді ауыстырып қоюды болдырмас үшін, программаны
бастау алдында салыстырылады.
Барлық брандмауэрлерді үш типке бөлуге болады:
• пакетті фильтрлер (packet filter)
• іс жүзінде қолданылатын серверлер(application gateways)
• байланыс деңгейіндегі серверлер (circuit gateways)
Барлық типтер бір мезгілде бір бранмауэрде кездесуі мүмкін.
Пакетті фильтрлер
Пакетті фильтрлері бар брандмауэрлер IP-адрестерді, осы пакеттің
атауындағы ТСР порттарының жалауларын немесе нөмірлерін қарай отырып,
пакетті өткізу немесе өткізбей қою жайында шешімдер қабылдайды. IP-адрес
пен порттың нөмірі – сәйкес келетін желі және транспорт деңгейіндегі
ақпарат, бірақ пакетті фильтрлер іс жүзінде қолданылатын деңгейдегі
ақпаратты да қолданады, өйткені барлық TCPIP барлық стандартты сервистер
порттың нақты бір нөмірімен ассоциацияланады.
Пакеттердің өту ережесін түсіндіру үшін кестелер құрылады:
Іс пакет қайнар көз қайнар көз тағайынд. тағайынд. жалаула
әрекеттипі адресі порты адресі порты р
"Іс әрекет" аясы өткізу немесе өткізбеу жайында шешім қабылдай алады.
Пакеттің типі - TCP, UDP немесе ICMP.
Жалаулар - IP-па-кет атауының жалаулары.
"Қайнар көздің порты" аясы мен "тағайындалған порт" TCP және UDP пакеттері
үшін ғана маңызды.
Іс жүзінде қолданылатын деңгейдегі серверлер
Іс жүзінде қолданылатын деңгейдегі серверлері бар брандмауэрлер
брандмауэрлерде жіберілетін және берілген сервиске қатысты трафиктердің
барлық өзінен өткізетін, нақты сервистердің серверлерін қолдана алады-
TELNET, FTP және т.б. (proxy server). Осылайша, клиент пен сервер арасында
екі байланыс орнатылады: клиенттен брандмауэрге дейін және брандмауэрден
тағайындалған жерге дейін.
Ұстап тұрған серверлердің толық жиынтығы әрбір нақты брандмауэр үшін
өзгешеленеді, бірақ, көбінесе төмендегі сервистерге арналған серверлер
кездеседі:
• терминалдар (Telnet, Rlogin)
• файлдарды жіберу (Ftp)
• электронды пошта (SMTP, POP3)
• WWW (HTTP)
• Gopher
• Wais
• X Window System (X11)
• Принтер
• Rsh
• Finger
• жаңалықтар (NNTP) және т.б.
Іс жүзінде қолданылатын деңгейдегі серверлерді қолдану маңызды
мәселені шешуге мүмкіндік береді – пошта пакеттерінің аттарындағы немесе
домен аттарының қызметі (DNS) жайлы ақпаратты қоса алғанда, жергілікті
желі құрылымын сыртқы пайдаланушылардан жасыру. Басқа жағымды жағы
пайдаланушы деңгейінде аутентификация жасау мүмкіндігі (аутентификация-бір
нәрсенің ұқсастығын растау процесі; берілген жағдайда, ол пайдаланушыны
шынында өзін өзі көрсеткен адам екендігін растайтын процесс).
Кіру ережелерін сипаттау барысында сервер аты, пайдаланушының аты,
сервисті қолдануға рұқсат етілген уақыт көлемі, сервиспен қолдануға болатын
компьютерлер, аутентификация схемалары сияқты параметрлер қолданылады. Іс
жүзінде қолданылатын деңгейдегі серверлердің хаттамалары ең жоғары
деңгейдегі қорғанысты қамтамасыз етуге мүмкіндік береді – барлық кіріс және
шығыс трафигін толығымен бақылайтын сыртқы әлеммен байланыс, іс жүзінде
қолданылатын программалардың аз саны арқылы жүзеге асырылады.
Байланыс деңгейіндегі серверлер
Байланыс деңгейіндегі серверлер ТСР байланысының трансляторын бейнелейді.
Пайдаланушы байланысты брандмауэрдегі белгілі бір порт арқылы орнатады,
содан соң, соңғысы брандмауэрдың арғы жағындағы тағайындалған орынмен
байланыс орнатады. Сеанс барысында, бұл транслятор сым сияқты әрекет ете
отырып, екі бағыттағы да байттарды көшіреді.
Әдетте, қайнар көздердің көп болу мүмкіндігіне қарамастан (бір-көп типті
байланыс), тағайындалған пункт алдын ала беріледі. Әр түрлі порттарды
пайдалана отырып, әр түрлі конфигурацияларды құруға болады.
Сервердің мұндай типі ТСР негізделген кез келген нақты сервисті
пайдаланушы үшін транслятор құруға, осы сервиске кіретіндерді бақылауды
жүзеге асыруға, оны қолдану жөнінде санақ жинауға мүмкіндік береді.
Салыстырмалы сипаттамалар
Төменде, бір-біріне қатысты іс жүзінде қолданылатын деңгейдегі пакетті
фильтлер мен серверлердің негізгі артықшылықтары мен кемшіліктері
көрсетілген.
Пакетті фильтлердің артықшылықтарына төмендегілерді жатқызуға болады:
• салыстырмалы түрде қымбат тұрмайды
• фильтрация ережелерін анықтаудағы иілгіштігі
• пакеттердің өтуі барысындағы азғантай кідіруі
Берілген типті брандмауэрлердің кемшіліктері:
• INTERNET жергілікті желісі көрінеді (маршрутталады)
• пакеттерді фильтрациясының ережелерін сипаттау қиын, TCP және UDP
технологиялары жайында өте жақсы білім қажет
• брандмауэрдің жұмысы бұзылған кезде, одан кейінгі барлық компьютерлер
толық қорғалмаған немесе қол жетпес болып қалады
• IP-адресті қолдану арқылы аутентификациялауды IP-спуфингін қолдану
арқылы алдауға болады (IP-адресті қолдану арқылы шабыл жасап жатқан
жүйе өзін басқа қылып көрсетеді)
• пайдаланушының деңгейінде аутентификацияның болмауы
Іс жүзінде қолданылатын деңгейдегі серверлердің артықшылықтарына
төмендегілерді жатқызуға болады:
• INTERNET жергілікті желі көрінбейді
• брандмауэрдің жұмысы бұзылған кезде, пакеттер брандмауэр арқылы өтпей
қалады, осылайша онымен қорғалатын машиналар үшін ешбір қауіп төнбейді
• қосымшалар деңгейіндегі қоғаныс жан-жақты қамтамасыз етуде тесіктерді
қолдану арқылы бұзып кіру мүмкіндігін төмендете отырып, көптеген
қосымша тексерулерді жүзеге асыруға мүмкіндік береді
• пайдаланушы деңгейіндегі аутентификация бұзып кіру әрекеті жайында тез
арада хабарлау жүйесі жүзеге асырыла алады.
Бұл типтің кемшіліктері:
• пакетті фильтрлердің құнына қарағанда жоғарырақ;
• RPC және UDP хаттамаларын қолдану алмау;
• пакетті фильтрлер үшін дайындалатындарға қарағанда өндіріс азырақ.
Виртуальды жеке желілер
VPN (англ. Virtual Private Network – виртуальді жеке желі) –басқа желі
үстінде құрылатын логикалық желі, мысалы Internet . Қарым-қатынас қауіпті
хаттамаларды қолдана отырып көпшілік қолданатын желілерде жүзеге
асырылатынына қарамастан, шифрлеудің арқасында бөтен адамдардан жабық
ақпарат алмасу каналдары құрылады. VPN мысалы, ұйым ішіндегі бірнеше
кеңселерді, олардың арасында бақыланбайтын каналдарды байланыстыру үшін
қолданылатын бір желіге біріктіруге мүмкіндік береді.
Шынында VPN белгіленген желінің көп ерекшеліктеріне ие, бірақ ол
баршаға қол жетімді желі шегінде ғана ашылады, мысалы Интернет. Туннелирлеу
әдісі көмегімен, мағлұматтар пакеті үктелі байланыс секілді, баршаға қол
жетімді желі арқылы трансляцияланады. Әрбір жұп арасында мағлұматтарды
жіберуші-алушы өзіндік бір туннель орнатылады—қауіпсіз логикалық байланыс,
ол бір хаттаманың мағлұматтарын екіншісінің пакетіне инкапсуляция жасауға
мүмкіндік береді.
Туннельдің негізгі құрамы:
• инициатор
• маршрутизацияланатын желі;
• туннельді коммутатор;
• бір немесе бірнеше туннельді терминаторлар болып табылады .
VPN желілерінің жіктелуі
VPN шешімдерін бірнеше негізгі параметрлерге жіктеуге болады:
1. Қолданылып жатқан ортаның типі бойынша:
• VPN қорғалған желілері . Ресми емес кең тараған жеке желілер түрі.
Оның көмегімен сенімсіз желі негізінде сенімді және қорғалған
желіастыны құруға болады, әдетте Интернетті. VPN қорғалған мысалы:
IPSec, OpenVPN және PPTP болып табылады.
• Сенімді VPN желілері. Олар жіберіліп жатқан ортаны сенімді деп
санап, үлкенірек желі шегінде виртуальды желіастыны құру мәселесін
ғана шешу керек болғанда қолданылады. Қауіпсіздікті қамтамасыз ету
мәселелері маңызды емес болып қалуда. Осыған ұқсас VPN шешімдерінің
мысалдары: MPLS және L2TP болып табылады. Бұл хаттамалар қауіпсіздікті
қамтамасыз ету мәселелерін басқаларына артады десек дұрыс болар,
мысалы L2TP, ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
КІРІСПЕ 3
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ 5
1.1 Ақпаратты қауіпсіздік ұғымы 5
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері 9
2 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ БАСҚАРУ ӘДІСТЕРІ МЕН ҚҰРАЛДАРЫ 11
2.1 Ақпаратты қорғаудың техникалық және жан жақты қамтитын құралдары 11
2.2 Ақпаратты қауіпсіздікті басқауды жоспарлау және ұйымдастыру 32
3 TCPIP КЛИЕНТ-СЕРВЕР ПРОГРАММАСЫН ҚҰРУ 52
3.1 Программаның алгоритмі және жұмыс істеу принципі 52
3.2 ТСРIP клиент-сервер программмасының негізгі атқаратын функциялары 57
4 ПРОГРАММАНЫҢ ЭКОНОМИКАЛЫҚ НӘТИЖЕЛІЛІГІН БАҒАЛАУ 60
4.1 Экономикалық есептер 60
ҚОРЫТЫНДЫ 65
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ 66
КІРІСПЕ
Қазіргі кезеңнің ерекшелігі – материалды және жігерлік қорларға
қарағанда, ақпарат маңыздырақ болып табылатын, индустриальды қоғамнан
ақпаратты қоғамға өту болып табылады. Қоғамда бар шаруашылық істердің нақты
мақсатына жету үшін қажетті, экономикалық потенциалдың элементтері қорлар
деп аталады. Бірақ қазіргі таңда, ақпаратты қорлар деген ұғым пайда болды,
олар заңдастырылғанмен, әлі де болса толығымен меңгерілген жоқ. Ақпаратты
қорлар дегеніміз–ақпаратты жүйелердегі (кітапханалардағы, мұрағаттардағы,
қорлардағы және т.б.) бөлек құжаттар мен бөлек көлемді құжаттар. Ақпаратты
тек тауарлар мен қызметтер үшін қолдануға ғана емес, сонымен қатар, оны
басқа біреуге сату немесе жою арқылы қолда бар затқа айналдыруға
болатындықтан, ақпаратты қорлар, жеке меншік болып саналып, тіркеуге
алынып, қорғалуы керек. Өндіруші үшін өзінің ақпараты, үлкен құндылық болып
саналады – өйткені мұндай ақпаратты алу өте көп еңбекті және қаржыны қажет
ететін процесс. Ақпараттың құндылығы бірінші орында оның табыс келтіруімен
анықталады.
Нарықтық экономика жағдайларында ақпаратты қорлар маңызды орынға ие.
Бәсекелестік нарықтық экономикадағы маңызды фактор болып табылады.
Мұндай жағдайлардағы негізігі қағида: кім ақпаратқа ие болса, сол адам
әлемге ие болғаны. Бәсекелестік тартыста, әр түрлі тәсілдермен, тіпті
заманауи барлау техникалық құралдарды қолдана отырып, тікелей өндірістік
тыңшылық жасай отырып, құпия ақпаратты алуға бағытталған әр түрлі іс-
шаралар кеңінен тараған.
Мұндай жағдайларда ақпаратты қорғау үшін арнайы көңіл бөлінеді.
Мұндағы ақпаратты қорғау мақсаттары болып: сыртқа хабарлауға жол бермеу,
қорғалынып жатқан мағлұматтардың сыртқа шығуына және оған деген
санкцияланбаған рұқсатқа жол бермеу; ақпаратты жою, модификациялау, бұзу,
көшірме жасау, шектеу сияқты әрекеттерді, заңға қайшы іс шараларды
болдыртпау; ақпаратты қорларға және ақпаратты жүйелерге басқа да заңсыз қол
сұғу түрлеріне жол бермеу; меншік объектісі ретінде құжатталған ақпаратты
заңды тәртіппен қамтамасыз ету; ақпаратты жүйелерде бар жеке құпиясын және
дербес мағлұматтардың құпиясын сақтау үшін азаматтардың конституциялық
құқығын қорғау; заңнамаға сәйкес мемлекеттік құпия мен құжатталған
ақпаратты қорғау; ақпаратты жүйелерді, технологияларды және оны қамтамасыз
ету құралдарын жасауда, өндіру мен қолдануда ақпаратты жүйедегі
субъектілердің құқығын қамтамасыз ету болып табылады.
Ақпаратты қауіпсіздік –ақпаратты қорғаудың нақты қажеттілігін ғана
қамтымай, сонымен қатар, қалай қорғау, неден, немен қорғау және қорғаныс
қалай болатындығын қамтитын, ауқымды және көп қырлы мәселе болып табылады.
Зерттеудің негізгі мақсаты–қазіргі таңдағы ақпаратты қауіпсіздіктің
маңызын, қауіп түрлерін, мониторингтің құралдары мен әдістерін және
ақпаратты қауіпсіздікті қорғау, мемлекет, компания және тұтынушы
деңгейлерінде оның ролін анықтау болып табылады.
Бұл мақсатқа жету үшін келесі мәселерді шешу керек:
• ақпаратты қауіпсіздік деген ұғымның мағынасын кеңінен ашу;
• ақпаратты қауіпсіздікті қамтамасыз етудің негізгі принциптері
мен тәсілдерін, қазіргі таңдағы оны реттеудің амалдарын негіздеу;
• мемлекеттің, әр түрлі кәсіпорындардың, сонымен қатар, соңғы
тұтынушылардың ақпаратты қауіпсіздігінің мәнін анықтау.
Зерттеудің объектісі қазіргі таңдағы ақпарат болып табылады.
Зерттеудің тақырыбы ақпаратты қорғаудың әдістері мен құралдары, сонымен
қатар, ақпаратты қорғаныстың қауіп-қатерлерімен күрес болып табылады.
Зерттеудің объъектісі мен тақырыбының ерекшеліктеріне байланысты,
оларды анализ жасауға әр түрлі ғылыми пәндердің методологиялық арсеналы
тартылған болатын: әлеуметтанудың, саясаттанудың, ақпараттандырудың,
ақпараттық қауіпсіздікті зерттейтін пән ретінде психологияның.
Жұмыс кіріспеден, тақырыптық принциптері әр түрлі төрт тараудан,
қорытынды және қолданылған әдебиеттер тізімінен тұрады.
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
1.1 Ақпаратты қауіпсіздік ұғымы
Ақпараттық қауіпсіздіктің (АҚ) астында ақпараттың және оны ұстап
тұрған инфрақұрылымдардың, кез келген кездейсоқ немесе әдейі жасалынған
ықпалдардың нәтижесінде, ақпаратқа, оның иесіне немесе оны ұстап тұрған
инфрақұрылымға тигізетін зиянынан қорғанысы деген ұғым жатыр.
Ұйымның ақпаратты қауіпсіздігі –ұйымның құрылуын, қолданылуын және
дамуын қамтамасыз ететін, ақпаратты қорғаныс күйі.
Ақпаратты өріс оны құрайтын екі бөлімдерден тұрады:
• ақпаратты–техникалық (адамның жасанды қолдан жасап алынған
техника, технология және т.б. әлемі)
• ақпаратты – психологиялық (адамның өзі де кіретін, тірі
табиғаттың табиғи әлемі)
Қауіпсіздіктің стандартқа сәйкес үлгісі ретінде үш категориядан
тұратын үлгілер ұсынылады:
1. Құпиялылық –ақпаратты тек оны пайдалануға құқы бар ғана субъект
қана еркін қолдана алатын, ақпараттың күйі ;
2. Тұтастық –ақпаратты заңсыз модификациялауды болдырмау.
Тұтастықты статистикалық (ақпаратты объектілердің тұрақтылығы деп
түсіндірілетін) және динамикалық (қиын іс әрекеттерді дұрыс орындауға
жатқызылатын (транзакцияға)) деп бөлуге болады;
3. Қолжетімділік –ақпаратты қолдануға құқы бар тұтынушыдан, уақытша
немесе әрдайым ақпаратты жасыруды болдырмау.
Ақпаратты қауіпсіздік:
• қолжетімділік
• тұтастық
• құпиялылық
Қауіпсіздіктің басқа да барлық уақытта қажетті емес категориялардың
үлгісін атап айтуға болады:
• қабылдау немесе шағым жасау –авторлықтан бас тарту
мүмкіншілігінің жоқтығы;
• біреуге міндеттілік –субъекттің кіруге рұқсатын сәйкестендіруді
қамтамасыз ету және оның іс әрекетін тіркеу;
• шынайылық –қарастырылған іс әрекетке немесе оның нәтижесіне
сәйкестік қасиеті;
• түп нұсқалық немесе шынайылық–субъект немесе қордың мәлімделген
субъект немесе қорға сәйкес екендігін қамтамасыз ететін қасиет;
Ақпаратты қауіпсіздікті қамтамасыз ету ісіндегі жетістік тек құрама
тәсілдерге ғана қол жеткізуі мүмкін.
АҚ қамтамасыз етудің келесі деңгейлерін бөліп көрсетуге болады:
• Заң шығарушы.
• Әкімшілік (қорғалынып жатқан ақпаратты жүйелермен байланысты,
ұйым басшыларының бұйрықтары мен басқа да іс-әрекеттері).
• Процедуралы (адамдарға бағытталған қауіпсіздік шаралары).
• Ақпаратты – техникалық.
Заң шығарушы деңгей ақпаратты қорғанысты қамтамасыз етудегі ең маңызды
деңгей. Адамдардың көпшілігі заңға қайшы іс әрекеттерді, техникалық жағынан
мүмкін емес болғандықтан емес, заңсыз әрекеттер жасауға болмайтындықтан, ол
әрекеттер қоғам тарапынан айыпталатын немесе жазаланатын болғандықтан
жасамайды[1].
АҚ қамтамасыз ету үшін заңға сәйкес екі шаралар тобы:
• шектеулі бағытталушылық шаралары –ақпаратты қауіпсіздіктің
бұзылуына және оны бұзушыларға қарсы қоғамда оларға деген кері қарым-
қатынасты құру мен оны сақтап қалуға бағытталған шаралар;
• ақпаратты қауіпсіздік саласында қоғамның сауаттылығын арттыруға
ықпал ететін, ақпаратты қауіпсіздікті қамтамасыз ететін құралдарды жасап
шығаруға, және оны таратуға көмектесетін, бағыттаушы және байланыстырушы
шаралар.
Заң шығару деңгейіндегі ең басты мәселе – діндер мен ақпаратты
технологиялардың ілгері дамуымен байланысты заңдарды шығару процесімен бір
қорытындыға келуге мүмкіндік беретін механизм құру.
АҚ басқарушы деңгейіне, ұйым басшыларының жалпы сипаттамаға ие іс-
әрекеттері жатады.
Басқарушы деңгейдің шараларының басты мақсаты – ақпаратты қауіпсіздік
саласында жұмыс бағдарламасын құру және керекті қорларды белгілей отырып,
іс шараларды қадағалай отырып, оның жүзеге асырылуын қамтамасыз ету.
Бағдарламаның негізі ұйымның өзінің ақпаратты активтерін қорғау
тәсілдерін бейнелейтін қауіпсіздік саясаты болып табылады. Қауіпсіздік
саясаты деген ұғымның астында, ұйым басшылығымен қабылданатын және
ақпаратты және онымен бірге ассоциацияланатын қорларға бағытталған құжаттық
шешімдердің жиынтығы жатыр.
Қауіпсіздік саясаты ұйымның ақпаратты жүйесі үшін айқын болып
табылатын, қауіп-қатерлерді анализ жасау негізінде құрылады.
Процедуралы деңгей шараларының негізгі таптары:
• қызметкерлерді басқару;
• физикалық қорғаныс;
• жұмысқа деген қабілеттілікті ұстап тұру;
• қауіпсіздік шарттарының бұзылуына қарсы әрекет ету;
• қайта құру жұмыстарын жоспарлау.
Қызметкерлерді басқару қызметкерді жұмысқа алудан, тіпті одан да
ертеректе – қызметке түсіндірме құрудан басталады.
Қызметтік нұсқаулықтарды құру үшін қажетті екі ереже:
• міндеттерге бөлу;
• артықшылықтарды азайту.
Міндеттерді бөлу принципіне ұйым үшін өте маңызды процесті бір адам
бұзбас үшін, қалай рольдер мен міндеттерді бөлу керектігіне кеңес береді.
Артықшылықтарды азайту приципі қызметтік міндеттіліктерді орындау үшін
ғана қажетті, құқықтарды қолданушыларға бөлуге кеңес береді.
Физикалық қорғаудың негізігі принципі, әрдайым қадағалануы тиіс,
уақыт кеңістігінде үздіксіз қорғау тұжырымдамасын сақтау.
Ақпараттық қауіпсіздік саясаты
Қауіпсіздік саясаты – мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі және қатынас құруды мәжбүрлі басқару.
Кепілдік – жүйенің сәулетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) – компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы - пайдаланушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы
талап етіледі:
• оңашалылық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
• толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны
орай өтуге мүмкіндік болмау керек;
• иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу үшін
ол жинақы болуы керек[2].
Қауіпсіздік өзегі – қатынасым мониторының жүзеге асырылуы. Қауіпсіздік
өзегі барлық қорғаныш тетіктерінің құрылу негізі болып табылады. Қатынасым
мониторының аталған қасиеттерінен басқа қауіпсіздік өзегі өзінің
өзгерместігіне кепілдік беруі керек.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады.
Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған
жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды
түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған
кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.
Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық
негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске
қатысушылардың өзара қарым - қатынастарын анықтау үшін қажет. Даярлық
кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.
Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық
ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар тасышулар,
деректер өңдеу және сақтау тәсілдері жайында мәлімет жиналады. Түгендеу
анықталған соң олардың осалдылығына талдау жасалынады.
Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың
қорғанылу күй - жағдайының қаншалықты толық және дұрыс талдануына тәуелді
болады. Қатерді талдау мыналардан тұрады: талданатын объектілерді және
оларды қарастырудың нақтылану дәрежесін таңдау; қатерді бағалау әдістемесін
таңдау; қауіптерді және олардың салдарын талдау; қатерлерді бағалау;
қорғаныш шараларын талдау; таңдап алынған шараларды жүзеге асыру және
тексеру; қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді
талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін
қорғаныш шаралары мен құралдары қажет. Қауіптерді талдау, біріншіден,
мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және
екіншіден, келтірілетін болашақ зиянды болжау – бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп-қатерлер тізбесі
және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі
ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең
әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге
асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген
талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың
тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады. Жоспарға мынадай құжаттар қосылады:
қауіпсіздік саясаты; ақпаратты қорғау құралдарының объектіде орналасуы;
қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың сметасы; ақпарат
қорғаудың ұйымдастырушылық және техникалық шараларын жүзеге асырудың
күнтізбелік жоспары[4.]
Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында
келтірілген шаралармен қоса жабдықтаушылармен келісім-шарттар жасасу
жабдықтарды орнату және баптау, қажетті құжаттарды әзірлеу және т.б. осы
сияқты шаралар іске асырылады.
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері
Ақпаратпен бірге пайда болатын, өзіндік қауіпке ие төрт іс-әрекет бар:
жинау, модификация, шығу және жою.
Ары қарай қарастыру үшін бұл әрекеттер негізгі болып табылады.
Қабылданған жіктеулерге сүйене отырып, барлық қауіптердің қайнар
көздерін сыртқы және ішкі деп бөлеміз.
Ішкі қауіптердің қайнар көздері:
1. Ұйымның қызметкерлері;
2. Ауқымды қамтамасыз ету;
3. Аппаратты құралдар.
Ішкі қауіптер келесі формада көрініс табуы мүмкін:
• пайдаланушылар мен жүйелі әкімдердің қателіктері;
• қызметкерлердің, ақпаратты жинау, өңдеу, хабарлау мен жою сияқты
фирманың бекітілген регламенттерін бұзуы;
• жан жақты қамтамасыз ету жұмысындағы қателіктер;
• компьютер құрылғыларының жұмыс барысында істен шығуы мен
жаңылуы.
Қауіптердің сыртқы қайнар көздері:
1. Компьтер вирустары мен зиянды программалар;
2. Ұйымдар мен жеке тұлғалар;
3. Табиғи апаттар.
Сыртқы қауіптердің көрініс формалары болып:
• компьютерлердің вирустар немесе қауіпті программаларды жұқтыруы;
• бірлескен ақпаратқа заңсыз кіру (АЗК) ;
• бәсеке құрылымдары, барлау және арнайы қызмет орындары тарапынан
ақпаратты мониторинг;
• ақпаратты жинау, модификациялау, тәркілеу және жою іс-
әрекеттерімен бірге жүретін мемлекеттік құрылымдар мен қызметтердің іс-
әрекеттері;
• апаттар, өрттер, техногендік апаттар жатады.
Ақпаратты қауіпсізідік объектілеріне әсер ету тәсілдеріндегі
қауіптерді төмендегідей бөлуге болады: бағдарлама негізінде жасалатын,
физикалық, радиоэлектрлік және заңды ұйымдастыру.
Ақпараттылыққа жататындар:
• ақпаратты қорларға заңсыз кіру;
• ақпаратты жүйенің ішіндегі мағлұматтарды заңсыз көшіру;
• кітапханадан, мұрағаттардан, банктерден және мағлұматтар
базасынан ұрлау;
• ақпаратты өңдеу технологиясын бұзу;
• ақпаратты заңсыз жинау мен қолдану;
• ақпаратты қаруды қолдану.
Программа негізінде баяндалатын қауіптерге жататындар:
• БЖ қателерін қолдану;
• компьютер вирустары мен зиянды программалар;
Физикалық қауіптерге жататындар:
• ақпаратты және байланысты өңдеу құралдарын жою немесе құрту;
• ақпаратты тасымалдаушыларды ұрлау;
• программалы немесе аппаратты кілттер мен мағлұматтарды
криптографиялық қорғау құралдарын ұрлау;
Радиоэлектронды қауіптерге жататындар:
• ақпаратты ұстап қалудың электронды құрылғыларын техникалық
жағдайлар мен бөлмелерге ендіру;
• байланыс каналдарында ақпаратты ұстап қалу, қайта шифрлеу,
ауыстыру және жою.
Заңды ұйымдастырушы қауіптерге жататындар:
• ақпараттың аяқталмаған немесе ескірген ақпаратты технологиялары
мен құралдарын сатып алу;
• ақпаратты ортада заң шығарушы талаптарды бұзу және қажетті
нормативті заңдастырылған шешімдерді қабылдаудағы кідірулер[5].
Пайдаланушының идентификациясы мен аутентификациясы
Ақпаратты активтерге кіру барысында идентификация функциясы келесі
сұрақтарға: Сіз кімсіз? және Сіз кайдасыз? - сіз желінің
авторизацияланған пайдаланушысы болып табыласыз ба деген сұрақтарға жауап
береді. Авторизация функциясы, пайдаланушының қандай нақты қорларға кіруге
рұқсаты бар екендігіне жауап береді.
Қорларға кіруге рұқсат алу үшін пайдаланушы, екі деңгейден тұратын,
компьютерлі жүйені көрсету процесінен өтуі керек:
• идентификация- пайдаланушы жүйеге, жүйенің сұрауымен өзінің атын
айтады (идентификаторын);
• аутентификация- пайдаланушы жүйеге басқа пайдаланушыларға белгісіз,
өзі жайлы бірден бір мағлұматты енгізу арқылы идентификацияны растайды
(масылы, пароль).
Пайдаланушының идентификация және аутентификация процедураларын жүргізу
үшін төменде көрсетілгендер болу керек:
• аутентификация программалары;
• пайдаланушы жайында мағлұмат.
Субъект, келесі маңызды нәрселерді ұсына отырып, нағыз өзі екендігін растай
алады:
• өзі ғана білетін нәрсе (пароль, дербес идентификациялық нөмір,
криптографиялық кілт және т.с.с );
• өзінде ғана бар нәрсе (жеке карточкасы немесе осыған ұқсас басқа зат);
• өзінің бір бөлігі болып табылатын нәрсе (дауысы, саусақ іздері және
т.б., яғни өзінің биометриялық сипаттамасы).
Ашық желі ортасында идентификацияаутентификация жақтарының арасында
сенімді жол желісі жоқ; бұл дегеніміз, жалпы жағдайда субъект берген
мағлұматтар нағыз өзі екендігін тексеруге арналған алынған және қолданылған
мағлұматтармен сәйкес келмеуі мүмкін. Желіні, мағлұматтарды алу, өзгерту
және жаңадан жасау әрекеттерін болдырпау мақсатында, пассивті және активті
тыңдаулардан сақтайтын қорғанысты қамтамасыз ету қажет. Ашық түрде
парольді жіберу қанағаттанарлықсыз; ол жаңадан өңдеуден қорғай алмайтын
болғандықтан, парольдердің көрінісі мен шифрленуін құтқара алмайды. Мұндай
жағдайда аутентификацияның қиынырақ хаттамалары қажет.
Сенімді идентификация тек желілік қауіптерден ғана емес, сонымен
қатар, көптеген себептердің арқасында да қиындатылған. Біріншіден, барлық
аутентификациялық маңызды нәрселерді біліп алуға, ұрлап алуға немесе
ұқсастырып жасауға болады. Екіншіден, бір жағынан аутентификацияның сенімді
екендігі болса, екінші жағынан пайдаланушы мен жүйелі администратордың
ыңғайлылығы арасында қайшылықтар бар. Қауіпсіздік мақсатында,
пайдаланушыны бекітілген жиілікпен қайтадан аутентификациялық мағлұматты
енгізуді сұрау қажет (өйткені, оның орнына басқа біреу отыруы мүмкін), бұл
тек машахатты іс әрекет қана емес, сонымен қатар, басқа біреудің
енгізілетін мағлұматты біліп қою мүмкіндігін жоғарылатады. Үшіншіден,
қауіпсіздік әдістері сенімді болған сайын, оның құны да қымбат бола береді.
Соңғы уақытта ақпаратты қорғанысқа қатысты мәселелер актуальды болып
отыр. Компаниялар өздерінің ақпаратты активтердің қорғанысын жоғары
деңгейде қамтамасыз ету мақсатында, аутентификация құралдарын қолдану
жайында жиі ойланып жатыр. Пайдаланушының стандартты идентификация
құралдарын қолдануы ақпаратты қауіпсіздіктің қажетті деңгейін қамтамасыз
етпейді, ал бұл жағдайда пайдаланушылар әдетте:
• Стандартты парольдерді қолданады;
• Жұмыс орнында логин және паролі жазылған хаттар тастап кетеді;
• Идентификациялық мағлұматты электронды пошта арқылы жібереді.
Мұндай жағдайда зиянкестердің, бұзу және маңызды ақпараттқа ие болу қаупі
өте жоғары.
Идентификацияаутентификация жүйелерін құру программалы-ақпаратты
құралдарды-токендерді қолдану арқылы, ұйымның ақпаратты қауіпсіздігінің
жоғары қорғанысын қамтамасыз етеді.
Токендер–пайдаланушының жеке мағлұматы сақталынған тығыз USB-құралдары
немесе смарт-карталар. USB-құралы мен смарт-карта арасында функциональды
айырмашылық жоқ, екеуі де қорғалынған есі бар арнайы микросхеманы
қолданады. Олардың қолданысы ғана әр түрлі, USB-құралы дербес компьютерге
жалғанады, ал смарт-карталар арнайы оқитын құралдарды қолданады.
Токендер айтарлықтай жиі қолданылады:
Дербес компьютерде авторизациялау;
Электронды құжаттарды қорғау;
Қорғаныс байланыстарын орнату (SSL VPN);
Қиын парольдерді сақтау;
Қызметкерлердің жеке мәліметтерін сақтау;
Цифрлі сертификаттарды сақтау;
Бөлмені бақылау мен оған кіруге рұқсаттылықты басқару жүйесі (БКБЖ);
Ұйым ішінде қызметкерлердің қозғалысын бақылау;
Қызметкерлердің жұмыс уақытын ескеру және т.б..
Токендерді қолдану, ұйымның ақпаратты қауіпсіздігінің жалпы деңгейін көпке
жоғарылатады, ал егер сертификатталған тоқтамдарды қолданса, дербес
мағлұматтардың қорғанысын қамтамасыз ету барысында қаржыны үнемдеуге
мүмкіндік береді.
Негізінде, аутентификация жүйесі рұқсатсыз кіруден (РК) қорғайтын бірден
бір қорғаныстың құрамы болып табылады.
eToken PASS Aladdin компаниясынан –өзінің жұмысы барысында
компьютерге жалғануды талап етпейтін, бір рет қана қолданылатын
парольдердің автономды генераторы. eToken PASS бір рет қана қолданылатын
парольдердің генерациясына арналған батырмасы және оларды бейнелеуге
арналған СК-дисплейі бар.
ETOKEN PRO
eToken PRO USB-кілттері мен смарт-карталары смарт-картаның
микросхемасы негізінде жасалынған және олар аутентификация мен қорғалған
мағлұматтарды сақтауға арналған, ол цифрлі сертификаттар мен электронды
цифрлі қолдармен (ЭЦҚ) жұмысты аппаратты түрде қолдап тұрады.
Precise 100 MC және AET60 BioCARDKey заттары— Windows ортасында жұмыс
істейтін, USB-құралы. Смарт-картаны оқитын ISO 7816-3 (T=0, T=1
хаттамалары) стандартының талаптарына сәйкес келетін, микропроцессорлы
карталардың барлық типтерін қолдайды. Дактилоскопиялық оқитындар Precise
100 MC және AET60 BioCARDKey сәйкес сканерлеу жылдамдығы секундына 4 және
14 саусақ іздеріне дейін болатын, көлемді типті сканерлер болып табылады.
Шифрлеу
Әр түрлі көлемді желілердегі ақпаратқа рұқсатсыз кірумен байланысты,
компьютерлі қылмыстардың деңгейі жоғары болғандықтан, желілерді қорғаудың
нақты механизмдерін құру қажеттілігі туындап отыр. Байланыстардың желі
каналдарындағы ақпаратты қорғаудың тек бір ғана сенімді механизмі, оны
шифрлеу болып табылатындығын тәжірибе көрсетті, ал бұл дегеніміз, құпия
мағлұматтарды криптографиялық өзгертуді қолдану.
Кез келген компьютерлі желінің ерекшелігі, олардың деңгейлерге бөлінуі
болып табылады, олардың әр қайсысы желіде байланысқан компьютерлер
арасындағы қарым-қатынас үшін арналған нақты шарттардың сақталуына және
функциялардың орындалуына жауап береді. Мұндай деңгейлерге бөлу, стандартты
компьютерлер желілерін құруда маңызды мәні бар. Сол себептен, 1984 жылы
бірнеше халықаралық ұйымдар мен комитеттер өздерінің күшін біріктіріп, OSI
(Open Systems Interconnection - Ашық желі байланысының үлгісі) атты атақты
компьютерлі желіге ұқсас үлгісін жасап шығарды.
OSI үлгісіне сәйкес, коммуникация функциялары деңгейлерге бөлінген.
Әрбір деңгейдің функциясы төменгі немесе жоғарғы деңгейлерге бағынышты
емес. Әрбір деңгей тек тікелей екі көршілес деңгейлермен ғана қарым-
қатынаста бола алады. Теориялық тұрғыдан, компьютерлі желінің байланыс
каналдары арқылы жіберу үшін мағлұматтарды шифрлеу, OSI үлгісінің кез
келген деңгейінде жүзеге асырыла алады. Тәжірибеде ол әдетте, ең төменгі
немесе ең жоғарғы деңгейде жасалынады. Егер мағлұматтар ең төменгі деңгейде
шифрленсе, мұндай шифрлеу каналды деп, ал жоғарғы жақта шифрленсе, тесіп
өтетін деп аталады. Мағлұматтарды шифрлеуге арналған екі тәсілдер де
артықшылықтар мен кемшіліктерге ие.
Каналды шифрлеу барысында әрбір байланыс каналынан өтетін ашық
мәтінді хабарламаны, сонымен қатар, оның бағыты мен қолданған қарым-қатынас
хаттамасы жөнінде ақпаратты қоса алғанда, барлық мағлұматтар шифрленеді.
Бірақ, бұл жағдайда, кез келген интеллектуальды желі түйіні (мысалы,
коммутатор) кіріп жатқан мағлұматтар ағынын үлгіге сәйкес өңдеу үшін,
шифрлеуі тиіс, содан соң қайта шифрлеп, желінің басқа түйініне жіберуі
тиіс.
Кілттермен бірге жұмыс істеу де айтарлықтай қиын жұмыс емес.
Қолданылып жатқан кілттерін, кейіннен түйіннің басқа жұбына қарамастан
ауыстыра алатындай болу үшін, байланыс желісінің көршілес екі түйінін ғана
бірдей кілттермен қамтамасыз ету керек.
Сонымен қатар, каналды шифрлеу барысында мағлұматтар жіберілетін
компьютерлі желінің әрбір түйінін қосымша қорғау керек болады. Егер желі
абоненттері бір-біріне толық сенімді болса, және оның әрбір түйіні
зиянкестерден қорғалған жерде орналасса, онда каналды шифрлеудің бұл
кемшілігіне назар аудармауға болады.
Жіберілетін хабарламаны енді әрдайым шифрлеу және желінің әрбір аралық
түйінінен өту барысында оның шифрін ашу қажет емес. Ол жіберуші мен
қабылдап алушыға дейінгі барлық жолда шифрленген болып қала береді.
Желіні пайдаланушылар алдындағы негізгі мәселе, ол тесіп өтетін
шифрлеуді қолдануды қажет ететін жерлер, бұл мәселе хабарламалар бағыты
үшін қолданылатын, қызметтік ақпарат желі ішінде шифрленбеген түрінде
өтетіндігімен байланысты.
Тесіп өтетін шифрлеу каналды шифрлеумен салыстырғанда, кілттермен
жұмыс жасаудың қиындығымен ерекшеленеді, өйткені компьютер желісін
қолданатын әрбір жұп бір бірімен байланыс жасамай жатып, бірдей кілттермен
қамтамасыз етілуі керек.
Аппаратты шифрлеу
Мағлұматтарды криптографиялық қорғау құралдарының көпшілігі арнайы
физикалық құрал түрінде жасалған. Бұл құралдар байланыс желісіне орнатылып,
желі арқылы жіберілетін барлық ақпараттарды шифрлейді.
Криптографиялық алгоритмдер ашық мәтін биті бар қиын операциялар
санының көптігінен тұрады. Заманауи жан жақты компьютерлер бұл
операцияларды тиімді орындауға жақсы бейімделмеген, ал арнайы құрал бұл
жұмысты айтарлықтай тез атқара алады.
Файлдарды программалы шифрлеу
Кез келген криптографиялық алгоритмді сәйкес келетін программа түрінде
жүзеге асыруға болады. Мұндай іске асырудың артықшылықтары айқын:
шифрлеудің программалы тәсілдері оңай көшіріледі, оларды қолдану оңай, және
нақты қажеттіліктерге сәйкес оларды модификациялау қиынға соқпайды.
Әрине, бірлескен қорғаныстың бірінші желісі пайдаланушының іс-
әрекетін, қосымша дәрежесінде брандмауэрлердің және қорғаныс құралдарының
дұрыс орнатылуын қатаң бақылауды алдын ала қарастыруы керек. Бірақ, әңгіме
ең маңызды бірлескен ақпарат жайында болғанда, терең эшелонды қорғанысты
құру қажет.
Шифрлеу құралдарын қолданатын барлық ұйымдар, ұйым ішінде мұндай
құралдарды қолданудың барлық жағдайларын реттейтін, мағлұматтарды шифрлеуді
бақылаудың барлық ережелерін қатаң сақтауы керек (Cryptographic Controls
Policy).
Қандай мағлұматтар құпия категориясына жататынын, ал қандайлары
жатпайтыны анықтау міндеті пайдаланушыға жүктелгенде, FDE технологиясы
бөлек файлдарды шифрлеу үшін арналмаған. Бұл технология қатты дискке
жазылған барлық битті дерлік шифрлейді, егер ең соңғысы зиянкестің қолына
түскен жағдайда, ол адам мағынасы жоқ, кездейсоқ мағлұматтар жинағын көре
алады. Әдетте, FDE өнімдері өзінің тиеуіш секторын құра отырып, және
операциялық жүйенің қарапайым тиеу процесін айналып өтіп, бұл мәселені
шешеді, сол себептен, шифрлеудің өшіріп қойылған функциясы барысында жүйе
тіпті қосыла да алмайды. Әдетте FDE программалары симметриялық (құпия)
кілтті пайдалана отырып, дисктің ішіндегісін шифрлейді, өйткені бұл
процедура өте тез орындалады. Ақпаратты қорғау деңгейін жоғарылатуды
қамтамасыз ету мақсатында FDE ассиметриялық (ашық) кілт көмегімен
симметриялық кілтті шифрлейді. Осылайша, симметриялық шифрлеудің ең жылдам
процедурасы қатты дисктегі мағлұматтар үшін қолданылады, ал ашық кілт
кілтті шифрлеу үшін ғана қолданылады, ал ол жылдамырақ жұмыс жасауды
қамтамасыз етеді.
Нарықта мағлұматтарды шифрлеуге арналған көптеген пакеттер ұсынылған.
Қарапайым администратордың көзқарасы бойынша, олардың саны таң қаларлық
болып көрінуі мүмкін. Осы жағдайды есепке ала отырып, мен үш заманауи
өнімдерді қысқаша сиапаттаумен шектелемін—Microsoft компаниясының
BitLocker, PGP компаниясының Whole Disk Encryption және WinMagic
компаниясының SecureDoc.
BitLocker
Windows жүйесінде тікелей операциялық жүйеге интегралданған, диск
деңгейінде шифрлеу құралдары бұрыннан пайдаланып жатқаны көпшілікке
белгісіз. Бұл құрал EFS деп аталады, және бұл программа жайында айтылатын
ең жақсы хабар, оның тегін таратылатындығы. Бірақ EFS диск ішіндегі
барлық мағлұматтарды шифрлемейді, ол тек операциялық жүйенің каталогтарымен
ғана шектеліп қояды. Bitlocker пакетінің ең маңызды артықшылығы – дәл осы
мүмкіндігі мен бағасында. Ал ең басты кемшілігі, жергілікті
администратордың тіркеуінсіз кілттерді шығару мүмкін емес. Әрбір
пайдаланушыға арналған сақталынған кілт, осы пайдаланушының тіркеу
жүйесінде тіркелу үшін пароль көмегімен шифрленеді. Сол себепті, егер
зиянкес жергілікті администратор құқығына ие болғанша сіздің
компьютеріңізде отырып, үйреніп қалса, онда ойын аяқталады да, зиянкес
шифрлеудің кілтін ала алады (егер, олар жоғарыда айтып өткендей, сыртқы
қорғаушыда сақталмаса).
PGP компаниясының Whole Disk Encryption
Жасап шығарушы-компания самғау сәттерін де, құлау сәттерін де басынан
өткізді, бірақ соған қарамастан осы күнге дейін ол жеке қажеттіліктер үшін
шифрлеу аясында басты стандарт болып қалуда. Сонымен қатар, Whole Disk
Encryption. Whole Disk Encryption деп аталатын—платформа шешімдеріне
тәуелсіз FDE топты өнімді қоса алғанда, PGP серверлер мен кәсіпорындар
үшін кең көлемді шешімдерді ұсынады, сол себептен, бір қатар серверлі
операциялар жүйесін қолданатын ұйымдар үшін тиімді таңдау болып саналады.
WinMagic компаниясының SecureDoc
WinMagic компаниясы күшті басқару құралдарының қасында іріктеп сайланатын,
SecureDoc деп аталатын, Windows платформасы үшін FDE-шешімін ұсынады. Өнім
256-разрядты кілтпен бірге AES стандарты бойынша шифрлеуді қолданады; онда
қолданылатын хеширлеуге арналған SHA2 алгоритмі де жеткілікті деңгейде
берік болып саналады. Шифрлеу кілттеріне сүйенгенде, SecureDoc
аутентификацияның екі факторын қолдануды жорамалдайды; өнімнің негізгі
массасын өндірушілер парольдер мен шартты белгілермен ғана шектеліп қояды.
Брандмауэр
Брандмауэр – желіні екі немесе одан да көп бөліктерге бөлуге және
пакеттердің бір бөліктен екінші бөлікке өту шартын анықтайтын ережелер
жиынтығын жүзеге асыруға мүмкіндік беретін жүйе немесе жүйелер әрекеті
болып табылады. Әдетте, бұл шекара кәсіпорынның жергілікті желісі мен
INTERNET арасында жүргізіледі, оны кәсіпорынның жергілікті желісінің ішінен
де жүргізуге болады. Осылайша, брандмауэр өзі арқылы барлық трафикті
өткізеді. Әрбір өтіп жатқан пакетті өткізу немесе өткізбей қою жөнінде
шешімді брандмауэр өзі қабылдайды. Брандмауэр мұндай шешімдерді қабылдай
алу үшін, ол ережелер жиынтығын өзі үшін анықтап алуы керек. Бұл ережелер
қалай сипатталатыны және оларды сипаттау барысында қандай параметрлер
қолданылатындығы жайында төменде көрсетіледі.
Әдетте, брандмауэр жұмысына басшылық ететін операциялық жүйеге
өзгертулер енгізіледі, олардың мақсаты – брандмауэрдың қорғанысын күшейту.
Бұл өзгертулер ОЖ өзегін де, конфигурацияның сәйкес файлдарын да қозғайды.
Брандмауэрдің өзінде пайдаланушылардың санының болуы рұқсат етілмейді, тек
администраторлардың саны ғана рұқсат етіледі. Брандмауэрлердің көпшілігінде
программа кодтарының тұтастығын тексеретін жүйесі бар. Осыған қарамастан,
программа кодтарының бақылау соммасы қорғалған жерде сақталынып,
бағдарламалы қамтамасыз етуді ауыстырып қоюды болдырмас үшін, программаны
бастау алдында салыстырылады.
Барлық брандмауэрлерді үш типке бөлуге болады:
• пакетті фильтрлер (packet filter)
• іс жүзінде қолданылатын серверлер(application gateways)
• байланыс деңгейіндегі серверлер (circuit gateways)
Барлық типтер бір мезгілде бір бранмауэрде кездесуі мүмкін.
Пакетті фильтрлер
Пакетті фильтрлері бар брандмауэрлер IP-адрестерді, осы пакеттің
атауындағы ТСР порттарының жалауларын немесе нөмірлерін қарай отырып,
пакетті өткізу немесе өткізбей қою жайында шешімдер қабылдайды. IP-адрес
пен порттың нөмірі – сәйкес келетін желі және транспорт деңгейіндегі
ақпарат, бірақ пакетті фильтрлер іс жүзінде қолданылатын деңгейдегі
ақпаратты да қолданады, өйткені барлық TCPIP барлық стандартты сервистер
порттың нақты бір нөмірімен ассоциацияланады.
Пакеттердің өту ережесін түсіндіру үшін кестелер құрылады:
Іс пакет қайнар көз қайнар көз тағайынд. тағайынд. жалаула
әрекеттипі адресі порты адресі порты р
"Іс әрекет" аясы өткізу немесе өткізбеу жайында шешім қабылдай алады.
Пакеттің типі - TCP, UDP немесе ICMP.
Жалаулар - IP-па-кет атауының жалаулары.
"Қайнар көздің порты" аясы мен "тағайындалған порт" TCP және UDP пакеттері
үшін ғана маңызды.
Іс жүзінде қолданылатын деңгейдегі серверлер
Іс жүзінде қолданылатын деңгейдегі серверлері бар брандмауэрлер
брандмауэрлерде жіберілетін және берілген сервиске қатысты трафиктердің
барлық өзінен өткізетін, нақты сервистердің серверлерін қолдана алады-
TELNET, FTP және т.б. (proxy server). Осылайша, клиент пен сервер арасында
екі байланыс орнатылады: клиенттен брандмауэрге дейін және брандмауэрден
тағайындалған жерге дейін.
Ұстап тұрған серверлердің толық жиынтығы әрбір нақты брандмауэр үшін
өзгешеленеді, бірақ, көбінесе төмендегі сервистерге арналған серверлер
кездеседі:
• терминалдар (Telnet, Rlogin)
• файлдарды жіберу (Ftp)
• электронды пошта (SMTP, POP3)
• WWW (HTTP)
• Gopher
• Wais
• X Window System (X11)
• Принтер
• Rsh
• Finger
• жаңалықтар (NNTP) және т.б.
Іс жүзінде қолданылатын деңгейдегі серверлерді қолдану маңызды
мәселені шешуге мүмкіндік береді – пошта пакеттерінің аттарындағы немесе
домен аттарының қызметі (DNS) жайлы ақпаратты қоса алғанда, жергілікті
желі құрылымын сыртқы пайдаланушылардан жасыру. Басқа жағымды жағы
пайдаланушы деңгейінде аутентификация жасау мүмкіндігі (аутентификация-бір
нәрсенің ұқсастығын растау процесі; берілген жағдайда, ол пайдаланушыны
шынында өзін өзі көрсеткен адам екендігін растайтын процесс).
Кіру ережелерін сипаттау барысында сервер аты, пайдаланушының аты,
сервисті қолдануға рұқсат етілген уақыт көлемі, сервиспен қолдануға болатын
компьютерлер, аутентификация схемалары сияқты параметрлер қолданылады. Іс
жүзінде қолданылатын деңгейдегі серверлердің хаттамалары ең жоғары
деңгейдегі қорғанысты қамтамасыз етуге мүмкіндік береді – барлық кіріс және
шығыс трафигін толығымен бақылайтын сыртқы әлеммен байланыс, іс жүзінде
қолданылатын программалардың аз саны арқылы жүзеге асырылады.
Байланыс деңгейіндегі серверлер
Байланыс деңгейіндегі серверлер ТСР байланысының трансляторын бейнелейді.
Пайдаланушы байланысты брандмауэрдегі белгілі бір порт арқылы орнатады,
содан соң, соңғысы брандмауэрдың арғы жағындағы тағайындалған орынмен
байланыс орнатады. Сеанс барысында, бұл транслятор сым сияқты әрекет ете
отырып, екі бағыттағы да байттарды көшіреді.
Әдетте, қайнар көздердің көп болу мүмкіндігіне қарамастан (бір-көп типті
байланыс), тағайындалған пункт алдын ала беріледі. Әр түрлі порттарды
пайдалана отырып, әр түрлі конфигурацияларды құруға болады.
Сервердің мұндай типі ТСР негізделген кез келген нақты сервисті
пайдаланушы үшін транслятор құруға, осы сервиске кіретіндерді бақылауды
жүзеге асыруға, оны қолдану жөнінде санақ жинауға мүмкіндік береді.
Салыстырмалы сипаттамалар
Төменде, бір-біріне қатысты іс жүзінде қолданылатын деңгейдегі пакетті
фильтлер мен серверлердің негізгі артықшылықтары мен кемшіліктері
көрсетілген.
Пакетті фильтлердің артықшылықтарына төмендегілерді жатқызуға болады:
• салыстырмалы түрде қымбат тұрмайды
• фильтрация ережелерін анықтаудағы иілгіштігі
• пакеттердің өтуі барысындағы азғантай кідіруі
Берілген типті брандмауэрлердің кемшіліктері:
• INTERNET жергілікті желісі көрінеді (маршрутталады)
• пакеттерді фильтрациясының ережелерін сипаттау қиын, TCP және UDP
технологиялары жайында өте жақсы білім қажет
• брандмауэрдің жұмысы бұзылған кезде, одан кейінгі барлық компьютерлер
толық қорғалмаған немесе қол жетпес болып қалады
• IP-адресті қолдану арқылы аутентификациялауды IP-спуфингін қолдану
арқылы алдауға болады (IP-адресті қолдану арқылы шабыл жасап жатқан
жүйе өзін басқа қылып көрсетеді)
• пайдаланушының деңгейінде аутентификацияның болмауы
Іс жүзінде қолданылатын деңгейдегі серверлердің артықшылықтарына
төмендегілерді жатқызуға болады:
• INTERNET жергілікті желі көрінбейді
• брандмауэрдің жұмысы бұзылған кезде, пакеттер брандмауэр арқылы өтпей
қалады, осылайша онымен қорғалатын машиналар үшін ешбір қауіп төнбейді
• қосымшалар деңгейіндегі қоғаныс жан-жақты қамтамасыз етуде тесіктерді
қолдану арқылы бұзып кіру мүмкіндігін төмендете отырып, көптеген
қосымша тексерулерді жүзеге асыруға мүмкіндік береді
• пайдаланушы деңгейіндегі аутентификация бұзып кіру әрекеті жайында тез
арада хабарлау жүйесі жүзеге асырыла алады.
Бұл типтің кемшіліктері:
• пакетті фильтрлердің құнына қарағанда жоғарырақ;
• RPC және UDP хаттамаларын қолдану алмау;
• пакетті фильтрлер үшін дайындалатындарға қарағанда өндіріс азырақ.
Виртуальды жеке желілер
VPN (англ. Virtual Private Network – виртуальді жеке желі) –басқа желі
үстінде құрылатын логикалық желі, мысалы Internet . Қарым-қатынас қауіпті
хаттамаларды қолдана отырып көпшілік қолданатын желілерде жүзеге
асырылатынына қарамастан, шифрлеудің арқасында бөтен адамдардан жабық
ақпарат алмасу каналдары құрылады. VPN мысалы, ұйым ішіндегі бірнеше
кеңселерді, олардың арасында бақыланбайтын каналдарды байланыстыру үшін
қолданылатын бір желіге біріктіруге мүмкіндік береді.
Шынында VPN белгіленген желінің көп ерекшеліктеріне ие, бірақ ол
баршаға қол жетімді желі шегінде ғана ашылады, мысалы Интернет. Туннелирлеу
әдісі көмегімен, мағлұматтар пакеті үктелі байланыс секілді, баршаға қол
жетімді желі арқылы трансляцияланады. Әрбір жұп арасында мағлұматтарды
жіберуші-алушы өзіндік бір туннель орнатылады—қауіпсіз логикалық байланыс,
ол бір хаттаманың мағлұматтарын екіншісінің пакетіне инкапсуляция жасауға
мүмкіндік береді.
Туннельдің негізгі құрамы:
• инициатор
• маршрутизацияланатын желі;
• туннельді коммутатор;
• бір немесе бірнеше туннельді терминаторлар болып табылады .
VPN желілерінің жіктелуі
VPN шешімдерін бірнеше негізгі параметрлерге жіктеуге болады:
1. Қолданылып жатқан ортаның типі бойынша:
• VPN қорғалған желілері . Ресми емес кең тараған жеке желілер түрі.
Оның көмегімен сенімсіз желі негізінде сенімді және қорғалған
желіастыны құруға болады, әдетте Интернетті. VPN қорғалған мысалы:
IPSec, OpenVPN және PPTP болып табылады.
• Сенімді VPN желілері. Олар жіберіліп жатқан ортаны сенімді деп
санап, үлкенірек желі шегінде виртуальды желіастыны құру мәселесін
ғана шешу керек болғанда қолданылады. Қауіпсіздікті қамтамасыз ету
мәселелері маңызды емес болып қалуда. Осыған ұқсас VPN шешімдерінің
мысалдары: MPLS және L2TP болып табылады. Бұл хаттамалар қауіпсіздікті
қамтамасыз ету мәселелерін басқаларына артады десек дұрыс болар,
мысалы L2TP, ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz