Ақпараттық қауіпсіздік Негізгі қауіптер
Қазақ инженерлік техникалық академиясы
РЕФЕРАТ
Тақырыбы:
Ақпараттық қауіпсіздік Негізгі қауіптер
Орындаған: Бейсхан Дәмасбек
Тексерген: Успанова А.И.
Астана, 2015 ж.
МАЗМҰНЫ
КІРІСПЕ
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
1.1 Ақпаратты қауіпсіздік ұғымы
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері
2 АҚПАРАТТЫҚ ҚАУІПСІЗДІК САЯСАТЫ
2.1 Қауіпсіздік кластары және кепілдік түрлері
2.2 Қауіпсіздік саясатының негізгі элементтері
3 ҚАЗАҚСТАН РЕСПУБЛИКАСЫНДА НЕГІЗГІ АҚПАРАТТЫҚ ҚАУІПТЕРДЕН ҚОРҒАНУ ҮШІН ЖАСАЛЫП ЖАТҚАН ІС-ШАРАЛАР
ҚОРЫТЫНДЫ
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР
3
5
5
6
10
10
14
17
19
20
КІРІСПЕ
Құқықтық саясат тұжырымдамасында 2010 жылдан 2020 жылға дейін мерзімінде ұлттық құқықтың негізгі мәселесі анықталды - ақпаратты қорғау мемлекеттік жүйенің негіздері, осы салада негізгі қауіптер анықталды. Осының салдары ретінде ақпараттық қауіпсіздік саласында бірыңғай мемлекеттік саясатын іске асырудың тетіктерін әзірлеу болып табылады. Осының себебімен ҚР Байланыс және ақпарат министрлігі мемлекеттік органдармен, соның ішінде ҚР Ішкі істер министрлігімен ұлттық ақпараттық қауіпсіздігінің қауіптеріне қарсы әрекет ету бойынша бірлесіп жұмыстар жүзеге асырылып жатыр.
Интернет - біздің барлық өміріміздің айна бейнесі. Әлем қоғамдастығы мемлекет тарапынан оны реттеу керек деген ойға жүгініп жүр. Бастапқы Интернет желісі ақпараттық-коммуникациялық инфрақұрылымының қауіпсіздігін қамтамасыз ететің технологияларды есептемей әзірленген фактісін есептеу қажет, мұнда осы сияқты қылмыстардың ізін табу өте күрделі жұмыс болып табылады және осындай инцидентерге қатысатын ұйымдардың үлестірілген күштерді талап етеді. Интернет желісінде спаммерлер мен хакерлерге аспаптар жеткілікті. Мемлекетаралық қақтығыстар оқиғаларында көптеген шабуылдардан, негізінен DDOS немесе бағдарламалық қамтамасыз етуде өтінілмеген мүмкіндіктерден елдің Интернет-инфрақұрылымы бір-неше аптаға әлсіреуі мүмкін туралы көптеген мысалдар бар.
Ұлттық ақпараттық инфрақұрылымның ақпараттық қауіпсіздігін (АҚ) қамтамасыз ету мәселелерін реттеу құқықтық мәдениеттің дамуына, тұлғаның құқықтық белсенділігін қалыптастыруы ұтымды болып табылатын фактісі айқын болды. Заңнамалық реттеу тұлға болсын қауым болсын, мемлекеттің тұтасымен қызығушылықтар қабыстыру негізінде жүзеге асырылуы тиіс. Интернет және Интернет-ресурстар құқықтық алаңға енгізілді, зиян БҚ таратылуды шектеу құқықтық тетігі әзірленді, сонымен қатар АҚ саласында тұрақты ұлттық инфрақұрылымды салу мәселелерінде ұйымдастырушылық және техникалық шешімдерді талап ететін мәселелер белгіленді.
Ақпаратты қорғау - ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, программалық және техникалық әдістер мен құралдардан тұрады.
Рефераттың мақсаты - ақпараттық қауіпсіздікті қарастыру, негізгі қауіптерге тоқталу. Осыған орай мынадай міндеттерді алдыма қойдым:
- ақпараттық қауіпсіздіктің маңызы және қауіптердің негізгі түрлеріне тоқталу;
- ақпаратты қауіпсіздік ұғымына анықтама беру;
- ақпаратты қауіпсіздік қауіптерінің негізгі түрлерін анықтау;
- ақпараттық қауіпсіздік саясатын зерделеу;
- қауіпсіздік кластары және кепілдік түрлеріне түсініктеме беру;
- қауіпсіздік саясатының негізгі элементтерін қарастыру;
- Қазақстан Республикасында негізгі ақпараттық қауіптерден қорғану үшін жасалып жатқан іс-шараларға тоқталу.
Зерттеу жұмысы кіріспе, екі бөлім, қорытынды және пайдаланылған әдиебиеттер тізімінен тұрады.
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
1.1 Ақпаратты қауіпсіздік ұғымы
Ақпаратты өңдеудің автоматтандырылған жүйесі (АЖ) ретінде келесі объектер жиынтығын түсіну керек:
- есептеуіш техника құралдарын;
- программалық жасауды;
- байланыс арналарын;
- түрлі тасушылардағы ақпараттарды;
- қызметшілер мен жүйені пайдаланушыларды.
АЖ-нің ақпараттық қауіпсіздігі жүйенің мына күйлерінде:
- жүйенің сыртқы және ішкі қауіп-қатерлердің тұрақсыздандыру әсеріне қарсы тұра алу қабілеті бар кезіндегісі;
- жүйенің жұмыс істеуі және жүйенің бар болуы сыртқы ортаға және оның өзінің элементтеріне қауіп келтірмеуі кезіндегісі қарастырылады.
Тәжірибе жүзінде ақпараттық қауіпсіздік қорғалатын ақпараттың келесі негізгі қасиеттерінің жиынтығы ретінде қарастырылады:
- конфиденциалдылық (құпияланғандық), яғни ақпаратқа тек заңды пайдаланушылар қатынай алатындығы;
- тұтастық, біріншіден, тек заңды және сәйкесті өкілдігі бар пайдаланушылар ғана өзгерте алатын ақпараттың қорғалуын, ал екіншіден ақпараттың ішкі қайшылықсыздығын және (егер берілген қасиет қолданыла алатын болса) заттардың нақты жағдайын бейнелеуін қамтамасыз ететіндігі;
- қатынау қолайлығы, қорғалатын ақпаратқа заңды пайдаланушыларға бөгетсіз қатынаудың кепілі болуы.
Желілік қауіпсіздік сервистері есептеуіш жүйелерде және желілерде өңделетін ақпараттың қорғау механизмдерін береді.
Инженерлік-техникалық әдістер өзінің мақсаты ретінде техникалық арналар арқылы ақпараттың жайылып кетуінен ақпараттың қорғалуын қамтасыз етуді қарастырады.
Ақпаратты қорғаудың құқықтық және ұйымдастырушылық әдістері нормалар үлгілерін жетілдіру үшін ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі қызметтерді ұйымдастырады.
Ақпараттық қауіпсіздікті қамтамасыз етудің теориялық әдістері өз кезегінде екі негізгі мәселені шешеді. Біріншіден, ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі процесстерді формализациялау.Осыдан екінші мәселе туындайды - ол, қорғалу деңгейін талдағанда ақпараттық қауіпсіздікті қамтамасыз етудегі жүйелер қызметінің қисындылығы мен адекваттығының қатаң негізделуі.
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері
Автоматтандырылған жүйенің ақпаратық қауіпсіздігіне қауіп дегеніміз - бұл АЖ өңдейтін ақпараттың конфиденциалдығы, тұтастығы мен қатынау қолайлығының бұзылуына әкеліп соғатын әсерлердің жүзеге асырылуы және де АЖ құраушыларының жоғалуына, жойылуы мен қызмет етуін тоқтатуына келтіретін мүмкіндігі. Қауіптердің жіктелуі:
Пайда болу табиғатына қарай табиғи және жасанды болып бөлінеді. Табиғи - бұл адамға байланыссыз АЖ-ге физикалық процесстер мен табиғи апаттардың әсер ету нәтижесінде пайда болған қауіп. Өз кезегінде жасанды қауіп адамның әрекетінен туындайды. Табиғи қауіптің мысалы ретінде өрт, тасқын, цунами, жер сілкінісі және т.б. айтса болады. Мұндай қауіптің жағымсыз жағы - оны болжаудың қиындығы және мүмкін еместігі.
Ниеттілік дәрежесіне сәйкес кездейсоқ және қасақана болып бөлінеді. Кездейсоқ қауіп қызметшілердің немқұрайдылығынан немесе әдейілеп жасалмаған қателіктерінен пайда болады. Қасақана қауіп әдетте бағытталып жасалған әрекет нәтижесінде пайда болады.Кездейсоқ қауіптің мысалы ретінде байқаусыз деректердің қате енгізілуін, абайсыз жабдықтың бүлдірілуін келтіруге болады. Ал қаскүнемнің физикалық қатынаудың белгіленген ережелерін бұзып қорғалатын аймаққа рұқсатсыз кіру қасақана қауіптің мысалы болып табылады.
Қауіп көзіне тәуелді келесідей бөледі:
- қауіп көзі - табиғи орта. Мысалы: өрт, тасқын және басқа да табиғи апаттар;
- қауіп көзі - адам. Мысалы, бәсекелес ұйымның АЖ қызметкерлері қатарына өз агенттерін енгізу;
- қауіп көзі - рұқсатты программалық-аппараттық құралдар. Мысалы, жүйелік утилиттерді пайдалануды жете білмеушілік;
- қауіп көзі - рұқсатсыз программалық-аппараттық құралдар. Мысалы, жүйеге кейлоггерлерді енгізу;
Қауіп көзінің орналасуына байланысты былай бөлінеді:
- қауіп көзінің бақылау аумағынан тыс орналасуынан пайда болатын қауіп.Мысалы, жанама электромагнит сәулеленулерін (ЖЭМС) немесе байланыс арналарымен беріліп жатқан деректерді ұстап алу; қашықтан фото және бейне түсіру; бағытталған микрофон көмегімен акустикалық ақпаратты ұстап қалу;
- қауіп көзінің бақылау аумағының шекарасында орналасуы. Мысалы,білдірмей тыңдау құрылғыларын қолдану немесе конфиденциялды ақпараты бар деректерді тасушыларын ұрлау.
АЖ-ге әсер ету дәрежесі бойынша пассивті және активті қауіптер деп бөледі.
Пассивті қауіп іске асырылғанда АЖ құрамына және құрылымына ешқандай өзгеріс енбейді, ал активті қауіп, керісінше, АЖ құрылымын бұзады. Пассивті қауіптің мысалы ретінде деректер файлдарын рұқсатсыз көшіруді келтіруге болады.
АЖ ресурстарына қатынау тәсілі бойынша былай бөлінеді:
стандартты қатынауды қолданатын қауіп. Мысалы, заңды иеге қатысты пара беру, шантаж, физикалық қауіп төндіру арқылы рұқсатсыз парольді алу;
стандартты емес қатынауды қолданатын қауіп. Мысалы, қорғау құралдарының ресми мәлімделмеген мүмкіндіктерін пайдалану.
Қауіптердің негізгі жіктелуі:
Ақпараттың конфиденциялдығын (құпияланғандығын) бұзатын қауіптердің орындалу нәтижесінде құпия ақпаратпен танысу үшін өкілдігі жоқ субъектіге ақпаратқа қатынау мүмкіндігі туады.
Ақпараттың тұтастығын бұзатын қауіптерге, АЖ көмегімен өңделініп жатқан ақпаратты кез келген қаскүнемділікпен бұрмалау немесе құрту жатады.
Ақпараттың қатынау қолайлығын бұзатын қауіптерге, АЖ ресурсына рұқсаты бар пайдаланушының қатынауы бұғатталғанда туындайтын жағдайлар жатады.
Идентификация - қатынасатын субъектке арнайы идентификатор (қайталанбайтын) тағайындау және оны мүмкін болатын идентификатор тізімімен салыстыру операциясы.
Аутентификация - қатынасатын субъект пен оның идентификаторының сәйкестігін тексеру әрі растау операциясы. Аутентификацияның әдістерін үлкен 4 топқа бөлуге болады:
Белгілі бір құпия ақпаратты білуге негізделген әдістер. Бұл әдістің бәрімізге таныс мысалы - парольдік қорғаныс. Қолданушы жүйеге кірер кезде пароль, яғни таңбалардың құпия тізбегін, енгізу керек болады. Аутентификацияның бұл әдісі ең кең таралған болып табылады.
Қайталанбайтын зат (нәрсе) қолдануға негізделген әдістер. Қайталанбайтын зат ретінде түрлі смарт карталар, токен, электрондық кілттерді айтуға болады.
Адамның биометриялық белгісіне негізделген әдістер. Іс жүзінде биометриялық белгілердің келесідей түрлері қолданылады: Саусақтың ізі, Көздің торлы қабықшасы не мөлдір қабықшасының суреті, Қолдың жылулық суреті, Беттің фотосуреті не жылулық суреті, Жазу (қолтаңба), Дауыс
Қолданушымен байланысты ақпаратқа негізделген әдістер. Мұндай әдістердің мысалы ретінде қолданушының GPS арқылы алынған координаттарын айтуға болады.
Аутентификацияның парольдік жүйелерінің ерекшеліктері:
Жүзеге асырудың салыстырмалы түрдегі жеңілдігі. Шынымен-ақ, парольдік қорғаныс механизмін ұйымдастыруға, көп жағдайда, ешқандай артық аппараттық құралдар керек емес.
Дәстүрлік. Парольдік қорғаныс механизмі қолданушылардың көпшілігіне таныс, сондықтан басқа құралдарға қарағанда (м: көздің мөлдір қабықшасының сканерлеу) психологиялық жатсыну тудырмайды.
Қауіпсіздіктің парольдік жүйелерінің негізгі қауіптеріне:
Адами факторлардың әлсіздігін пайдалану жолы. Бұл жерде пароль алу әдістері әр түрлі: пароль енгізу кезінде көріп алу, тыңдап алу, шантаж немесе біреудің тіркелгісін рұқсатпен пайдалану.
Теріп тауып алу. Бұл жерде келесідей әдістер пайдаланылады:
- Барлық вариантты теріп, тауып алу. Бұл әдіс бойынша парольді енгізіп көру кезінде барлық мүмкін комбинация тексеріледі. Қаскүнемнің жүйеге кіру уақыты көп болу керек екендігі өз-өзінен-ақ түсінікті. Бұл әдіспен шыдамдығы кез-келген парольдер табылады.
- Сөздік бойынша теріп, тауып алу. Іс жүзінде пайдаланылатын парольдер мағыналы сөз не сөз тіркесі болып табылады. Осындай көп пайдаланылатын парольдер тізімделіп, сөздік жасалады. Осы сөздіктің көмегімен парольді тез тауып алуға болады.
- Қолданушы туралы мәлімет бойынша теріп, тауып алу. Бұл әдістің негізінде әр қолданушы өз паролін өздері ойлап табу фактісі жатыр. Көп жағдайда, адамдар пароль ойлап тапқан кезде, өздеріне байланысты мәлімет енгізеді.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша бағаланады: қауіпсіздік саясаты және кепілділік.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қызғылт сары кітапта сенімділіктің төрт деңгейі анықталған: D, С, В және А. D деңгейі қанағаттандырылмаған жүйеге арналған С деңгейіне А деңгеіне өту кезінде жүйелерге қатаң талаптар қойыла бастайды. С және В деңгейінің бөлімдері сенімділік деңгейінің өсуі бойынша кластарға (С1,C2.B1,B2,B3) бөлінеді.
Қауіпсіздіктің барлық алты класы бар (C1,C2,B1,B2,B3,A1). Сертификация кезінде жүйені белгілі бір кластарға жатқызу үшін, оның қауіпсіздік саясаты мен кепілдеме деңгейі маңызды талаптарды қанағаттандыру қажет.
Қызғылт кітапқа қойылатын талаптар келесідей:
Қауіпсіздік политикасы
Жүйе дәл анықталған қауіпсіздік политикасын ұстануы тиіс.
Субъекттің объектке қолжетушілік мүмкіндігі олардың ұқсастығы және қолжетушілікпен басқару ережелерінің жиынтығы негізінде анықталуы керек.
Объектімен қолжетушілікті бақылау процедуралары үшін бастапқы информация есебінде қолданылатын қауіпсіздік белгілері бір-біріне ұйқасуы керек.
Есеп беру. Барлық субьекттерде ерекше идентификаторлар болуы тиіс.
Қолжетушілік бақылауы қолжетушіліктің объектісінің және субъектісінің ұқсастығы, айырмашылығы және қолжетушілікті бөлу ережелері негізінде жүзеге асуы қажет.
Тіркелу жүйесі оқиғаның жалпы ағынының анализін жүзеге асыруы және одан тек қауіпсіздікке әсер ететін оқиғаларды бөліп алу қажет.
Оқиға хаттамасы рұқсатсыз қолжетушіліктен, түрлендіру және жоюдан сенімді қорғалған болуы тиіс.
Кепілдік
Қорғау құралдары қорғау функцияларының жұмысқа қабілеттілігін қамтамасыз ететін тәуелсіз аппараттық немесе программалық компоненттерден құралуы тиіс.
Бақылау құралдары қорғау құралдарынан түгелдей тәуелсіз болуы керек.
Барлық қорғау құралдары рұқсатсыз бөгеулер мен ажыратулардан қорғалуы тиіс, сонымен қатар бұл қорғау қорғау жүйесінің жұмысының кез-келген режимінде және барлық автоматтандырылған жүйелерде тұрақты және үзіліссіз болуы керек.
2 АҚПАРАТТЫҚ ҚАУІПСІЗДІК САЯСАТЫ
2.1 Қауіпсіздік кластары және кепілдік түрлері
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін, қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған, белсенсіз сынары деп сипаттауға болады.
Қауіпсіздік кластары
С1 - Дискретті қорғау
Кластың талабы: пайдаланушы ұсынылған қорғау құралдарын қолдану мүмкіншілігі бар. Қорғау бірнеше үзінді нүктелі элементтерден ұйымдастырылады.
Тиісті критерийлары:
- Авторизациялау сервері болу керек
- Аппараттық және программалық құралдары болуы керек
- Қауіпсіздік ережелерін сақтау талабы қойылады
- Қорғаныс механизмдері тестіленіп отыруы керек
- Идентификация және аутентификация
- С2 - Қатынаумен таңдамалы басқару
Қатынауды тиімділеу бағытта, ұсыныстар, кеңестер беріледі. Жүйеге қадағалау енгізіле басталады.
Тиісті критерийлары:
- объектілердің қайта қолдануы
- жүйеде орындалған әр іс-әрекет нақты пайдаланушымен байланысты
- тіркелетін ақпарат қорғалуға тиісті
В1 - Мандатты басқару
Мандатты басқару - (англ. Mandatory access control, MAC) -- субъектілердің объектілерге қолжетімділігін берілген құқыққа немесе (мандатқа, рұқсатқа) сәйкес ұйымдастыру. Кейбір жерлерде оны Еріксіз басқару деп аударады.
Тиісті критерийлары:
- Қауіпсіздік саясат
- Архитектураны верификациялау
- Қауіпсіздік белгілері
- Пайдаланушыны жүйемен жұмыс жасауда құжаттандыру керек
- В2 - Құрылымдық қорғаныс
Ақпаратты жіберетін жасырын арналарға бақылау жүргізе отырып,барлық субъектілерге қолданылатын дискрециялық және мандатты қатынауды басқаруды ескеретін формалды анықталған және нақты құжатталған қауіпсіздік моделі
Тиісті критерийлары:
- Сенімді есептеу базасы, өзіне тиесілі жобалардың енуі мен тұрақтылығын қамтамасыз етуі
- Алғашқы идентификациялық,аудентификациялық операцияларды орындағанда есептеуіш базасына сенімді байланысу жолын қамтамасыз ету
- Жады мен алмасу құпия арналарын тіркеу
- Тестілер құпия ақпарат алмасу арналарының қатынау қабілеттілігінің шектеуін құптайды
- Есептеу базасы жақсы құрылымданған және тәуелсіз модульдерден тұрады
В3 - Қауіпсіздік домендері
Барлық қорғау механизмдері қауіпсіздік ядросында шоғырлануы керек.Аудит құралдарының жұмыс істеу жауапкершілігіне және жүйені қалпына келтіруге администратор жауапты.
Тиісті критерийлары:
- Анықталған қауіпсіздік саясатты ұстануы
- Аудит құралдарына хабарландырулар енуі тиіс
- Қауіпсіздік мониторын қолдау
- Қауіпсіздік ядросы ықшамды болып келеді
- Есептеуіш базаға сырттан келген шабуылға қарсылық көрсету
- Жүйенің жұмыс істеу қабілетін қалпына келтіру құралдарының бар болуы қажетті.
А - Верификацияланған (тексерілетін) қауіпсіздік
Тестілеу сенімді есептеу базасының формалдық спецификациясының жоғары деңгейін қадағалап, өндіруі қажет
Формальды спецификациялық жоғары деңгейлі болуы тиіс. Заманауи әдіс формалды спецификация мен верификациялық жүйені қолданады.
Конфигурациялық механизм басқару жүйесі бүкіл өмір циклін және барлық жүйе компаненттерін, оған тиесілі қауіпсіздік әрекеттерін қамтамасыз етеді.
Кепілдіктің екі түрі болады: операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен (аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының міндетін орындау, яғни, объектілермен белгілі бір ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
РЕФЕРАТ
Тақырыбы:
Ақпараттық қауіпсіздік Негізгі қауіптер
Орындаған: Бейсхан Дәмасбек
Тексерген: Успанова А.И.
Астана, 2015 ж.
МАЗМҰНЫ
КІРІСПЕ
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
1.1 Ақпаратты қауіпсіздік ұғымы
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері
2 АҚПАРАТТЫҚ ҚАУІПСІЗДІК САЯСАТЫ
2.1 Қауіпсіздік кластары және кепілдік түрлері
2.2 Қауіпсіздік саясатының негізгі элементтері
3 ҚАЗАҚСТАН РЕСПУБЛИКАСЫНДА НЕГІЗГІ АҚПАРАТТЫҚ ҚАУІПТЕРДЕН ҚОРҒАНУ ҮШІН ЖАСАЛЫП ЖАТҚАН ІС-ШАРАЛАР
ҚОРЫТЫНДЫ
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР
3
5
5
6
10
10
14
17
19
20
КІРІСПЕ
Құқықтық саясат тұжырымдамасында 2010 жылдан 2020 жылға дейін мерзімінде ұлттық құқықтың негізгі мәселесі анықталды - ақпаратты қорғау мемлекеттік жүйенің негіздері, осы салада негізгі қауіптер анықталды. Осының салдары ретінде ақпараттық қауіпсіздік саласында бірыңғай мемлекеттік саясатын іске асырудың тетіктерін әзірлеу болып табылады. Осының себебімен ҚР Байланыс және ақпарат министрлігі мемлекеттік органдармен, соның ішінде ҚР Ішкі істер министрлігімен ұлттық ақпараттық қауіпсіздігінің қауіптеріне қарсы әрекет ету бойынша бірлесіп жұмыстар жүзеге асырылып жатыр.
Интернет - біздің барлық өміріміздің айна бейнесі. Әлем қоғамдастығы мемлекет тарапынан оны реттеу керек деген ойға жүгініп жүр. Бастапқы Интернет желісі ақпараттық-коммуникациялық инфрақұрылымының қауіпсіздігін қамтамасыз ететің технологияларды есептемей әзірленген фактісін есептеу қажет, мұнда осы сияқты қылмыстардың ізін табу өте күрделі жұмыс болып табылады және осындай инцидентерге қатысатын ұйымдардың үлестірілген күштерді талап етеді. Интернет желісінде спаммерлер мен хакерлерге аспаптар жеткілікті. Мемлекетаралық қақтығыстар оқиғаларында көптеген шабуылдардан, негізінен DDOS немесе бағдарламалық қамтамасыз етуде өтінілмеген мүмкіндіктерден елдің Интернет-инфрақұрылымы бір-неше аптаға әлсіреуі мүмкін туралы көптеген мысалдар бар.
Ұлттық ақпараттық инфрақұрылымның ақпараттық қауіпсіздігін (АҚ) қамтамасыз ету мәселелерін реттеу құқықтық мәдениеттің дамуына, тұлғаның құқықтық белсенділігін қалыптастыруы ұтымды болып табылатын фактісі айқын болды. Заңнамалық реттеу тұлға болсын қауым болсын, мемлекеттің тұтасымен қызығушылықтар қабыстыру негізінде жүзеге асырылуы тиіс. Интернет және Интернет-ресурстар құқықтық алаңға енгізілді, зиян БҚ таратылуды шектеу құқықтық тетігі әзірленді, сонымен қатар АҚ саласында тұрақты ұлттық инфрақұрылымды салу мәселелерінде ұйымдастырушылық және техникалық шешімдерді талап ететін мәселелер белгіленді.
Ақпаратты қорғау - ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын қолдауды түсінеді. Сонымен, ақпаратты қорғау - ақпараттың сыртқа кетуінің, оны ұрлаудың, жоғалтудың, рұқсатсыз жоюдың, өзгертудің, маңызына тимей түрлендірудің, рұқсатсыз көшірмесін жасаудың, бұғаттаудың алдын алу үшін жүргізілетін шаралар кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын шектеулерді қанағаттандыруға бағытталған ұйымдастырушылық, программалық және техникалық әдістер мен құралдардан тұрады.
Рефераттың мақсаты - ақпараттық қауіпсіздікті қарастыру, негізгі қауіптерге тоқталу. Осыған орай мынадай міндеттерді алдыма қойдым:
- ақпараттық қауіпсіздіктің маңызы және қауіптердің негізгі түрлеріне тоқталу;
- ақпаратты қауіпсіздік ұғымына анықтама беру;
- ақпаратты қауіпсіздік қауіптерінің негізгі түрлерін анықтау;
- ақпараттық қауіпсіздік саясатын зерделеу;
- қауіпсіздік кластары және кепілдік түрлеріне түсініктеме беру;
- қауіпсіздік саясатының негізгі элементтерін қарастыру;
- Қазақстан Республикасында негізгі ақпараттық қауіптерден қорғану үшін жасалып жатқан іс-шараларға тоқталу.
Зерттеу жұмысы кіріспе, екі бөлім, қорытынды және пайдаланылған әдиебиеттер тізімінен тұрады.
1 АҚПАРАТТЫҚ ҚАУІПСІЗДІКТІҢ МАҢЫЗЫ ЖӘНЕ ҚАУІПТЕРДІҢ НЕГІЗГІ ТҮРЛЕРІ
1.1 Ақпаратты қауіпсіздік ұғымы
Ақпаратты өңдеудің автоматтандырылған жүйесі (АЖ) ретінде келесі объектер жиынтығын түсіну керек:
- есептеуіш техника құралдарын;
- программалық жасауды;
- байланыс арналарын;
- түрлі тасушылардағы ақпараттарды;
- қызметшілер мен жүйені пайдаланушыларды.
АЖ-нің ақпараттық қауіпсіздігі жүйенің мына күйлерінде:
- жүйенің сыртқы және ішкі қауіп-қатерлердің тұрақсыздандыру әсеріне қарсы тұра алу қабілеті бар кезіндегісі;
- жүйенің жұмыс істеуі және жүйенің бар болуы сыртқы ортаға және оның өзінің элементтеріне қауіп келтірмеуі кезіндегісі қарастырылады.
Тәжірибе жүзінде ақпараттық қауіпсіздік қорғалатын ақпараттың келесі негізгі қасиеттерінің жиынтығы ретінде қарастырылады:
- конфиденциалдылық (құпияланғандық), яғни ақпаратқа тек заңды пайдаланушылар қатынай алатындығы;
- тұтастық, біріншіден, тек заңды және сәйкесті өкілдігі бар пайдаланушылар ғана өзгерте алатын ақпараттың қорғалуын, ал екіншіден ақпараттың ішкі қайшылықсыздығын және (егер берілген қасиет қолданыла алатын болса) заттардың нақты жағдайын бейнелеуін қамтамасыз ететіндігі;
- қатынау қолайлығы, қорғалатын ақпаратқа заңды пайдаланушыларға бөгетсіз қатынаудың кепілі болуы.
Желілік қауіпсіздік сервистері есептеуіш жүйелерде және желілерде өңделетін ақпараттың қорғау механизмдерін береді.
Инженерлік-техникалық әдістер өзінің мақсаты ретінде техникалық арналар арқылы ақпараттың жайылып кетуінен ақпараттың қорғалуын қамтасыз етуді қарастырады.
Ақпаратты қорғаудың құқықтық және ұйымдастырушылық әдістері нормалар үлгілерін жетілдіру үшін ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі қызметтерді ұйымдастырады.
Ақпараттық қауіпсіздікті қамтамасыз етудің теориялық әдістері өз кезегінде екі негізгі мәселені шешеді. Біріншіден, ақпараттық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі процесстерді формализациялау.Осыдан екінші мәселе туындайды - ол, қорғалу деңгейін талдағанда ақпараттық қауіпсіздікті қамтамасыз етудегі жүйелер қызметінің қисындылығы мен адекваттығының қатаң негізделуі.
1.2 Ақпаратты қауіпсіздік қауіптерінің негізгі түрлері
Автоматтандырылған жүйенің ақпаратық қауіпсіздігіне қауіп дегеніміз - бұл АЖ өңдейтін ақпараттың конфиденциалдығы, тұтастығы мен қатынау қолайлығының бұзылуына әкеліп соғатын әсерлердің жүзеге асырылуы және де АЖ құраушыларының жоғалуына, жойылуы мен қызмет етуін тоқтатуына келтіретін мүмкіндігі. Қауіптердің жіктелуі:
Пайда болу табиғатына қарай табиғи және жасанды болып бөлінеді. Табиғи - бұл адамға байланыссыз АЖ-ге физикалық процесстер мен табиғи апаттардың әсер ету нәтижесінде пайда болған қауіп. Өз кезегінде жасанды қауіп адамның әрекетінен туындайды. Табиғи қауіптің мысалы ретінде өрт, тасқын, цунами, жер сілкінісі және т.б. айтса болады. Мұндай қауіптің жағымсыз жағы - оны болжаудың қиындығы және мүмкін еместігі.
Ниеттілік дәрежесіне сәйкес кездейсоқ және қасақана болып бөлінеді. Кездейсоқ қауіп қызметшілердің немқұрайдылығынан немесе әдейілеп жасалмаған қателіктерінен пайда болады. Қасақана қауіп әдетте бағытталып жасалған әрекет нәтижесінде пайда болады.Кездейсоқ қауіптің мысалы ретінде байқаусыз деректердің қате енгізілуін, абайсыз жабдықтың бүлдірілуін келтіруге болады. Ал қаскүнемнің физикалық қатынаудың белгіленген ережелерін бұзып қорғалатын аймаққа рұқсатсыз кіру қасақана қауіптің мысалы болып табылады.
Қауіп көзіне тәуелді келесідей бөледі:
- қауіп көзі - табиғи орта. Мысалы: өрт, тасқын және басқа да табиғи апаттар;
- қауіп көзі - адам. Мысалы, бәсекелес ұйымның АЖ қызметкерлері қатарына өз агенттерін енгізу;
- қауіп көзі - рұқсатты программалық-аппараттық құралдар. Мысалы, жүйелік утилиттерді пайдалануды жете білмеушілік;
- қауіп көзі - рұқсатсыз программалық-аппараттық құралдар. Мысалы, жүйеге кейлоггерлерді енгізу;
Қауіп көзінің орналасуына байланысты былай бөлінеді:
- қауіп көзінің бақылау аумағынан тыс орналасуынан пайда болатын қауіп.Мысалы, жанама электромагнит сәулеленулерін (ЖЭМС) немесе байланыс арналарымен беріліп жатқан деректерді ұстап алу; қашықтан фото және бейне түсіру; бағытталған микрофон көмегімен акустикалық ақпаратты ұстап қалу;
- қауіп көзінің бақылау аумағының шекарасында орналасуы. Мысалы,білдірмей тыңдау құрылғыларын қолдану немесе конфиденциялды ақпараты бар деректерді тасушыларын ұрлау.
АЖ-ге әсер ету дәрежесі бойынша пассивті және активті қауіптер деп бөледі.
Пассивті қауіп іске асырылғанда АЖ құрамына және құрылымына ешқандай өзгеріс енбейді, ал активті қауіп, керісінше, АЖ құрылымын бұзады. Пассивті қауіптің мысалы ретінде деректер файлдарын рұқсатсыз көшіруді келтіруге болады.
АЖ ресурстарына қатынау тәсілі бойынша былай бөлінеді:
стандартты қатынауды қолданатын қауіп. Мысалы, заңды иеге қатысты пара беру, шантаж, физикалық қауіп төндіру арқылы рұқсатсыз парольді алу;
стандартты емес қатынауды қолданатын қауіп. Мысалы, қорғау құралдарының ресми мәлімделмеген мүмкіндіктерін пайдалану.
Қауіптердің негізгі жіктелуі:
Ақпараттың конфиденциялдығын (құпияланғандығын) бұзатын қауіптердің орындалу нәтижесінде құпия ақпаратпен танысу үшін өкілдігі жоқ субъектіге ақпаратқа қатынау мүмкіндігі туады.
Ақпараттың тұтастығын бұзатын қауіптерге, АЖ көмегімен өңделініп жатқан ақпаратты кез келген қаскүнемділікпен бұрмалау немесе құрту жатады.
Ақпараттың қатынау қолайлығын бұзатын қауіптерге, АЖ ресурсына рұқсаты бар пайдаланушының қатынауы бұғатталғанда туындайтын жағдайлар жатады.
Идентификация - қатынасатын субъектке арнайы идентификатор (қайталанбайтын) тағайындау және оны мүмкін болатын идентификатор тізімімен салыстыру операциясы.
Аутентификация - қатынасатын субъект пен оның идентификаторының сәйкестігін тексеру әрі растау операциясы. Аутентификацияның әдістерін үлкен 4 топқа бөлуге болады:
Белгілі бір құпия ақпаратты білуге негізделген әдістер. Бұл әдістің бәрімізге таныс мысалы - парольдік қорғаныс. Қолданушы жүйеге кірер кезде пароль, яғни таңбалардың құпия тізбегін, енгізу керек болады. Аутентификацияның бұл әдісі ең кең таралған болып табылады.
Қайталанбайтын зат (нәрсе) қолдануға негізделген әдістер. Қайталанбайтын зат ретінде түрлі смарт карталар, токен, электрондық кілттерді айтуға болады.
Адамның биометриялық белгісіне негізделген әдістер. Іс жүзінде биометриялық белгілердің келесідей түрлері қолданылады: Саусақтың ізі, Көздің торлы қабықшасы не мөлдір қабықшасының суреті, Қолдың жылулық суреті, Беттің фотосуреті не жылулық суреті, Жазу (қолтаңба), Дауыс
Қолданушымен байланысты ақпаратқа негізделген әдістер. Мұндай әдістердің мысалы ретінде қолданушының GPS арқылы алынған координаттарын айтуға болады.
Аутентификацияның парольдік жүйелерінің ерекшеліктері:
Жүзеге асырудың салыстырмалы түрдегі жеңілдігі. Шынымен-ақ, парольдік қорғаныс механизмін ұйымдастыруға, көп жағдайда, ешқандай артық аппараттық құралдар керек емес.
Дәстүрлік. Парольдік қорғаныс механизмі қолданушылардың көпшілігіне таныс, сондықтан басқа құралдарға қарағанда (м: көздің мөлдір қабықшасының сканерлеу) психологиялық жатсыну тудырмайды.
Қауіпсіздіктің парольдік жүйелерінің негізгі қауіптеріне:
Адами факторлардың әлсіздігін пайдалану жолы. Бұл жерде пароль алу әдістері әр түрлі: пароль енгізу кезінде көріп алу, тыңдап алу, шантаж немесе біреудің тіркелгісін рұқсатпен пайдалану.
Теріп тауып алу. Бұл жерде келесідей әдістер пайдаланылады:
- Барлық вариантты теріп, тауып алу. Бұл әдіс бойынша парольді енгізіп көру кезінде барлық мүмкін комбинация тексеріледі. Қаскүнемнің жүйеге кіру уақыты көп болу керек екендігі өз-өзінен-ақ түсінікті. Бұл әдіспен шыдамдығы кез-келген парольдер табылады.
- Сөздік бойынша теріп, тауып алу. Іс жүзінде пайдаланылатын парольдер мағыналы сөз не сөз тіркесі болып табылады. Осындай көп пайдаланылатын парольдер тізімделіп, сөздік жасалады. Осы сөздіктің көмегімен парольді тез тауып алуға болады.
- Қолданушы туралы мәлімет бойынша теріп, тауып алу. Бұл әдістің негізінде әр қолданушы өз паролін өздері ойлап табу фактісі жатыр. Көп жағдайда, адамдар пароль ойлап тапқан кезде, өздеріне байланысты мәлімет енгізеді.
Қауіпсіз жүйе - белгілі бір тұлғалар немесе олардың атынан әрекет жасайтын үрдістер ғана ақпаратты оқу, жазу, құрастыру және жою құқығына ие бола алатындай етіп ақпаратқа қол жеткізуді тиісті құралдар арқылы басқаратын жүйе.
Сенімді жүйе - әр түрлі құпиялық дәрежелі ақпаратты қатынас құру құқығын бұзбай пайдаланушылар тобының бір уақытта өңдеуін қамтамасыз ету үшін жеткілікті ақпараттық және программалық құралдарды қолданатын жүйе.
Жүйенің сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша бағаланады: қауіпсіздік саясаты және кепілділік.
1983 жылы АҚШ қорғаныс министрлігі қызғылт сары мұқабасы бар Сенімді компьютерлік жүйелерді бағалау өлшемдері деп аталатын кітап шығарды.
Қызғылт сары кітапта сенімділіктің төрт деңгейі анықталған: D, С, В және А. D деңгейі қанағаттандырылмаған жүйеге арналған С деңгейіне А деңгеіне өту кезінде жүйелерге қатаң талаптар қойыла бастайды. С және В деңгейінің бөлімдері сенімділік деңгейінің өсуі бойынша кластарға (С1,C2.B1,B2,B3) бөлінеді.
Қауіпсіздіктің барлық алты класы бар (C1,C2,B1,B2,B3,A1). Сертификация кезінде жүйені белгілі бір кластарға жатқызу үшін, оның қауіпсіздік саясаты мен кепілдеме деңгейі маңызды талаптарды қанағаттандыру қажет.
Қызғылт кітапқа қойылатын талаптар келесідей:
Қауіпсіздік политикасы
Жүйе дәл анықталған қауіпсіздік политикасын ұстануы тиіс.
Субъекттің объектке қолжетушілік мүмкіндігі олардың ұқсастығы және қолжетушілікпен басқару ережелерінің жиынтығы негізінде анықталуы керек.
Объектімен қолжетушілікті бақылау процедуралары үшін бастапқы информация есебінде қолданылатын қауіпсіздік белгілері бір-біріне ұйқасуы керек.
Есеп беру. Барлық субьекттерде ерекше идентификаторлар болуы тиіс.
Қолжетушілік бақылауы қолжетушіліктің объектісінің және субъектісінің ұқсастығы, айырмашылығы және қолжетушілікті бөлу ережелері негізінде жүзеге асуы қажет.
Тіркелу жүйесі оқиғаның жалпы ағынының анализін жүзеге асыруы және одан тек қауіпсіздікке әсер ететін оқиғаларды бөліп алу қажет.
Оқиға хаттамасы рұқсатсыз қолжетушіліктен, түрлендіру және жоюдан сенімді қорғалған болуы тиіс.
Кепілдік
Қорғау құралдары қорғау функцияларының жұмысқа қабілеттілігін қамтамасыз ететін тәуелсіз аппараттық немесе программалық компоненттерден құралуы тиіс.
Бақылау құралдары қорғау құралдарынан түгелдей тәуелсіз болуы керек.
Барлық қорғау құралдары рұқсатсыз бөгеулер мен ажыратулардан қорғалуы тиіс, сонымен қатар бұл қорғау қорғау жүйесінің жұмысының кез-келген режимінде және барлық автоматтандырылған жүйелерде тұрақты және үзіліссіз болуы керек.
2 АҚПАРАТТЫҚ ҚАУІПСІЗДІК САЯСАТЫ
2.1 Қауіпсіздік кластары және кепілдік түрлері
Қауіпсіздік саясаты - мекеменің ақпаратты қалайша өңдейтінін, қорғайтынын және тарататынын анықтайтын заңдар, ережелер және тәртіп нормаларының жиыны. Бұл ережелер пайдаланушының қайсы кезде белгілі бір деректер жинағымен жұмыс істей алатынын көрсетеді. Қауіпсіздік саясатын құрамына мүмкін болатын қауіптерге талдау жасайтын және оларға қарсы әрекет шаралары кіретін қорғаныштың белсенді сыңары деп санауға болады.
Кепілдік - жүйенің сәлетіне және жүзеге асырылуына көрсетілетін сенім өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты тетіктердің дұрыстығын көрсетеді. Оны қорғаныштың, қорғаушылар жұмысын қадағалауға арналған, белсенсіз сынары деп сипаттауға болады.
Қауіпсіздік кластары
С1 - Дискретті қорғау
Кластың талабы: пайдаланушы ұсынылған қорғау құралдарын қолдану мүмкіншілігі бар. Қорғау бірнеше үзінді нүктелі элементтерден ұйымдастырылады.
Тиісті критерийлары:
- Авторизациялау сервері болу керек
- Аппараттық және программалық құралдары болуы керек
- Қауіпсіздік ережелерін сақтау талабы қойылады
- Қорғаныс механизмдері тестіленіп отыруы керек
- Идентификация және аутентификация
- С2 - Қатынаумен таңдамалы басқару
Қатынауды тиімділеу бағытта, ұсыныстар, кеңестер беріледі. Жүйеге қадағалау енгізіле басталады.
Тиісті критерийлары:
- объектілердің қайта қолдануы
- жүйеде орындалған әр іс-әрекет нақты пайдаланушымен байланысты
- тіркелетін ақпарат қорғалуға тиісті
В1 - Мандатты басқару
Мандатты басқару - (англ. Mandatory access control, MAC) -- субъектілердің объектілерге қолжетімділігін берілген құқыққа немесе (мандатқа, рұқсатқа) сәйкес ұйымдастыру. Кейбір жерлерде оны Еріксіз басқару деп аударады.
Тиісті критерийлары:
- Қауіпсіздік саясат
- Архитектураны верификациялау
- Қауіпсіздік белгілері
- Пайдаланушыны жүйемен жұмыс жасауда құжаттандыру керек
- В2 - Құрылымдық қорғаныс
Ақпаратты жіберетін жасырын арналарға бақылау жүргізе отырып,барлық субъектілерге қолданылатын дискрециялық және мандатты қатынауды басқаруды ескеретін формалды анықталған және нақты құжатталған қауіпсіздік моделі
Тиісті критерийлары:
- Сенімді есептеу базасы, өзіне тиесілі жобалардың енуі мен тұрақтылығын қамтамасыз етуі
- Алғашқы идентификациялық,аудентификациялық операцияларды орындағанда есептеуіш базасына сенімді байланысу жолын қамтамасыз ету
- Жады мен алмасу құпия арналарын тіркеу
- Тестілер құпия ақпарат алмасу арналарының қатынау қабілеттілігінің шектеуін құптайды
- Есептеу базасы жақсы құрылымданған және тәуелсіз модульдерден тұрады
В3 - Қауіпсіздік домендері
Барлық қорғау механизмдері қауіпсіздік ядросында шоғырлануы керек.Аудит құралдарының жұмыс істеу жауапкершілігіне және жүйені қалпына келтіруге администратор жауапты.
Тиісті критерийлары:
- Анықталған қауіпсіздік саясатты ұстануы
- Аудит құралдарына хабарландырулар енуі тиіс
- Қауіпсіздік мониторын қолдау
- Қауіпсіздік ядросы ықшамды болып келеді
- Есептеуіш базаға сырттан келген шабуылға қарсылық көрсету
- Жүйенің жұмыс істеу қабілетін қалпына келтіру құралдарының бар болуы қажетті.
А - Верификацияланған (тексерілетін) қауіпсіздік
Тестілеу сенімді есептеу базасының формалдық спецификациясының жоғары деңгейін қадағалап, өндіруі қажет
Формальды спецификациялық жоғары деңгейлі болуы тиіс. Заманауи әдіс формалды спецификация мен верификациялық жүйені қолданады.
Конфигурациялық механизм басқару жүйесі бүкіл өмір циклін және барлық жүйе компаненттерін, оған тиесілі қауіпсіздік әрекеттерін қамтамасыз етеді.
Кепілдіктің екі түрі болады: операциялық және технологиялық. Біріншісі жүйенің сәулеті және жүзеге асырылу жағына, ал екіншісі - құрастыру және сүйемелдеу әдістеріне қатысты.
Есепберушілік (немесе хаттамалау тетігі) қауіпсіздікті қамтамасыз етудің маңызды құралы болып табылады. Сенімді жүйе қауіпсіздікке байланысты барлық оқиғаларды тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен (аудитпен - тіркелу ақпаратына талдау жасаумен) толықтырылады.
Сенімді есептеу базасы (СЕБ) - компьютерлік жүйенің қауіпсіздік саясаты жүзеге асыруға жауапты қорғаныш тектерінің жиынтығы. Компьтерлік жүйенің сенімділігіне баға беру үшін тек оның есептеу базасын қарастырып шықса жеткілікті болады. СЕБ негізгі міндеті - қатынасым мониторының міндетін орындау, яғни, объектілермен белгілі бір ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz