Ақпараттық қауіпсіздігі туралы түсінік
Пән: Информатика, Программалау, Мәліметтер қоры
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 20 бет
Таңдаулыға:
Жұмыс түрі: Курстық жұмыс
Тегін: Антиплагиат
Көлемі: 20 бет
Таңдаулыға:
Мазмұны
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ... ... ...3
1-бөлім. Ақпараттық жүйенің қауіпсіздік
негіздері ... ... ... ... ... ... .. ... ... ... ... ...5
1.1. Ақпаратты қорғау
тәсілдері ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ..5
1. 2.Компьютерлік жүйелердегі аутентификациялау
мәселесі ... ... ... ... ... ... .10
2-бөлім. Ақпаратты аутентификациялау
проблемасы ... ... ... ... ... ... . ... ... ... ..14
2.1. Ақпаратты
аутентификациялау ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ..14
2.2.Аутентификациялау
құралдары ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
..19
Қорытынды ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ..21
Әдебиеттер
тізімі ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... .23
Кіріспе
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
-ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау деп - ақпаратты жойылып кету қауіпінен сақтауға
арналған нысаналы әрекет, құндылық ететін ақпаратқа бекітілмеген және әдейі
емес әсер ету. Қауіпсіздік - қорғану күйі. Қауіпсіздікті жеткілікті
деңгейде бағалаудың екі амалы болады. Олар: құндылық жақындығы қаскүнем
ақпаратты алу жолында үлкен көлемде шығындалса, сонша ол ұтады деген
көзқарасқа негізделген және уақыт жақындығы ақпаратты жою фактісіне
негізделген.
Аутентификация – сервис қарым-қатынас серігінің дұрыстығын және
мәліметтер көзінің дұрыстығын тексеруді қамтамасыз етеді. Қарым – қатынас
серігінің аутентификациясы байланыс орнату кезінде қолданылады.
Аутентификация әр түрлі қауіптің алдын алуға көмектеседі. Ол біржақты және
екіжақты болуы мүмкін.
Курстық жұмыстың мақсаты ақпаратты қорғауда аутентификация
проблемасымен танысу.
Курстық жұмыстың міндеттері: ақпараттық қауіпсіздігі туралы түсінік
беру және аутентификация мәселесі мен аутентификациялау құралдары жөнінде
толық мағлұмат беру.
Курстық жұмыстың құрылымы: курстық жұмыс кіріспеден, екі бөлімнен және
қорытынды мен пайдаланылған әдебиеттер тізімінен тұрады.
1-бөлім. Ақпараттық жүйенің қауіпсіздік негіздері
1.1. Ақпаратты қорғау тәсілдері
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады.
Олар: қол жеткізерлік (оңтайлық), тұтастық, жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.Жасырындылық
- заңсыз қол жеткізуден немесе оқудан қорғау.1983 жылы АҚШ қорғаныс
министрлігі қызғылт сары мұқабасы бар Сенімді компьютерлік жүйелерді
бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру
құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады.Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен – тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы – пайдалынушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады. Бұл кезең барлық келесі шаралардың ұйымдастырушылық негізін құру,
түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске қатысушылардың
өзара қарым - қатынастарын анықтау үшін қажет. Даярлық кезеңде ақпарат
қорғау жүйесінің ақпараттың міндеттері анықталады.
Бұл кезеңде, әдетте, объект, ақпараттық ағындар автоматтандырылған
жүйелердің құрылымы серверлер, хабар тасышулар, деректер өңдеу және сақтау
тәсілдері жайында мәлімет жиналады. Түгендеу анықталған соң олардың
осалдылығына талдау жасалынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады.
Ақпарат қауіпсіздігінің жоғарғы дәрежесіне қол жеткізу тек тиісті
ұйымдастыру шараларын қолдану негізінде ғана мүмкін болады.
Ұйымдастырушылық шаралар кешенінің құрамына ақпараттық қауіпсіздік қызметін
құру, жасақтау және оның іс-әрекеттерін қолдау, ұйымдастыра-өкімгерлік
құжаттар жүйесін дайындау жұмыстары, сонай-ақ, қорғаныш жүйесін құруға және
оның жұмысын сүйемелдеуге арналған бірқатар ұйымдастырушылық және
ұйымдастыру-техникалық шаралар кіреді.
Ұйымдастырушылық және ұйымдастыру - техникалық шаралар жүргізу
ақпараттың сыртқа кететін жаңа арналарын дер кезінде табуға, оларды
бейтараптандыру шараларын қолдануға, қорғаныш жүйелерін толық жетілдіруге
және қауіпсіздік режимін бұзу әрекеттеріне жедел қарсы шара қолдануға
мүмкіндік береді. Қатерге талдау жүргізу қауіпсіздік саясатын
қалыптастырудың негізгі кезеңі болып табылады.
Ұйымдастыру мәселелерін шешілгеннен кейін программалық-техникалық
проблемалардың кезегі келеді - таңдалған қауіпсіздік саясатын іске асыру
үшін не істеу керек? Қазіргі уақытта құны атқаратын міндеті және сапасы
жағынан әртүрлі болатын ақпарат қорғау құралдарының көптеген түрі бар.
Олардың ішінен нақты объектінің ерекшелігіне сай келетінін таңдап алу
күрделі мәселелердің бірі болып саналады.
Қатынас мәжбүрлі басқарудың кезінде субъектілер және объектілер
қауіпсіздік тамғасы арқылы байланысады. Субъектінің тамғасы оның
шүбәсіздігін сипаттайды. Объектінің тамғасы оның ішіндегі сақталатын
ақпараттың жабықтық деңгейін көрсетеді.
Қауіпсіздік таңбасы екі бөліктен тұрып: құпиялылық деңгейі және
категориялар.
Құпиялылық деңгейі реттелген жиынтық құрайды және әр түрлі жүйелерде
құпиялылық деңгейлер жиынтығы әр түрлі болуы мүмкін. Қазақстан
Республикасының заңнамасына сәйкес мемлекеттік құпия құрайтын мәліметтердің
үш құпиялық дәрежесі тағайындалған және осы дәрежелерге сәйкес аталған
мәліметтердің тасушыларына мынадай құпиялылық белгілері берілген: аса
маңызды, өте құпия, құпия, ал қызметтік құпия құрайтын мәліметтірге
құпия деген құпиялылық белгісі беріледі.
Санаттар реттелмеген жиынтық құрайды. Олардың міндеті - деректер
жататын аймақтың тақырыбын сипаттау.
Қауіпсіздік таңбалардың тұтастығын қамтамасыз ету оларға байланысты
негізгі проблемелардың біреуі болып табылады. Біріншіден, тамғаланбаған
субъектілер мен объектілер болмау керек. Әйтпесе тамғалық қауіпсіздікте
(қолдануға ыңғайлы) саңылаулар пайда болады және қаскүнем осы жағдайды
пайдаланып қорғанылатын ақпаратқа заңсыз қол жеткізуі мүмкін. Екіншіден,
қорғалынатын деректермен қандайда болмасын операциялар орындалмасын,
қауіпсіздік тамғалары өзгермей қалуы керек.
Қауіпсіздік тамғаларының тұтастығын қамтамасыз етуші құралдардың
біреуі - құрылғыларды көп деңгейлік және бір деңгейлік деп бөлу. Көп
деңгейлік құрылғыларда әр түрлі құпиялық деңгейлі ақпарат, ал бір деңгейлік
құрылғыларда тек бір құпиялық деңгейі бар ақпарат сақталады.
1. 2.Компьютерлік жүйелердегі аутентификациялау мәселесі
Аутентификацияны программалық-техникада негізгі қорғаныс құралы деп
есептеуге болады. Аутенфикация – бірінші қорғаныстың сызығы, кеңістіктегі
ақпараттың өтуші ұйымдастыруы.
Аутентификация арқылы екінші бет субъектінің сол екеніне сенімділігін
анықтайды. Аутентификация сөзіне синоним ретінде шындықтар
түпнұсқалылығы қолданылады. Субъект түпнұсқалылығы дәлелдейді, егер
келесі мәндердің біреуін орындаса:
• Ол білетін: пароль жеке идентификация нөмірі, криптографиялық кілт
және т.б.
• Ол білетін: жеке карточка немесе аналогты құрылғының қызметін;
• Оның бір бөлігі болатын: даусы, саусақтарының таңбасы және т.б, яғни
өзінің биометриялық мінездемесі;
• Онымен ассоциацияланған, мысалы координаттар.
Парольды аутентификацияның негізгі артықшылығы – қарапайымдылығы және
әдеттілігі. Парольдер операциялық жүйеде және сервистерге баяғыда
орнатылған. Парольды дұрыс қолданса көптеген ұйымдарға қорғаныс деңгейін
қамтамасыз ете алады. Әйтсе де олардың мiнездемелер жиынтығы бойынша өзi
тексеруiнде әлсiз құралы екенін мақұлдауы керек. Пароль сенімділігі
сақтауға және құпияда болуға негізделеді. Парольды дәрекі күш әдісімен
табуға болады, оған сөздікті қолдануға болады. Егер файл парольды
шифрленген болса, бірақ оқуға рұқсат етілсе, онда оны компьютерге көшіріп
алуға болады және оған сәйкес келетін парольды толығымен программалап
табуға болады. Электронды ұстап алудан парольдер осал болып келеді – бұл
оның принциптелген кемшілігі, оны администраторды жақсартуынан
компинсирлеуге және қолданушыларды оқытуға болмайды.
Практикада оның бір шешімі бар – ол криптографияда жіберу сызығында
шифрлерген парольды пайдалану.
Келесі шаралар парольды қорғауға сенімділікті артырады:
• Техникалық ұйымдардың салу (пароль тым қысқа болмауы қажет, оның
құрамында әріптер, сандар, пунктуациялық таңбалар және т.б болуы қажет);
• Парольды басқару әрекеті, олардың периодты ауысуында;
• Файл пароліне шектеу қою;
• Жүйеге кірудің шектеулі сандар талпыныстарын қою;
• Қолданушыларды оқыту және тәрбиелеу;
Генераторлық программалық парольдерді қою, олар қиын емес ережелермен
тұрақтандыру, оларды жаксы естілетін және есте сақталатындар тудырта алады.
Көрсетілген шараларды міндетті түрде қолдану, егер парольмен қатар
басқа аутентифиакциялау әдісітер қолданса, мысалы токендерді қолдануға
негізделсе.
Токен – ол құрал немесе пән, онымен қолданушы шындықты дәлелдейді.
Токендер жадымен ажыратылады (пассивті тек сақтайды, бірақ ақпаратты
өңдемейді) және интеллектуалды токен (актив).
Кең таралған токендер магнитті сызықты жады карточкалары. Бұндай
токендермен оқу үшін оқу құралдары қажет, олар пернетақтамен және
процессорлармен жабдықталуы қажет. Көбнесе қолданушы пернетақтада өзінің
идентификациялық номерін тереді, содан кейін сопроцессор оның карточкамен
сәйкестігін тексереді. Сонымен қорғауда ол екі кілтті комбинацияны
қолданады, ол бұзушының әрекетін қиындатады.
Міндетті түрде ақпаратты аутентификацияны өндеу қажет, компьютерге
жібермей тұрып – ол электронды ұстап алудан шектейді.
Кейде (физмкалық контроль қатынасының ) картояаклар идентификациялық
номерсіз қолданады.
Бұзушылардың ең мықты мүмкіндігі аутентификациялық программаны
өзгерту, одан парольдер тек тексерілмейді сонымен қатар келесі рұқсат
етілмеген қолданушыға сақталады.
Интеллектуалды токендар есептеу жылдамдығымен сипатталады. Олар
интеллектуалды карталарға бөлшектенеді, ISO стандарты және басқада
токендар. Карталарға интерфейстік құралдар қажет етіледі, қарапайым
токендар қолдық интерфейске ие болады (дисплей және пернетақта) және түрі
калькуляторға ұқсайды. Токен жұмыс жасау үшін қолданушы өзнің жеке
идентификациялық номерін енгізу қажет.
Интеллектуалды токенді келесі категорияларға бөлуге болады:
• Парольды синтактикалық аусытыру: қолданушы токенге өзінің шындығын
дәлелдейді, одан кейін токен компьютер жүйесінде тексереді;
• Кілттердің динамикалық паролі: токен парольдерді генерациялайды,
олардың периодты өзгерістерін. Компьютерлік жүйе генератор парольдерін
синхрондайды. Токеннен ақпарат электрондық интерфейске түседі және
қолданушымен пернетақтад терминалында теріледі;
Сұраныс - сұрақ жүйесі: компьютер кездейсоқ сан береді, ол
крмптографиялық токенге енгізілген механизммен қайта құрылады, одан кейін
нәтижесін компьютерге тексеруге қайта жібереді. Бұл жерде тағы электронды
және қолдық интерфейс қолданылады. Соңғы жағдайда қолданушы сұранысты
экран бетінен оқиды, токен пернетақтасында оны тереді ( бұл кезде мүмкін
жеке номер теріледі), токен дисплейінде жауап тұрады және терминал
пернетақтасына ауыстырылады.
Мәліметтің аутентификациялау мәселесі неде? Қарапайым хат немесе
құжатқа орындаушы немесе жауапты адам қол қояды. Бұндай әрекеттің екі
жағдайы болады. Біріншіден алушы хаттың нақты екеніне сенімді болуы үшін
өзіндегі бар үлгідегі хаттағы қолмен салыстырады. Екіншіден хаттағы жеке
қол заң кепілдеуіші болады. Егер адамның қолын парақ бетіне жалған қойғысы
келсе ол оңай, ал қолдың авторын қазіргі криминалистикалық әдіспен
орнатуға болады, ал электронды қолтанбада басқаша болады. Биттер тізімін
жалған қою, жай көшіру немесе құжаттарда білдіртпей жасырынды түрде
өзгертуді кез келеген қолданушы жасай алады. Қазіргі дүниеде электронды
формалардағы құжаттарды (сонын ішінде конфиденциалды) және оларды өндеу,
шындықты және парақ беттерінсіз құжаттар авторы мәселелері болды.
Криптографиялық жүйеде ашық кілтті бөлімінде көрсетілді, барлық қазіргі
шифрлеу жүйесінің артықшылықтары мәліметтің аутентификациялауын қамтамасыз
ете алмайды. Сондықтан аутентификация мүмкіндігі комплексті және
криптографиялық алгоритмінде қолдану керек.
Электрондық құжаттарды аутентификациялау мәселесін шешу үшін
электрондық цифрлік қол қоюлар (ЭҚҚ) механизмі қолданылады, ол хешироваттау
қызметін қолданатын Эль-Гамальдың ассимметриялық криптографиялық алгоритм
базасында жүзеге асырылған. Бұндай қолды құпия кілт иесі пайдаланушы – осы
құжаттың авторы ғана қоя алатындығы ЭҚҚ негізгі ерекшеліктері болып
саналады. Құжаттың авторын (аутентификациялауды) және түп нұсқасын,
тұтыстығын тексеруді осы құжат авторының ашық кілтіне ие кез келген
пайдаланушы жүзеге асырыла алады. Осы механизм қағаз құжаттардың айналыс
орнына электрондық айналысын салуға, сондай-ақ оларды аутентификациялауға
байланысты кез ... жалғасы
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ... ... ...3
1-бөлім. Ақпараттық жүйенің қауіпсіздік
негіздері ... ... ... ... ... ... .. ... ... ... ... ...5
1.1. Ақпаратты қорғау
тәсілдері ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ..5
1. 2.Компьютерлік жүйелердегі аутентификациялау
мәселесі ... ... ... ... ... ... .10
2-бөлім. Ақпаратты аутентификациялау
проблемасы ... ... ... ... ... ... . ... ... ... ..14
2.1. Ақпаратты
аутентификациялау ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ..14
2.2.Аутентификациялау
құралдары ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
..19
Қорытынды ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... ... ... ... ..21
Әдебиеттер
тізімі ... ... ... ... ... ... ... . ... ... ... ... ... ... ... ... ... ... ..
... ... ... ... ... ... ... .23
Кіріспе
Ақпаратты қорғау жүйесін жобалау мен әзірлеу келесі тәртіп бойынша
жүргізуге болады:
- қорғанылуы көзделген деректердің тізбесін және бағасын анықтау үшін
деректер өңдеу жүйесін қойылған талдау жасау;
- ықтимал бұзушының үлгісін таңдау;
-ықтимал бұзушының таңдап алынған үлгісіне сәйкес ақпаратқа заңсыз қол
жеткізу арналарының барынша көбін іздеп табу;
- пайдаланылатын қорғаныш құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
- орталықтанған бақылау мен басқару құралдарын әзірлеу;
- ақпарат қорғау жүйесінің беріктілігінің сапасын бағалау.
Ақпараттық қорғау жүйесі жобалау әр түрлі жағдайда жүргізілуі мүмкін
және бұл жағдайларға негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді өңдеудің автоматтандырылған
жүйесінің қазіргі күй-жағдайы және ақпаратты қорғау жүйесін жасауға кететін
қаржы мөлшері.
Ақпаратты қорғау деп - ақпаратты жойылып кету қауіпінен сақтауға
арналған нысаналы әрекет, құндылық ететін ақпаратқа бекітілмеген және әдейі
емес әсер ету. Қауіпсіздік - қорғану күйі. Қауіпсіздікті жеткілікті
деңгейде бағалаудың екі амалы болады. Олар: құндылық жақындығы қаскүнем
ақпаратты алу жолында үлкен көлемде шығындалса, сонша ол ұтады деген
көзқарасқа негізделген және уақыт жақындығы ақпаратты жою фактісіне
негізделген.
Аутентификация – сервис қарым-қатынас серігінің дұрыстығын және
мәліметтер көзінің дұрыстығын тексеруді қамтамасыз етеді. Қарым – қатынас
серігінің аутентификациясы байланыс орнату кезінде қолданылады.
Аутентификация әр түрлі қауіптің алдын алуға көмектеседі. Ол біржақты және
екіжақты болуы мүмкін.
Курстық жұмыстың мақсаты ақпаратты қорғауда аутентификация
проблемасымен танысу.
Курстық жұмыстың міндеттері: ақпараттық қауіпсіздігі туралы түсінік
беру және аутентификация мәселесі мен аутентификациялау құралдары жөнінде
толық мағлұмат беру.
Курстық жұмыстың құрылымы: курстық жұмыс кіріспеден, екі бөлімнен және
қорытынды мен пайдаланылған әдебиеттер тізімінен тұрады.
1-бөлім. Ақпараттық жүйенің қауіпсіздік негіздері
1.1. Ақпаратты қорғау тәсілдері
Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге
бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат
пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса,
жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың
сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің,
маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың
алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету
кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық,
программалық және техникалық әдістер мен құралдардан тұрады.
Ақпараттық қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. Оны шешу үшін заңнамалық, ұйымдастырушылық, программалық,
техникалық шаралар қажет.
Ақпараттық қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады.
Олар: қол жеткізерлік (оңтайлық), тұтастық, жасырындылық.
Қол жетерлік (оңтайлық) - саналы уақыт ішінде керекті ақпараттық
қызмет алуға болатын мүмкіндік. Ақпараттың қол жеткізерлігі - ақпараттың,
техникалық құралдардың және өңдеу технологияларының ақпаратқа кедергісіз
(бөгетсіз) қол жеткізуге тиісті өкілеттілігі бар субъектілердің оған қол
жеткізуін қамтамасыз ететін қабілетімен сипатталатын қасиеті.
Тұтастық - ақпараттың бұзудан және заңсыз өзгертуден қорғанылуы.
Ақпарат тұтастығы деп ақпарат кездейсоқ немесе әдейі бұрмаланған (бұзылған)
кезде есептеу техника құралдарының немесе автоматтандырылған жүйелердің осы
ақпараттың өзгермейтіндігін қамтамасыз ететін қабілетін айтады.Жасырындылық
- заңсыз қол жеткізуден немесе оқудан қорғау.1983 жылы АҚШ қорғаныс
министрлігі қызғылт сары мұқабасы бар Сенімді компьютерлік жүйелерді
бағалау өлшемдері деп аталатын кітап шығарды.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет
жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие
бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы
басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру
құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін,
қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп
нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір
деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын
құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет
шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын
көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған,
белсенсіз сынары деп сипаттауға болады.Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге
асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты
барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен
(аудитпен – тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік
саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік
жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып
шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының
міндетін орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау.
Қатынасым мониторы – пайдалынушының программаларға немесе деректерге
әрбір қатынасының мүмкін болатын іс - әрекеттер тізімімен келісімдігі
екендігін тексеретін монитор.
Қауіпсіздік периметрі - сенімді есептеу базасының шекарасы. Оның
ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Сыртқы және ішкі
әлемдер арасындағы байланыс ретқақпа арқылы жүзеге асырылады. Бұл ретқақпа
сенімсіз немесе дұшпандық қоршауға қарсы тұра алуға қабілетті бар деп
саналады. Бұл кезең барлық келесі шаралардың ұйымдастырушылық негізін құру,
түпқазық құжаттарды әзірлеу және бекіту, сондай-ақ, үрдіске қатысушылардың
өзара қарым - қатынастарын анықтау үшін қажет. Даярлық кезеңде ақпарат
қорғау жүйесінің ақпараттың міндеттері анықталады.
Бұл кезеңде, әдетте, объект, ақпараттық ағындар автоматтандырылған
жүйелердің құрылымы серверлер, хабар тасышулар, деректер өңдеу және сақтау
тәсілдері жайында мәлімет жиналады. Түгендеу анықталған соң олардың
осалдылығына талдау жасалынады.
Қорғаныш жоспарын құру ақпарат қорғау жүйесінің функционалдық сұлбасын
әзірлеуден басталады. Ол үшін қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере отырып жүйеге
қойылатын талаптар талқыланады.
Ақпарат қауіпсіздігінің жоғарғы дәрежесіне қол жеткізу тек тиісті
ұйымдастыру шараларын қолдану негізінде ғана мүмкін болады.
Ұйымдастырушылық шаралар кешенінің құрамына ақпараттық қауіпсіздік қызметін
құру, жасақтау және оның іс-әрекеттерін қолдау, ұйымдастыра-өкімгерлік
құжаттар жүйесін дайындау жұмыстары, сонай-ақ, қорғаныш жүйесін құруға және
оның жұмысын сүйемелдеуге арналған бірқатар ұйымдастырушылық және
ұйымдастыру-техникалық шаралар кіреді.
Ұйымдастырушылық және ұйымдастыру - техникалық шаралар жүргізу
ақпараттың сыртқа кететін жаңа арналарын дер кезінде табуға, оларды
бейтараптандыру шараларын қолдануға, қорғаныш жүйелерін толық жетілдіруге
және қауіпсіздік режимін бұзу әрекеттеріне жедел қарсы шара қолдануға
мүмкіндік береді. Қатерге талдау жүргізу қауіпсіздік саясатын
қалыптастырудың негізгі кезеңі болып табылады.
Ұйымдастыру мәселелерін шешілгеннен кейін программалық-техникалық
проблемалардың кезегі келеді - таңдалған қауіпсіздік саясатын іске асыру
үшін не істеу керек? Қазіргі уақытта құны атқаратын міндеті және сапасы
жағынан әртүрлі болатын ақпарат қорғау құралдарының көптеген түрі бар.
Олардың ішінен нақты объектінің ерекшелігіне сай келетінін таңдап алу
күрделі мәселелердің бірі болып саналады.
Қатынас мәжбүрлі басқарудың кезінде субъектілер және объектілер
қауіпсіздік тамғасы арқылы байланысады. Субъектінің тамғасы оның
шүбәсіздігін сипаттайды. Объектінің тамғасы оның ішіндегі сақталатын
ақпараттың жабықтық деңгейін көрсетеді.
Қауіпсіздік таңбасы екі бөліктен тұрып: құпиялылық деңгейі және
категориялар.
Құпиялылық деңгейі реттелген жиынтық құрайды және әр түрлі жүйелерде
құпиялылық деңгейлер жиынтығы әр түрлі болуы мүмкін. Қазақстан
Республикасының заңнамасына сәйкес мемлекеттік құпия құрайтын мәліметтердің
үш құпиялық дәрежесі тағайындалған және осы дәрежелерге сәйкес аталған
мәліметтердің тасушыларына мынадай құпиялылық белгілері берілген: аса
маңызды, өте құпия, құпия, ал қызметтік құпия құрайтын мәліметтірге
құпия деген құпиялылық белгісі беріледі.
Санаттар реттелмеген жиынтық құрайды. Олардың міндеті - деректер
жататын аймақтың тақырыбын сипаттау.
Қауіпсіздік таңбалардың тұтастығын қамтамасыз ету оларға байланысты
негізгі проблемелардың біреуі болып табылады. Біріншіден, тамғаланбаған
субъектілер мен объектілер болмау керек. Әйтпесе тамғалық қауіпсіздікте
(қолдануға ыңғайлы) саңылаулар пайда болады және қаскүнем осы жағдайды
пайдаланып қорғанылатын ақпаратқа заңсыз қол жеткізуі мүмкін. Екіншіден,
қорғалынатын деректермен қандайда болмасын операциялар орындалмасын,
қауіпсіздік тамғалары өзгермей қалуы керек.
Қауіпсіздік тамғаларының тұтастығын қамтамасыз етуші құралдардың
біреуі - құрылғыларды көп деңгейлік және бір деңгейлік деп бөлу. Көп
деңгейлік құрылғыларда әр түрлі құпиялық деңгейлі ақпарат, ал бір деңгейлік
құрылғыларда тек бір құпиялық деңгейі бар ақпарат сақталады.
1. 2.Компьютерлік жүйелердегі аутентификациялау мәселесі
Аутентификацияны программалық-техникада негізгі қорғаныс құралы деп
есептеуге болады. Аутенфикация – бірінші қорғаныстың сызығы, кеңістіктегі
ақпараттың өтуші ұйымдастыруы.
Аутентификация арқылы екінші бет субъектінің сол екеніне сенімділігін
анықтайды. Аутентификация сөзіне синоним ретінде шындықтар
түпнұсқалылығы қолданылады. Субъект түпнұсқалылығы дәлелдейді, егер
келесі мәндердің біреуін орындаса:
• Ол білетін: пароль жеке идентификация нөмірі, криптографиялық кілт
және т.б.
• Ол білетін: жеке карточка немесе аналогты құрылғының қызметін;
• Оның бір бөлігі болатын: даусы, саусақтарының таңбасы және т.б, яғни
өзінің биометриялық мінездемесі;
• Онымен ассоциацияланған, мысалы координаттар.
Парольды аутентификацияның негізгі артықшылығы – қарапайымдылығы және
әдеттілігі. Парольдер операциялық жүйеде және сервистерге баяғыда
орнатылған. Парольды дұрыс қолданса көптеген ұйымдарға қорғаныс деңгейін
қамтамасыз ете алады. Әйтсе де олардың мiнездемелер жиынтығы бойынша өзi
тексеруiнде әлсiз құралы екенін мақұлдауы керек. Пароль сенімділігі
сақтауға және құпияда болуға негізделеді. Парольды дәрекі күш әдісімен
табуға болады, оған сөздікті қолдануға болады. Егер файл парольды
шифрленген болса, бірақ оқуға рұқсат етілсе, онда оны компьютерге көшіріп
алуға болады және оған сәйкес келетін парольды толығымен программалап
табуға болады. Электронды ұстап алудан парольдер осал болып келеді – бұл
оның принциптелген кемшілігі, оны администраторды жақсартуынан
компинсирлеуге және қолданушыларды оқытуға болмайды.
Практикада оның бір шешімі бар – ол криптографияда жіберу сызығында
шифрлерген парольды пайдалану.
Келесі шаралар парольды қорғауға сенімділікті артырады:
• Техникалық ұйымдардың салу (пароль тым қысқа болмауы қажет, оның
құрамында әріптер, сандар, пунктуациялық таңбалар және т.б болуы қажет);
• Парольды басқару әрекеті, олардың периодты ауысуында;
• Файл пароліне шектеу қою;
• Жүйеге кірудің шектеулі сандар талпыныстарын қою;
• Қолданушыларды оқыту және тәрбиелеу;
Генераторлық программалық парольдерді қою, олар қиын емес ережелермен
тұрақтандыру, оларды жаксы естілетін және есте сақталатындар тудырта алады.
Көрсетілген шараларды міндетті түрде қолдану, егер парольмен қатар
басқа аутентифиакциялау әдісітер қолданса, мысалы токендерді қолдануға
негізделсе.
Токен – ол құрал немесе пән, онымен қолданушы шындықты дәлелдейді.
Токендер жадымен ажыратылады (пассивті тек сақтайды, бірақ ақпаратты
өңдемейді) және интеллектуалды токен (актив).
Кең таралған токендер магнитті сызықты жады карточкалары. Бұндай
токендермен оқу үшін оқу құралдары қажет, олар пернетақтамен және
процессорлармен жабдықталуы қажет. Көбнесе қолданушы пернетақтада өзінің
идентификациялық номерін тереді, содан кейін сопроцессор оның карточкамен
сәйкестігін тексереді. Сонымен қорғауда ол екі кілтті комбинацияны
қолданады, ол бұзушының әрекетін қиындатады.
Міндетті түрде ақпаратты аутентификацияны өндеу қажет, компьютерге
жібермей тұрып – ол электронды ұстап алудан шектейді.
Кейде (физмкалық контроль қатынасының ) картояаклар идентификациялық
номерсіз қолданады.
Бұзушылардың ең мықты мүмкіндігі аутентификациялық программаны
өзгерту, одан парольдер тек тексерілмейді сонымен қатар келесі рұқсат
етілмеген қолданушыға сақталады.
Интеллектуалды токендар есептеу жылдамдығымен сипатталады. Олар
интеллектуалды карталарға бөлшектенеді, ISO стандарты және басқада
токендар. Карталарға интерфейстік құралдар қажет етіледі, қарапайым
токендар қолдық интерфейске ие болады (дисплей және пернетақта) және түрі
калькуляторға ұқсайды. Токен жұмыс жасау үшін қолданушы өзнің жеке
идентификациялық номерін енгізу қажет.
Интеллектуалды токенді келесі категорияларға бөлуге болады:
• Парольды синтактикалық аусытыру: қолданушы токенге өзінің шындығын
дәлелдейді, одан кейін токен компьютер жүйесінде тексереді;
• Кілттердің динамикалық паролі: токен парольдерді генерациялайды,
олардың периодты өзгерістерін. Компьютерлік жүйе генератор парольдерін
синхрондайды. Токеннен ақпарат электрондық интерфейске түседі және
қолданушымен пернетақтад терминалында теріледі;
Сұраныс - сұрақ жүйесі: компьютер кездейсоқ сан береді, ол
крмптографиялық токенге енгізілген механизммен қайта құрылады, одан кейін
нәтижесін компьютерге тексеруге қайта жібереді. Бұл жерде тағы электронды
және қолдық интерфейс қолданылады. Соңғы жағдайда қолданушы сұранысты
экран бетінен оқиды, токен пернетақтасында оны тереді ( бұл кезде мүмкін
жеке номер теріледі), токен дисплейінде жауап тұрады және терминал
пернетақтасына ауыстырылады.
Мәліметтің аутентификациялау мәселесі неде? Қарапайым хат немесе
құжатқа орындаушы немесе жауапты адам қол қояды. Бұндай әрекеттің екі
жағдайы болады. Біріншіден алушы хаттың нақты екеніне сенімді болуы үшін
өзіндегі бар үлгідегі хаттағы қолмен салыстырады. Екіншіден хаттағы жеке
қол заң кепілдеуіші болады. Егер адамның қолын парақ бетіне жалған қойғысы
келсе ол оңай, ал қолдың авторын қазіргі криминалистикалық әдіспен
орнатуға болады, ал электронды қолтанбада басқаша болады. Биттер тізімін
жалған қою, жай көшіру немесе құжаттарда білдіртпей жасырынды түрде
өзгертуді кез келеген қолданушы жасай алады. Қазіргі дүниеде электронды
формалардағы құжаттарды (сонын ішінде конфиденциалды) және оларды өндеу,
шындықты және парақ беттерінсіз құжаттар авторы мәселелері болды.
Криптографиялық жүйеде ашық кілтті бөлімінде көрсетілді, барлық қазіргі
шифрлеу жүйесінің артықшылықтары мәліметтің аутентификациялауын қамтамасыз
ете алмайды. Сондықтан аутентификация мүмкіндігі комплексті және
криптографиялық алгоритмінде қолдану керек.
Электрондық құжаттарды аутентификациялау мәселесін шешу үшін
электрондық цифрлік қол қоюлар (ЭҚҚ) механизмі қолданылады, ол хешироваттау
қызметін қолданатын Эль-Гамальдың ассимметриялық криптографиялық алгоритм
базасында жүзеге асырылған. Бұндай қолды құпия кілт иесі пайдаланушы – осы
құжаттың авторы ғана қоя алатындығы ЭҚҚ негізгі ерекшеліктері болып
саналады. Құжаттың авторын (аутентификациялауды) және түп нұсқасын,
тұтыстығын тексеруді осы құжат авторының ашық кілтіне ие кез келген
пайдаланушы жүзеге асырыла алады. Осы механизм қағаз құжаттардың айналыс
орнына электрондық айналысын салуға, сондай-ақ оларды аутентификациялауға
байланысты кез ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz