АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ

Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 43 бет
Таңдаулыға:

МАЗМҰНЫ

КІРІСПЕ3

1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ5

1. 1 Ақпаратты қауіпсіздік ұғымы5

1. 2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері9

2 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІ БАСҚАРУ ӘДІСТЕРІ МЕН ҚҰРАЛДАРЫ11

2. 1 Ақпаратты қорғаудың техникалық және жан жақты қамтитын құралдары11

2. 2 Ақпаратты қауіпсіздікті басқауды жоспарлау және ұйымдастыру32

3 TCP/IP КЛИЕНТ-СЕРВЕР ПРОГРАММАСЫН ҚҰРУ52

3. 1 Программаның алгоритмі және жұмыс істеу принципі52

3. 2 ТСР/IP клиент-сервер программмасының негізгі атқаратын функциялары57

4 ПРОГРАММАНЫҢ ЭКОНОМИКАЛЫҚ

4. 1 Экономикалық есептер60

ҚОРЫТЫНДЫ65

ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ66

КІРІСПЕ

Қазіргі кезеңнің ерекшелігі - материалды және жігерлік қорларға қарағанда, ақпарат маңыздырақ болып табылатын, индустриальды қоғамнан ақпаратты қоғамға өту болып табылады. Қоғамда бар шаруашылық істердің нақты мақсатына жету үшін қажетті, экономикалық потенциалдың элементтері қорлар деп аталады. Бірақ қазіргі таңда, ақпаратты қорлар деген ұғым пайда болды, олар заңдастырылғанмен, әлі де болса толығымен меңгерілген жоқ. Ақпаратты қорлар дегеніміз-ақпаратты жүйелердегі (кітапханалардағы, мұрағаттардағы, қорлардағы және т. б. ) бөлек құжаттар мен бөлек көлемді құжаттар. Ақпаратты тек тауарлар мен қызметтер үшін қолдануға ғана емес, сонымен қатар, оны басқа біреуге сату немесе жою арқылы қолда бар затқа айналдыруға болатындықтан, ақпаратты қорлар, жеке меншік болып саналып, тіркеуге алынып, қорғалуы керек. Өндіруші үшін өзінің ақпараты, үлкен құндылық болып саналады - өйткені мұндай ақпаратты алу өте көп еңбекті және қаржыны қажет ететін процесс. Ақпараттың құндылығы бірінші орында оның табыс келтіруімен анықталады.

Нарықтық экономика жағдайларында ақпаратты қорлар маңызды орынға ие.

Бәсекелестік нарықтық экономикадағы маңызды фактор болып табылады. Мұндай жағдайлардағы негізігі қағида: кім ақпаратқа ие болса, сол адам әлемге ие болғаны. Бәсекелестік тартыста, әр түрлі тәсілдермен, тіпті заманауи барлау техникалық құралдарды қолдана отырып, тікелей өндірістік тыңшылық жасай отырып, құпия ақпаратты алуға бағытталған әр түрлі іс-шаралар кеңінен тараған.

Мұндай жағдайларда ақпаратты қорғау үшін арнайы көңіл бөлінеді. Мұндағы ақпаратты қорғау мақсаттары болып: сыртқа хабарлауға жол бермеу, қорғалынып жатқан мағлұматтардың сыртқа шығуына және оған деген санкцияланбаған рұқсатқа жол бермеу; ақпаратты жою, модификациялау, бұзу, көшірме жасау, шектеу сияқты әрекеттерді, заңға қайшы іс шараларды болдыртпау; ақпаратты қорларға және ақпаратты жүйелерге басқа да заңсыз қол сұғу түрлеріне жол бермеу; меншік объектісі ретінде құжатталған ақпаратты заңды тәртіппен қамтамасыз ету; ақпаратты жүйелерде бар жеке құпиясын және дербес мағлұматтардың құпиясын сақтау үшін азаматтардың конституциялық құқығын қорғау; заңнамаға сәйкес мемлекеттік құпия мен құжатталған ақпаратты қорғау; ақпаратты жүйелерді, технологияларды және оны қамтамасыз ету құралдарын жасауда, өндіру мен қолдануда ақпаратты жүйедегі субъектілердің құқығын қамтамасыз ету болып табылады.

Ақпаратты қауіпсіздік -ақпаратты қорғаудың нақты қажеттілігін ғана қамтымай, сонымен қатар, қалай қорғау, неден, немен қорғау және қорғаныс қалай болатындығын қамтитын, ауқымды және көп қырлы мәселе болып табылады.

Зерттеудің негізгі мақсаты-қазіргі таңдағы ақпаратты қауіпсіздіктің маңызын, қауіп түрлерін, мониторингтің құралдары мен әдістерін және ақпаратты қауіпсіздікті қорғау, мемлекет, компания және тұтынушы деңгейлерінде оның ролін анықтау болып табылады.

Бұл мақсатқа жету үшін келесі мәселерді шешу керек:

• «ақпаратты қауіпсіздік» деген ұғымның мағынасын кеңінен ашу;

• ақпаратты қауіпсіздікті қамтамасыз етудің негізгі принциптері мен тәсілдерін, қазіргі таңдағы оны реттеудің амалдарын негіздеу;

• мемлекеттің, әр түрлі кәсіпорындардың, сонымен қатар, соңғы тұтынушылардың ақпаратты қауіпсіздігінің мәнін анықтау.

Зерттеудің объектісі қазіргі таңдағы ақпарат болып табылады. Зерттеудің тақырыбы ақпаратты қорғаудың әдістері мен құралдары, сонымен қатар, ақпаратты қорғаныстың қауіп-қатерлерімен күрес болып табылады.

Зерттеудің объъектісі мен тақырыбының ерекшеліктеріне байланысты, оларды анализ жасауға әр түрлі ғылыми пәндердің методологиялық арсеналы тартылған болатын: әлеуметтанудың, саясаттанудың, ақпараттандырудың, ақпараттық қауіпсіздікті зерттейтін пән ретінде психологияның.

Жұмыс кіріспеден, тақырыптық принциптері әр түрлі төрт тараудан, қорытынды және қолданылған әдебиеттер тізімінен тұрады.

1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ

1. 1 Ақпаратты қауіпсіздік ұғымы

Ақпараттық қауіпсіздіктің (АҚ) астында ақпараттың және оны ұстап тұрған инфрақұрылымдардың, кез келген кездейсоқ немесе әдейі жасалынған ықпалдардың нәтижесінде, ақпаратқа, оның иесіне немесе оны ұстап тұрған инфрақұрылымға тигізетін зиянынан қорғанысы деген ұғым жатыр.

Ұйымның ақпаратты қауіпсіздігі -ұйымның құрылуын, қолданылуын және дамуын қамтамасыз ететін, ақпаратты қорғаныс күйі.

Ақпаратты өріс оны құрайтын екі бөлімдерден тұрады:

• ақпаратты-техникалық (адамның жасанды қолдан жасап алынған техника, технология және т. б. әлемі)

• ақпаратты - психологиялық (адамның өзі де кіретін, тірі табиғаттың табиғи әлемі)

Қауіпсіздіктің стандартқа сәйкес үлгісі ретінде үш категориядан тұратын үлгілер ұсынылады:

1. Құпиялылық -ақпаратты тек оны пайдалануға құқы бар ғана субъект қана еркін қолдана алатын, ақпараттың күйі ;

2. Тұтастық -ақпаратты заңсыз модификациялауды болдырмау. Тұтастықты статистикалық (ақпаратты объектілердің тұрақтылығы деп түсіндірілетін) және динамикалық (қиын іс әрекеттерді дұрыс орындауға жатқызылатын (транзакцияға) ) деп бөлуге болады;

3. Қолжетімділік -ақпаратты қолдануға құқы бар тұтынушыдан, уақытша немесе әрдайым ақпаратты жасыруды болдырмау.

Ақпаратты қауіпсіздік:

• қолжетімділік

• тұтастық

• құпиялылық

Қауіпсіздіктің басқа да барлық уақытта қажетті емес категориялардың үлгісін атап айтуға болады:

• қабылдау немесе шағым жасау -авторлықтан бас тарту мүмкіншілігінің жоқтығы;

• біреуге міндеттілік -субъекттің кіруге рұқсатын сәйкестендіруді қамтамасыз ету және оның іс әрекетін тіркеу;

• шынайылық -қарастырылған іс әрекетке немесе оның нәтижесіне сәйкестік қасиеті;

• түп нұсқалық немесе шынайылық-субъект немесе қордың мәлімделген субъект немесе қорға сәйкес екендігін қамтамасыз ететін қасиет;

Ақпаратты қауіпсіздікті қамтамасыз ету ісіндегі жетістік тек құрама тәсілдерге ғана қол жеткізуі мүмкін.

АҚ қамтамасыз етудің келесі деңгейлерін бөліп көрсетуге болады:

• Заң шығарушы.

• Әкімшілік (қорғалынып жатқан ақпаратты жүйелермен байланысты, ұйым басшыларының бұйрықтары мен басқа да іс-әрекеттері) .

• Процедуралы (адамдарға бағытталған қауіпсіздік шаралары) .

• Ақпаратты - техникалық.

Заң шығарушы деңгей ақпаратты қорғанысты қамтамасыз етудегі ең маңызды деңгей. Адамдардың көпшілігі заңға қайшы іс әрекеттерді, техникалық жағынан мүмкін емес болғандықтан емес, заңсыз әрекеттер жасауға болмайтындықтан, ол әрекеттер қоғам тарапынан айыпталатын немесе жазаланатын болғандықтан жасамайды[1] .

АҚ қамтамасыз ету үшін заңға сәйкес екі шаралар тобы:

• шектеулі бағытталушылық шаралары -ақпаратты қауіпсіздіктің бұзылуына және оны бұзушыларға қарсы қоғамда оларға деген кері қарым-қатынасты құру мен оны сақтап қалуға бағытталған шаралар;

• ақпаратты қауіпсіздік саласында қоғамның сауаттылығын арттыруға ықпал ететін, ақпаратты қауіпсіздікті қамтамасыз ететін құралдарды жасап шығаруға, және оны таратуға көмектесетін, бағыттаушы және байланыстырушы шаралар.

Заң шығару деңгейіндегі ең басты мәселе - діндер мен ақпаратты технологиялардың ілгері дамуымен байланысты заңдарды шығару процесімен бір қорытындыға келуге мүмкіндік беретін механизм құру.

АҚ басқарушы деңгейіне, ұйым басшыларының жалпы сипаттамаға ие іс-әрекеттері жатады.

Басқарушы деңгейдің шараларының басты мақсаты - ақпаратты қауіпсіздік саласында жұмыс бағдарламасын құру және керекті қорларды белгілей отырып, іс шараларды қадағалай отырып, оның жүзеге асырылуын қамтамасыз ету.

Бағдарламаның негізі ұйымның өзінің ақпаратты активтерін қорғау тәсілдерін бейнелейтін қауіпсіздік саясаты болып табылады. Қауіпсіздік саясаты деген ұғымның астында, ұйым басшылығымен қабылданатын және ақпаратты және онымен бірге ассоциацияланатын қорларға бағытталған құжаттық шешімдердің жиынтығы жатыр.

Қауіпсіздік саясаты ұйымның ақпаратты жүйесі үшін айқын болып табылатын, қауіп-қатерлерді анализ жасау негізінде құрылады.

Процедуралы деңгей шараларының негізгі таптары:

• қызметкерлерді басқару;

• физикалық қорғаныс;

• жұмысқа деген қабілеттілікті ұстап тұру;

• қауіпсіздік шарттарының бұзылуына қарсы әрекет ету;

• қайта құру жұмыстарын жоспарлау.

Қызметкерлерді басқару қызметкерді жұмысқа алудан, тіпті одан да ертеректе - қызметке түсіндірме құрудан басталады.

Қызметтік нұсқаулықтарды құру үшін қажетті екі ереже:

• міндеттерге бөлу;

• артықшылықтарды азайту.

Міндеттерді бөлу принципіне ұйым үшін өте маңызды процесті бір адам бұзбас үшін, қалай рольдер мен міндеттерді бөлу керектігіне кеңес береді.

Артықшылықтарды азайту приципі қызметтік міндеттіліктерді орындау үшін ғана қажетті, құқықтарды қолданушыларға бөлуге кеңес береді.

Физикалық қорғаудың негізігі принципі, әрдайым қадағалануы тиіс, «уақыт кеңістігінде үздіксіз қорғау» тұжырымдамасын сақтау.

Ақпараттық қауіпсіздік саясаты

Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін, қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.

Қауіпсіздік саясатының құрамына ең кемінде мына элементтер кіруі керек: қатынас құруды ерікті басқару, объектілерді қайтадан пайдаланудың қауіпсіздігі және қатынас құруды мәжбүрлі басқару.

Кепілдік - жүйенің сәулетіне және жүзеге асырылуына көрсетілетін сенім өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған, белсенсіз сынары деп сипаттауға болады. Кепілдіктің екі түрі болады: операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.

Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен (аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.

Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау болатындығын бақылау.

Қатынасым мониторы - пайдаланушының программаларға немесе деректерге әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі екендігін тексеретін монитор. Қатынасым мониторынан үш қасиеттің орындалуы талап етіледі:

оңашалылық. Монитор өзінің жұмысы кезінде аңдудан қорғалуға тиісті;
толықтық. Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде оны орай өтуге мүмкіндік болмау керек;
иландырылатындық. Мониторды талдауға және тестілеуге мүмкін болу үшін ол жинақы болуы керек[2] .

Қауіпсіздік өзегі - қатынасым мониторының жүзеге асырылуы. Қауіпсіздік өзегі барлық қорғаныш тетіктерінің құрылу негізі болып табылады. Қатынасым мониторының аталған қасиеттерінен басқа қауіпсіздік өзегі өзінің өзгерместігіне кепілдік беруі керек.

Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп саналады.

Объектінің ақпараттық қауіпсіздігін қамтаммасыз етуге арналған жұмыстар бірнеше кезеңге бөлінеді: даярлық кезеңі, ақпараттық қорларды түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге асыру. Осы аталған кезеңдер аяқталған соң эксплуатациялау кезеңі басталады.

Даярлық кезең. Бұл кезең барлық келесі шаралардың ұйымдастырушылық негізін құру, түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске қатысушылардың өзара қарым - қатынастарын анықтау үшін қажет. Даярлық кезеңде ақпарат қорғау жүйесінің ақпараттың міндеттері анықталады.

Ақпараттық қорларды түгендеу. Бұл кезеңде, әдетте, объект, ақпараттық ағындар автоматтандырылған жүйелердің құрылымы серверлер, хабар тасышулар, деректер өңдеу және сақтау тәсілдері жайында мәлімет жиналады. Түгендеу анықталған соң олардың осалдылығына талдау жасалынады.

Қатерді талдау. Келесі шаралардың нәтижелерді ақпараттық қорлардың қорғанылу күй - жағдайының қаншалықты толық және дұрыс талдануына тәуелді болады. Қатерді талдау мыналардан тұрады: талданатын объектілерді және оларды қарастырудың нақтылану дәрежесін таңдау; қатерді бағалау әдістемесін таңдау; қауіптерді және олардың салдарын талдау; қатерлерді бағалау; қорғаныш шараларын талдау; таңдап алынған шараларды жүзеге асыру және тексеру; қалдық қатерді бағалау.

Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін қорғаныш шаралары мен құралдары қажет. Қауіптерді талдау, біріншіден, мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.

Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп-қатерлер тізбесі және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге асыруға қажетті шығындарды анықтауға мүмкіндік береді.

Қорғаныш жоспарын құрастыру. Бұл кезеңде осының алдында жүргізілген талдаудың нәтижесінде анықталған қатердерді бейтараптау үшін қорғаныштың тиісті ұйымдастырушылық және техникалық шаралары таңдап алынады.

Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге қойылатын талаптар талқыланады. Жоспарға мынадай құжаттар қосылады: қауіпсіздік саясаты; ақпаратты қорғау құралдарының объектіде орналасуы; қорғаныш жүйесін жұмысқа қосу үшін қажет шығындардың сметасы; ақпарат қорғаудың ұйымдастырушылық және техникалық шараларын жүзеге асырудың күнтізбелік жоспары[4. ]

Қорғаныш жоспарын жүзеге асыру. Бұл кезеңде қорғаныш жоспарында келтірілген шаралармен қоса жабдықтаушылармен келісім-шарттар жасасу жабдықтарды орнату және баптау, қажетті құжаттарды әзірлеу және т. б. осы сияқты шаралар іске асырылады.

1. 2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері

Ақпаратпен бірге пайда болатын, өзіндік қауіпке ие төрт іс-әрекет бар: жинау, модификация, шығу және жою.

Ары қарай қарастыру үшін бұл әрекеттер негізгі болып табылады.

Қабылданған жіктеулерге сүйене отырып, барлық қауіптердің қайнар көздерін сыртқы және ішкі деп бөлеміз.

Ішкі қауіптердің қайнар көздері:

1. Ұйымның қызметкерлері;

2. Ауқымды қамтамасыз ету;

3. Аппаратты құралдар.

Ішкі қауіптер келесі формада көрініс табуы мүмкін:

• пайдаланушылар мен жүйелі әкімдердің қателіктері;

• қызметкерлердің, ақпаратты жинау, өңдеу, хабарлау мен жою сияқты фирманың бекітілген регламенттерін бұзуы;

• жан жақты қамтамасыз ету жұмысындағы қателіктер;

• компьютер құрылғыларының жұмыс барысында істен шығуы мен жаңылуы.

Қауіптердің сыртқы қайнар көздері:

1. Компьтер вирустары мен зиянды программалар;

2. Ұйымдар мен жеке тұлғалар;

3. Табиғи апаттар.

Сыртқы қауіптердің көрініс формалары болып:

• компьютерлердің вирустар немесе қауіпті программаларды жұқтыруы;

• бірлескен ақпаратқа заңсыз кіру (АЗК) ;

• бәсеке құрылымдары, барлау және арнайы қызмет орындары тарапынан ақпаратты мониторинг;

• ақпаратты жинау, модификациялау, тәркілеу және жою іс-әрекеттерімен бірге жүретін мемлекеттік құрылымдар мен қызметтердің іс-әрекеттері;

• апаттар, өрттер, техногендік апаттар жатады.

Ақпаратты қауіпсізідік объектілеріне әсер ету тәсілдеріндегі қауіптерді төмендегідей бөлуге болады: бағдарлама негізінде жасалатын, физикалық, радиоэлектрлік және заңды ұйымдастыру.

Ақпараттылыққа жататындар:

• ақпаратты қорларға заңсыз кіру;

• ақпаратты жүйенің ішіндегі мағлұматтарды заңсыз көшіру;

• кітапханадан, мұрағаттардан, банктерден және мағлұматтар базасынан ұрлау;

• ақпаратты өңдеу технологиясын бұзу;

• ақпаратты заңсыз жинау мен қолдану;

• ақпаратты қаруды қолдану.

Программа негізінде баяндалатын қауіптерге жататындар:

• БЖ қателерін қолдану;

• компьютер вирустары мен зиянды программалар;

Физикалық қауіптерге жататындар:

• ақпаратты және байланысты өңдеу құралдарын жою немесе құрту;

• ақпаратты тасымалдаушыларды ұрлау;

• программалы немесе аппаратты кілттер мен мағлұматтарды криптографиялық қорғау құралдарын ұрлау;

Радиоэлектронды қауіптерге жататындар:

• ақпаратты ұстап қалудың электронды құрылғыларын техникалық жағдайлар мен бөлмелерге ендіру;

• байланыс каналдарында ақпаратты ұстап қалу, қайта шифрлеу, ауыстыру және жою.

Заңды ұйымдастырушы қауіптерге жататындар:

• ақпараттың аяқталмаған немесе ескірген ақпаратты технологиялары мен құралдарын сатып алу;

• ақпаратты ортада заң шығарушы талаптарды бұзу және қажетті нормативті заңдастырылған шешімдерді қабылдаудағы кідірулер[5] .

Пайдаланушының идентификациясы мен аутентификациясы

Ақпаратты активтерге кіру барысында идентификация функциясы келесі сұрақтарға: «Сіз кімсіз?» және «Сіз кайдасыз?» - сіз желінің авторизацияланған пайдаланушысы болып табыласыз ба деген сұрақтарға жауап береді. Авторизация функциясы, пайдаланушының қандай нақты қорларға кіруге рұқсаты бар екендігіне жауап береді.

Қорларға кіруге рұқсат алу үшін пайдаланушы, екі деңгейден тұратын, компьютерлі жүйені көрсету процесінен өтуі керек:

идентификация- пайдаланушы жүйеге, жүйенің сұрауымен өзінің атын айтады (идентификаторын) ;
аутентификация- пайдаланушы жүйеге басқа пайдаланушыларға белгісіз, өзі жайлы бірден бір мағлұматты енгізу арқылы идентификацияны растайды (масылы, пароль) .

Пайдаланушының идентификация және аутентификация процедураларын жүргізу үшін төменде көрсетілгендер болу керек:

аутентификация программалары;
пайдаланушы жайында мағлұмат.

Субъект, келесі маңызды нәрселерді ұсына отырып, нағыз өзі екендігін растай алады:

өзі ғана білетін нәрсе (пароль, , криптографиялық кілт және т. с. с ) ;
өзінде ғана бар нәрсе (жеке карточкасы немесе осыған ұқсас басқа зат) ;
өзінің бір бөлігі болып табылатын нәрсе (дауысы, саусақ іздері және т. б., яғни өзінің биометриялық сипаттамасы) .

Ашық желі ортасында идентификация / аутентификация жақтарының арасында сенімді жол желісі жоқ; бұл дегеніміз, жалпы жағдайда субъект берген мағлұматтар нағыз өзі екендігін тексеруге арналған алынған және қолданылған мағлұматтармен сәйкес келмеуі мүмкін. Желіні, мағлұматтарды алу, өзгерту және жаңадан жасау әрекеттерін болдырпау мақсатында, пассивті және активті тыңдаулардан сақтайтын қорғанысты қамтамасыз ету қажет. Ашық түрде парольді жіберу қанағаттанарлықсыз; ол жаңадан өңдеуден қорғай алмайтын болғандықтан, парольдердің көрінісі мен шифрленуін құтқара алмайды. Мұндай жағдайда аутентификацияның қиынырақ хаттамалары қажет.

Сенімді идентификация тек желілік қауіптерден ғана емес, сонымен қатар, көптеген себептердің арқасында да қиындатылған. Біріншіден, барлық аутентификациялық маңызды нәрселерді біліп алуға, ұрлап алуға немесе ұқсастырып жасауға болады. Екіншіден, бір жағынан аутентификацияның сенімді екендігі болса, екінші жағынан пайдаланушы мен жүйелі администратордың ыңғайлылығы арасында қайшылықтар бар. Қауіпсіздік мақсатында, пайдаланушыны бекітілген жиілікпен қайтадан аутентификациялық мағлұматты енгізуді сұрау қажет (өйткені, оның орнына басқа біреу отыруы мүмкін), бұл тек машахатты іс әрекет қана емес, сонымен қатар, басқа біреудің енгізілетін мағлұматты біліп қою мүмкіндігін жоғарылатады. Үшіншіден, қауіпсіздік әдістері сенімді болған сайын, оның құны да қымбат бола береді.

Соңғы уақытта ақпаратты қорғанысқа қатысты мәселелер актуальды болып отыр. Компаниялар өздерінің ақпаратты активтердің қорғанысын жоғары деңгейде қамтамасыз ету мақсатында, аутентификация құралдарын қолдану жайында жиі ойланып жатыр. Пайдаланушының стандартты идентификация құралдарын қолдануы ақпаратты қауіпсіздіктің қажетті деңгейін қамтамасыз етпейді, ал бұл жағдайда пайдаланушылар әдетте:

Стандартты парольдерді қолданады;
Жұмыс орнында логин және паролі жазылған хаттар тастап кетеді;
Идентификациялық мағлұматты электронды пошта арқылы жібереді.

Мұндай жағдайда зиянкестердің, бұзу және маңызды ақпараттқа ие болу қаупі өте жоғары.

Идентификация/аутентификация жүйелерін құру программалы-ақпаратты құралдарды-токендерді қолдану арқылы, ұйымның ақпаратты қауіпсіздігінің жоғары қорғанысын қамтамасыз етеді.

Токендер -пайдаланушының жеке мағлұматы сақталынған тығыз USB-құралдары немесе смарт-карталар. USB-құралы мен смарт-карта арасында функциональды айырмашылық жоқ, екеуі де қорғалынған есі бар арнайы микросхеманы қолданады. Олардың қолданысы ғана әр түрлі, USB-құралы дербес компьютерге жалғанады, ал смарт-карталар арнайы оқитын құралдарды қолданады.

Токендер айтарлықтай жиі қолданылады:

Дербес компьютерде авторизациялау;

Электронды құжаттарды қорғау;

Қорғаныс байланыстарын орнату (SSL VPN) ;

Қиын парольдерді сақтау;

Қызметкерлердің жеке мәліметтерін сақтау;

Цифрлі сертификаттарды сақтау;

Бөлмені бақылау мен оған кіруге рұқсаттылықты басқару жүйесі (БКБЖ) ;

Ұйым ішінде қызметкерлердің қозғалысын бақылау;

Қызметкерлердің жұмыс уақытын ескеру және т. б. .

... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.