Kompyuter tizimlarini himoya qilish uchun dasturiy vositalar. Dasturiy ta'minot va texnik himoya vositalari. Tajribali xavfsizlik devorlari
Uskuna va dasturiy ta'minotni himoya qilish
Download 231.31 Kb.
|
Kompyuter tizimlarini himoya qilish uchun dasturiy vositalar. Da
Uskuna va dasturiy ta'minotni himoya qilish Hisoblash manbalariga kirishni boshqarishni ta'minlaydi (alohida qurilmalarga, RAMga, operatsion tizimga, xizmat yoki shaxsiy foydalanuvchi dasturlariga, klaviatura, displey, printer, disk haydovchi).
Ma'lumotlar darajasida ma'lumotlarni himoya qilish Ma'lumotlar to'g'risidagi nizomda ruxsat etilgan harakatlarni bajarishga ruxsat beradi, shuningdek, axborotni aloqa kanallari orqali uzatishda himoya qilinishini ta'minlaydi. Kirish nazorati quyidagilarni o'z ichiga oladi: - resurslarni selektiv himoya qilish (A foydalanuvchidan B ma'lumotlar bazasiga kirishni rad etish, lekin C ma'lumotlar bazasiga kirishga ruxsat); - kirishning barcha turlari va darajalariga ruxsat berish va rad etish (ma'muriyat); - kirish qoidalarini buzish va buzishga urinishlarni aniqlash va hujjatlashtirish; - resurslarni muhofaza qilish va ulardan ruxsat olish to'g'risidagi ma'lumotlarni hisobga olish va saqlash. Axborotni himoya qilishning dasturiy usullari parol bilan himoyalanishga asoslangan. Parolni himoyalash dasturiy ta'minotni tuzatish va ma'lumotlarni qayta tiklash uchun ishlatiladigan yordamchi dasturlar, shuningdek parollarni buzish dasturlari yordamida bartaraf etilishi mumkin. Tizimni tuzatuvchi yordamchi dasturlar himoyani chetlab o'tishga imkon beradi. Parolni buzish dasturlari parolni taxmin qilish uchun qo'pol kuch ishlatadi. Oddiy qo'pol kuch yordamida parolni taxmin qilish uchun zarur bo'lgan vaqt, parol uzunligi oshgani sayin, tezlik bilan ko'payadi. Maxfiylikni saqlash uchun siz parolni tanlash bo'yicha quyidagi tavsiyalarga amal qilishingiz kerak: - minimal parol uzunligi kamida 8-10 belgidan iborat bo'lishi kerak; - kengaytirilgan alifbo parol uchun ishlatilishi kerak, unga belgilar va imzolarni kiritish; - standart so'zlarni parol sifatida ishlatmaslik kerak, chunki Internetda odatiy parollarning lug'atlari mavjud bo'lib, uning yordamida siz o'rnatgan odatiy parolni aniqlash mumkin; - xavfsizlik tizimi ma'lum miqdordagi muvaffaqiyatsiz urinishlardan so'ng kirishni blokirovka qilishi kerak; - tizimga kirish vaqti ish kuni bilan cheklangan bo'lishi kerak. Axborot xavfsizligi uchun dasturiy ta'minot - bu KS dasturiga faqat himoya funktsiyalarini bajarish uchun kiritilgan maxsus dasturlar. Axborotni himoya qilishning asosiy dasturiy vositalari quyidagilardan iborat: * KS foydalanuvchilarini aniqlash va autentifikatsiya qilish dasturlari; * COP resurslariga foydalanuvchilarning kirishini farqlash dasturlari; * ma'lumotlarni shifrlash dasturlari; * axborot resurslarini himoya qilish dasturlari (tizim va dasturiy ta'minot, ma'lumotlar bazalari, kompyuter asboblari o'qitish va boshqalar) ruxsatsiz o'zgartirish, ishlatish va nusxalashdan. Shuni tushunish kerakki, KU axborot xavfsizligini ta'minlash bilan bog'liq identifikatsiya - bu KU sub'ektining yagona nomini aniq tan olish. Autentifikatsiya - taqdim etilgan ism berilgan mavzuga mos kelishini tasdiqlash (sub'ektning shaxsini tasdiqlash) 5. Shuningdek, axborot xavfsizligi dasturiga quyidagilar kiradi: * qoldiq ma'lumotlarni yo'q qilish dasturlari (RAM bloklarida, vaqtinchalik fayllar va hk); kompressor stantsiyasining xavfsizligi bilan bog'liq hodisalarni tekshirish (jurnallarni yuritish) dasturlari, bu hodisalarning qayta tiklanish imkoniyatini va sodir bo'lish faktini isbotlashni ta'minlash; * huquqbuzar bilan ishlashni simulyatsiya qilish dasturlari (uni maxfiy ma'lumotlarni olishga chalg'itadi); * COP xavfsizligini sinovdan o'tkazish dasturlari va boshqalar. Axborot xavfsizligi dasturlarining afzalliklari quyidagilardan iborat: * replikatsiya qulayligi; moslashuvchanlik (ma'lum bir CS axborot xavfsizligiga tahdidlarning xususiyatlarini hisobga olgan holda, har xil foydalanish shartlariga moslashtirish qobiliyati); * foydalanish qulayligi - ba'zi dasturiy vositalar, masalan, shifrlash, "shaffof" (foydalanuvchiga ko'rinmas) rejimda ishlaydi, boshqalari esa foydalanuvchidan hech qanday yangi (boshqa dasturlarga nisbatan) ko'nikmalarni talab qilmaydi; * axborot xavfsizligiga yangi tahdidlarni hisobga olgan holda o'zgartirishlar kiritish orqali ularni rivojlantirish uchun deyarli cheksiz imkoniyatlar. Guruch. 4 Guruch. 5 Axborot xavfsizligi dasturlarining kamchiliklari quyidagilarni o'z ichiga oladi. * himoya dasturlarining ishlashi uchun zarur bo'lgan resurslarning sarflanishi hisobiga COP samaradorligining pasayishi; * past ishlash (shunga o'xshash funktsiyalarni bajarishdan ko'ra, apparat himoyasi, masalan, shifrlash); * dasturiy ta'minotni himoya qilishning ko'plab vositalarini joylashtirish (va ularni CS dasturiy ta'minotida emas, balki 4 va 5 -rasm), bu buzg'unchiga ularni chetlab o'tishning asosiy imkoniyatini yaratadi; * CS ishlashi paytida dasturiy ta'minotni himoyalashda zararli o'zgarishlar ehtimoli. Operatsion tizim xavfsizligi Operatsion tizim har qanday kompyuterning eng muhim dasturiy komponenti hisoblanadi, shuning uchun axborot tizimining umumiy xavfsizligi ko'p jihatdan har bir operatsion tizimda xavfsizlik siyosatining bajarilish darajasiga bog'liq. Operatsiya xonasi oilasi Windows tizimlari 2000 yil, "Millenium" - bu klonlar bo'lib, ular dastlab uyda hisoblash uchun mo'ljallangan. Bu operatsion tizimlar himoyalangan rejim imtiyozlari darajasidan foydalanadi, lekin hech qanday qo'shimcha tekshiruv o'tkazmaydi va xavfsizlik tavsiflovchi tizimlarini qo'llab -quvvatlamaydi. Natijada, har qanday dastur o'qish va yozish huquqiga ega bo'lgan RAMning to'liq hajmiga kira oladi. Tarmoq xavfsizligi choralari mavjud, biroq ularning bajarilishi talab darajasida emas. Bundan tashqari, Windows XP versiyasida kompyuterni bir nechta paketlarda muzlatib qo'yishiga yo'l qo'ygan asosiy xatoga yo'l qo'yildi, bu esa OS obro'siga sezilarli darajada putur etkazdi; keyingi versiyalarda ushbu klonning tarmoq xavfsizligini yaxshilash uchun ko'p qadamlar qo'yildi6. . Windows Vista, 7 operatsion tizimlarining avlodi allaqachon MicroSoft -dan ancha ishonchli ishlab chiqilgan. Bu qattiq diskdagi turli foydalanuvchilarning fayllarini ishonchli himoya qiladigan ko'p foydalanuvchilarli tizimlar (lekin ma'lumotlar shifrlanmagan va fayllarni boshqa operatsion tizimning diskidan yuklash orqali muammosiz o'qish mumkin, masalan, MS- DOS). Bu operatsion tizimlar himoyalangan rejim imkoniyatlaridan faol foydalanadilar Intel protsessorlari va jarayonning ma'lumotlari va kodini boshqa dasturlardan ishonchli himoya qila oladi, agar u o'zi jarayondan tashqaridan ularga qo'shimcha kirishni ta'minlamoqchi bo'lmasa. Uzoq vaqt mobaynida ko'plab turli xil tarmoq hujumlari va xavfsizlik xatolar hisobga olindi. Ularga tuzatishlar xizmat paketlari ko'rinishida berildi. Klonlarning yana bir tarmog'i UNIX operatsion tizimidan o'sadi. Bu OS dastlab tarmoq va ko'p foydalanuvchilar sifatida ishlab chiqilgan va shuning uchun darhol axborot xavfsizligi vositalarini o'z ichiga olgan. Deyarli barcha keng tarqalgan UNIX klonlari uzoq rivojlanish yo'lini bosib o'tdi va ular o'zgartirilganda, shu vaqt ichida topilgan barcha hujum usullarini hisobga oldilar. Ular o'zlarini etarli darajada isbotladilar: LINUX (S.U.S.), OpenBSD, FreeBSD, Sun Solaris. Tabiiyki, aytilganlarning hammasi ushbu operatsion tizimlarning so'nggi versiyalariga tegishli. Bu tizimlardagi asosiy xatolar endi uzluksiz ishlaydigan yadro bilan emas, balki tizim va dasturiy yordam dasturlari bilan bog'liq. Ularda xatolarning mavjudligi ko'pincha tizimning butun xavfsizlik chegarasini yo'qotishiga olib keladi. Asosiy komponentlar: Mahalliy xavfsizlik ma'muri ruxsatsiz kirish uchun javobgardir, foydalanuvchining kirish ma'lumotlarini tekshiradi va quyidagilarni saqlaydi: Audit - foydalanuvchi harakatlarining to'g'riligini tekshirish Hisob menejeri - foydalanuvchilarning harakatlari va tizim bilan o'zaro aloqalarini qo'llab -quvvatlash. Xavfsizlik monitor - foydalanuvchining ob'ektga kirish huquqi etarli ekanligini tekshiradi Audit jurnali - foydalanuvchilarning kirishi, fayllar va papkalar bilan ishlash to'g'risidagi ma'lumotlarni o'z ichiga oladi. Autentifikatsiya paketi - tahlil tizim fayllari, ularning almashtirilmasligini ta'minlash. MSV10 - bu standart paket. Windows XP yangilandi: zaxira nusxalari uchun parollarni belgilashingiz mumkin fayllarni almashtirish himoyasi demarkatsiya tizimi ... parolni kiritish va foydalanuvchi hisobini yaratish orqali. Arxivlashni bunday huquqlarga ega foydalanuvchi bajarishi mumkin. NTFS: fayl va papkalarga kirishni boshqarish XP va 2000 yilda - foydalanuvchilarga kirish huquqlarining yanada to'liq va chuqur farqlanishi. EFS - ma'lumotlarga kirishni cheklash uchun ma'lumotlarni (fayllar va papkalarni) shifrlash va shifrini ochishni ta'minlaydi. Kriptografik himoya usullari Kriptografiya - bu ma'lumotlarni himoya qilish haqidagi fan. U xavfsizlikning to'rtta muhim muammosiga - maxfiylik, autentifikatsiya, yaxlitlik va o'zaro ta'sir ishtirokchilarini nazorat qilish echimlarini qidirmoqda. Shifrlash-bu ma'lumotlarni shifrlash-shifrlash kalitlari yordamida o'qib bo'lmaydigan shaklga o'tkazish. Shifrlash, maxfiylikni ta'minlashga imkon beradi, bu maqsadli bo'lmaganlardan ma'lumotlarni sir saqlash. Kriptografiya axborotni o'zgartirishning matematik usullarini izlash va o'rganish bilan shug'ullanadi (7). Zamonaviy kriptografiya to'rtta asosiy bo'limni o'z ichiga oladi: nosimmetrik kriptosistemalar; ochiq kalitli kriptosistemalar; elektron imzo tizimlari; kalitlarni boshqarish. Kriptografik usullardan foydalanishning asosiy yo'nalishlari-maxfiy ma'lumotlarni aloqa kanallari (masalan, elektron pochta) orqali uzatish, uzatilgan xabarlarning autentifikatsiyasi, axborotni (hujjatlarni, ma'lumotlar bazalarini) ommaviy axborot vositalarida shifrlangan holda saqlash. Diskni shifrlash Shifrlangan disk - bu boshqa fayllar yoki dasturlarni o'z ichiga oladigan konteyner fayli (ularni to'g'ridan -to'g'ri ushbu shifrlangan fayldan o'rnatish va ishga tushirish mumkin). Bu diskka faqat konteyner faylining parolini kiritgandan so'ng kirish mumkin - keyin kompyuterda tizim tomonidan mantiqiy deb tan olingan va boshqa disk bilan ishlashdan farq qilmaydigan boshqa disk paydo bo'ladi. Diskni ajratgandan so'ng mantiqiy haydovchi yo'qoladi, u shunchaki "ko'rinmas" bo'lib qoladi. Bugungi kunda shifrlangan disklarni yaratish uchun eng keng tarqalgan dasturlar - DriveCrypt, BestCrypt va PGPdisk. Ularning har biri masofaviy xakerlikdan ishonchli himoyalangan. Dasturlarning umumiy xususiyatlari: (8) - konteyner faylidagi ma'lumotlarning barcha o'zgarishlari birinchi navbatda RAMda sodir bo'ladi, ya'ni. qattiq disk har doim shifrlangan bo'lib qoladi. Kompyuter muzlab qolsa ham, maxfiy ma'lumotlar shifrlangan bo'lib qoladi; - dasturlar ma'lum vaqtdan keyin yashirin mantiqiy diskni blokirovka qilishi mumkin; - ularning barchasi vaqtinchalik fayllardan shubhalanadilar (fayllarni almashtirish). O'zgartirish fayliga kirishi mumkin bo'lgan barcha maxfiy ma'lumotlarni shifrlash mumkin. O'zgartirish faylida saqlanadigan ma'lumotni yashirishning juda samarali usuli - bu kompyuterni operativ xotira hajmini oshirishni unutmasdan, uni butunlay o'chirib qo'yish; - fizika qattiq disk Agar siz ba'zi ma'lumotlarni boshqalar bilan yozsangiz ham, oldingi yozuv to'liq o'chirilmaydi. Zamonaviy magnit mikroskopiya vositalari yordamida (Magnit kuch mikroskopi - MFM) ular baribir tiklanishi mumkin. Ushbu dasturlar yordamida siz qattiq diskdagi fayllarni hech qanday iz qoldirmasdan xavfsiz o'chirishingiz mumkin; - har uchala dastur ham maxfiy ma'lumotlarni qattiq diskda ishonchli shifrlangan shaklda saqlaydi va bu ma'lumotlarga istalgan dastur dasturidan shaffof kirishni ta'minlaydi; - ular shifrlangan konteyner fayllarini tasodifiy o'chirishdan himoya qiladi; - Troyanlar va viruslar bilan yaxshi ishlash. Foydalanuvchilarni aniqlash usullari Samolyotga kirishdan oldin, foydalanuvchi o'zini tanitishi kerak, keyin tarmoqni himoya qilish mexanizmlari foydalanuvchining haqiqiyligini tasdiqlashi, ya'ni foydalanuvchi haqiqatan ham o'zi da'vo qilayotganini tekshirishi kerak. Himoya mexanizmining mantiqiy modeliga muvofiq, samolyot ishlaydigan kompyuterda joylashgan bo'lib, unga foydalanuvchi terminali orqali yoki boshqa yo'l bilan ulangan. Shuning uchun, identifikatsiya, autentifikatsiya va avtorizatsiya protseduralari mahalliy ishchi kompyuterda sessiya boshlanishida amalga oshiriladi. Keyinchalik, har xil tarmoq protokollari o'rnatilganda va tarmoq resurslariga kirishdan oldin, identifikatsiya, autentifikatsiya va avtorizatsiya protseduralari ba'zi masofaviy ish stoli kompyuterlarida qayta ishga tushirilib, kerakli resurslar yoki tarmoq xizmatlariga mos kelishi mumkin. Agar foydalanuvchi terminal yordamida hisoblash tizimida ishlay boshlasa, tizim uning ismini va identifikatsiya raqamini so'raydi. Foydalanuvchining javoblariga ko'ra, kompyuter tizimi uning identifikatsiyasini amalga oshiradi. Tarmoqda o'zaro bog'liq bo'lgan sub'ektlarning bir -birini aniqlashi tabiiyroqdir. Parollar - bu autentifikatsiyaning yagona usuli. Boshqa usullar mavjud: 1. Foydalanuvchi ixtiyorida oldindan belgilangan ma'lumotlar: parol, shaxsiy identifikatsiya raqami, maxsus shifrlangan iboralarni ishlatishga kelishuv. 2. Foydalanuvchi ixtiyoridagi apparat elementlari: kalitlar, magnit kartalar, mikrosxemalar va boshqalar. 3. Foydalanuvchining tipik shaxsiy xususiyatlari: barmoq izlari, ko'zning to'r pardasi chizilgani, shakl o'lchami, ovozi va boshqa murakkabroq tibbiy va biokimyoviy xususiyatlari. 4. Foydalanuvchilarning real vaqtda xatti -harakatlarining tipik usullari va xususiyatlari: dinamikaning xususiyatlari, klaviaturadagi ish uslubi, o'qish tezligi, manipulyatorlardan foydalanish qobiliyati va boshqalar. 5. Odatlar: maxsus kompyuter ish qismlarini ishlatish. 6. Ta'lim, madaniyat, tayyorgarlik, ma'lumot, tarbiya, odatlar va boshqalar tufayli foydalanuvchi ko'nikmalari va bilimlari. Agar kimdir terminal orqali kompyuter tizimiga kirishni yoki ommaviy ishni bajarishni xohlasa, kompyuter tizimi foydalanuvchining haqiqiyligini tasdiqlashi kerak. Foydalanuvchining o'zi odatda hisoblash tizimini tasdiqlamaydi. Agar autentifikatsiya protsedurasi bir tomonlama bo'lsa, bunday protsedura bir tomonlama ob'ekt autentifikatsiyasi deb nomlanadi (9). Axborot xavfsizligi uchun maxsus dasturiy ta'minot. Ma'lumotni ruxsatsiz kirishdan himoya qilish uchun maxsus dasturiy vositalar mavjud eng yaxshi imkoniyatlar va tarmoq OS-ning o'rnatilgan vositalariga qaraganda xususiyatlari. Shifrlash dasturlaridan tashqari, boshqa ko'plab tashqi xavfsizlik vositalari mavjud. Eng tez -tez eslatib o'tilganlardan, axborot oqimini cheklashga imkon beradigan quyidagi ikkita tizimni qayd etish lozim. Xavfsizlik devorlari - xavfsizlik devorlari (tom ma'noda xavfsizlik devori - olov devori). Mahalliy va global tarmoqlar o'rtasida ular orqali o'tadigan barcha tarmoq / transport qatlamlari trafigini tekshiradigan va filtrlaydigan maxsus oraliq serverlar yaratiladi. Bu tashqaridan korporativ tarmoqlarga ruxsatsiz kirish xavfini keskin kamaytirishi mumkin, lekin bu xavfni umuman yo'q qilmaydi. Usulning yanada xavfsizroq versiyasi - bu mahalliy tarmoqdan keladigan barcha trafik xavfsizlik devori serveri nomidan yuborilganda, mahalliy tarmoq amalda ko'rinmas bo'ladi. Proksi -serverlar (proksi - ishonchnoma, ishonchli shaxs). Mahalliy va global tarmoqlar orasidagi barcha tarmoq / transport qatlamlari trafigi butunlay taqiqlangan - bunday yo'nalish yo'q va mahalliy tarmoqdan global tarmoqqa qo'ng'iroqlar maxsus vositachi serverlar orqali amalga oshiriladi. Shubhasiz, bu usul yordamida global tarmoqdan mahalliy tarmoqqa qo'ng'iroqlar printsipial jihatdan imkonsiz bo'lib qoladi. Ko'rinib turibdiki, bu usul yuqori darajadagi hujumlardan - masalan, dastur darajasida (viruslar, Java kodlari va JavaScript) etarli darajada himoyalanmaydi. Keling, xavfsizlik devori qanday ishlashini batafsil ko'rib chiqaylik. Bu apparat va dasturiy ta'minot yordamida tarmoqqa kirishni markazlashtirish va nazorat qilish orqali tarmoqni boshqa tizimlar va tarmoqlarning xavfsizlik tahdidlaridan himoya qilish usuli. Xavfsizlik devori - bu bir nechta komponentlardan tashkil topgan xavfsizlik to'sig'i (masalan, xavfsizlik devori dasturini boshqaruvchi yo'riqnoma yoki shlyuz). Xavfsizlik devori tashkilotning ichki tarmoqqa kirishni boshqarish siyosatiga muvofiq tuzilgan. Barcha kiruvchi va chiquvchi paketlar faqat ruxsat berilgan paketlar o'tishiga ruxsat beruvchi xavfsizlik devoridan o'tishi kerak. Paketni filtrlaydigan xavfsizlik devori - bu kiruvchi va chiquvchi paketlarning ayrim turlarini rad etish uchun tuzilgan dasturiy ta'minot bilan ishlaydigan yo'riqnoma yoki kompyuter. Paketlarni filtrlash paketlarning TCP va IP sarlavhalaridagi ma'lumotlar (yuboruvchi va qabul qiluvchining manzillari, ularning port raqamlari va boshqalar) asosida amalga oshiriladi. Ekspert darajasidagi xavfsizlik devori - OSI modelining uchta qatlamida - tarmoq, sessiya va dasturda qabul qilingan paketlar tarkibini tekshiradi. Bu vazifani bajarish uchun har bir paketni ma'lum bo'lgan avtorizatsiya qilingan paketlar namunasi bilan solishtirish uchun maxsus paketlarni filtrlash algoritmlari qo'llaniladi. Xavfsizlik devorini yaratish ekranlash muammosini hal qilishni anglatadi. Tekshiruv muammosining rasmiy sozlanishi quyidagicha. Axborot tizimlarining ikkita to'plami bo'lsin. Ekran - bu mijozlarning bir to'plamdan boshqasiga serverlarga kirishini farqlash vositasi. Ekran ikkita tizim to'plami orasidagi barcha axborot oqimlarini nazorat qilish orqali o'z vazifalarini bajaradi (6 -rasm). Oqimlarni boshqarish ularni filtrlashdan iborat bo'lishi mumkin, ehtimol ba'zi o'zgarishlarni amalga oshiradi. Keyingi tafsilot darajasida ekran (yarim o'tkazuvchan membrana) filtrlar ketma-ketligi sifatida qulay tarzda qaraladi. Filtrlarning har biri ma'lumotlarni tahlil qilib bo'lgach, ularni kechiktirishi (o'tkazib yubormasligi) mumkin va darhol ekrandan "tashlab yuborishi" mumkin. Bundan tashqari, tahlilni davom ettirish uchun ma'lumotlarni o'zgartirishga, ma'lumotlarning bir qismini keyingi filtrga o'tkazishga yoki qabul qiluvchining nomidan ma'lumotlarni qayta ishlashga va natijani jo'natuvchiga qaytarishga ruxsat beriladi (7 -rasm). Guruch. 7 Kirishni boshqarish funktsiyalaridan tashqari, ekranlar ma'lumot almashishni qayd qiladi. Odatda ekran nosimmetrik emas, buning uchun "ichkarida" va "tashqarisida" atamalari aniqlanadi. Bunday holda, ekranlash muammosi ichki hududni potentsial dushman tashqi tomondan himoya qilish sifatida shakllantirilgan. Shunday qilib, xavfsizlik devorlari (FW) ko'pincha Internetga kiradigan tashkilotning korporativ tarmog'ini himoya qilish uchun o'rnatiladi. Himoyalash tashqi xizmatlar yukini kamaytirish yoki yo'q qilish orqali orqa xizmatlarning mavjudligini saqlashga yordam beradi. Ichki xavfsizlik xizmatlarining zaifligi kamayadi, chunki tajovuzkor dastlab ekranni yengib o'tishi kerak, bu erda himoya mexanizmlari ayniqsa ehtiyotkorlik bilan tuzilgan. Bundan tashqari, ekranlash tizimi, universaldan farqli o'laroq, sodda va shuning uchun xavfsizroq tarzda joylashtirilishi mumkin. Himoyalash, shuningdek, tashqi hududga yo'naltirilgan axborot oqimlarini boshqarishga imkon beradi, bu esa tashkilotning IS -da maxfiylik rejimini saqlashga yordam beradi. Himoya qisman bo'lishi mumkin, ma'lum axborot xizmatlarini himoya qiladi (masalan, elektron pochta himoyasi). Chegaralangan interfeysni qochishning bir turi deb ham hisoblash mumkin. Ko'zga ko'rinmas ob'ektga hujum qilish qiyin, ayniqsa asboblar to'plami qattiq. Shu ma'noda, veb -interfeys tabiiy ravishda himoyalangan, ayniqsa gipermatnli hujjatlar dinamik tarzda tuzilganda. Har bir foydalanuvchi o'zi ko'rishi kerak bo'lgan narsani ko'radi. Dinamik ravishda yaratilgan gipermatnli hujjatlar va o'zaro bog'liq ma'lumotlar bazalaridagi tasvirlar o'rtasida o'xshashlik bo'lishi mumkin, bunda Internetda imkoniyatlar ancha kengroq bo'ladi. Ma'lumotlar bazasi jadvallari kabi boshqa manbalarga kirishda bu xizmat funktsiyalarni vositachiligida (aniqrog'i, integratsiyalashganida) ham veb -xizmatning ekranlashtiruvchi roli aniq bo'ladi. Bu nafaqat so'rovlar oqimini nazorat qiladi, balki ma'lumotlarning haqiqiy tashkil qilinishini ham yashiradi. Arxitektura xavfsizligi jihatlari Universal operatsion tizimlar yordamida tarmoq muhitiga xos bo'lgan tahdidlarga qarshi kurashish mumkin emas. Umumiy OS - bu katta dastur, ehtimol, aniq xatolardan tashqari, noqonuniy ravishda imtiyozlar olish uchun ishlatilishi mumkin bo'lgan ba'zi xususiyatlarni o'z ichiga oladi. Zamonaviy texnologiya dasturlash bunday katta dasturlarni xavfsiz qilishga imkon bermaydi. Bundan tashqari, murakkab tizim bilan shug'ullanadigan ma'mur har doim ham kiritilgan o'zgarishlarning barcha oqibatlarini hisobga olmaydi. Va nihoyat, ko'p foydalanuvchilardan iborat universal tizimda xavfsizlik teshiklari foydalanuvchilar tomonidan doimiy ravishda yaratiladi (zaif va / yoki kamdan-kam hollarda o'zgartirilgan parollar, noto'g'ri o'rnatilgan kirish huquqlari, qarovsiz terminal va boshqalar). Yagona istiqbolli usul, soddaligi tufayli rasmiy yoki norasmiy tekshirishga imkon beradigan maxsus xavfsizlik xizmatlarini ishlab chiqish bilan bog'liq. Xavfsizlik devori - bu turli xil tarmoq protokollariga xizmat ko'rsatish bilan bog'liq bo'lgan keyingi parchalanish imkonini beradigan vosita. Xavfsizlik devori himoyalangan (ichki) tarmoq va tashqi muhit (tashqi tarmoqlar yoki korporativ tarmoqning boshqa segmentlari) o'rtasida joylashgan. Birinchi holda, ular tashqi ME haqida, ikkinchisida - ichki haqida gapirishadi. Sizning nuqtai nazaringizga ko'ra, tashqi xavfsizlik devori birinchi yoki oxirgi (lekin yagona) himoya chizig'i deb hisoblanishi mumkin. Birinchisi, siz dunyoga tashqi hujumchi nigohi bilan qarasangiz. Ikkinchisi - agar biz korporativ tarmoqning barcha komponentlarini himoya qilishga intilsak va ichki foydalanuvchilarning noqonuniy xatti -harakatlarini oldini olsak. Xavfsizlik devori - bu faol auditni o'rnatish uchun ideal joy. Bir tomondan, ham birinchi, ham oxirgi mudofaa chizig'ida shubhali harakatlarni aniqlash o'ziga xos tarzda muhimdir. Boshqa tomondan, ME tashqi muhit bilan aloqani uzishgacha shubhali harakatlarga o'zboshimchalik bilan kuchli reaktsiyani amalga oshirishga qodir. Ammo shuni bilishingiz kerakki, ikkita xavfsizlik xizmatini ulash, asosan, mavjudlik hujumlari uchun qulay teshikni yaratishi mumkin. Xavfsizlik devoriga korporativ resurslarga kirishga muhtoj bo'lgan tashqi foydalanuvchilarning identifikatsiyasini / autentifikatsiyasini tayinlash maqsadga muvofiqdir (tarmoqqa yagona kirish kontseptsiyasini qo'llab-quvvatlagan holda). Himoyani ajratish tamoyillari tufayli, tashqi aloqalarni himoya qilish uchun odatda ikki qismli ekran ishlatiladi (8-rasmga qarang). Birlamchi filtrlash (masalan, "qora ro'yxat" ga kiruvchi hujumlar bilan xavfli bo'lgan SNMP boshqaruv protokoli paketlarini yoki ma'lum IP -manzillari bo'lgan paketlarni blokirovka qilish) chegara yo'riqchisi tomonidan amalga oshiriladi (keyingi bo'limga ham qarang). demilitarizatsiya zonasi deb ataladi (tashkilotning tashqi axborot xizmatlari chiqariladigan xavfsizligi o'rtacha darajadagi tarmoq-Internet, elektron pochta va boshqalar) va korporativ tarmoqning ichki qismini himoya qiluvchi asosiy ME. Nazariy jihatdan, xavfsizlik devori (ayniqsa, ichki) ko'p protokoli bo'lishi kerak, lekin amalda TCP / IP protokoli oilasining ustunligi shunchalik kuchliki, boshqa protokollarni qo'llab-quvvatlash xavfsizlik uchun o'ta xavfli bo'lib tuyuladi. xizmat qanchalik himoyasiz bo'lsa). Guruch. sakkiz Umuman olganda, tashqi va ichki xavfsizlik devorlari to'siqqa aylanishi mumkin, chunki tarmoq trafigi tez o'sib bormoqda. Ushbu muammoni hal qilish usullaridan biri MEni bir nechta apparat qismlariga bo'lish va maxsus vositachi serverlarni tashkil qilishni o'z ichiga oladi. Asosiy xavfsizlik devori kiruvchi trafikni turiga qarab tasniflashi va filtrlashni tegishli vositachilarga topshirishi mumkin (masalan, HTTP trafigini tahlil qiluvchi vositachi). Chiquvchi trafikni birinchi navbatda vositachi server qayta ishlaydi, u funktsional jihatdan foydali harakatlarni ham bajarishi mumkin, masalan, tashqi veb -serverlarning sahifalarini keshlash, bu umuman tarmoqdagi yukni va ayniqsa asosiy ME ni kamaytiradi. Korporativ tarmoq faqat bitta tashqi kanalni o'z ichiga olgan holatlar, qoida emas, balki istisno hisoblanadi. Aksincha, korporativ tarmoq har biri Internetga ulangan bir necha geografik tarqalgan segmentlardan iborat bo'lgan odatiy holatdir. Bunday holda, har bir ulanish o'z ekrani bilan himoyalangan bo'lishi kerak. Aniqroq aytganda, korporativ tashqi xavfsizlik devori birlashtirilgan va barcha komponentlarni izchil boshqarish (boshqarish va audit) muammosini hal qilish zarur deb hisoblashimiz mumkin. Kompozit korporativ ME (yoki ularning tarkibiy qismlari) ning qarama -qarshi tomoni - shaxsiy xavfsizlik devorlari va shaxsiy himoya vositalari. Birinchisi, shaxsiy kompyuterlarga o'rnatilgan va faqat ularni himoya qiladigan dasturiy mahsulotlar. Ikkinchisi alohida qurilmalarda amalga oshiriladi va uy ofis tarmog'i kabi kichik mahalliy tarmoqni himoya qiladi. Xavfsizlik devorlarini o'rnatayotganda, biz ilgari muhokama qilgan arxitektura xavfsizligi tamoyillariga amal qilish kerak, birinchi navbatda, soddaligi va boshqarilishi, mudofaani ajratish, shuningdek, xavfli holatga o'tishning iloji yo'qligi haqida. Bundan tashqari, nafaqat tashqi, balki ichki tahdidlarni ham hisobga olish kerak. Ma'lumotni arxivlash va ko'paytirish tizimlari Ma'lumotlarni ishonchli va samarali arxivlash tizimini tashkil etish tarmoqdagi ma'lumotlarning xavfsizligini ta'minlashda eng muhim vazifalardan biridir. Bir yoki ikkita server o'rnatilgan kichik tarmoqlarda, ko'pincha arxiv tizimini to'g'ridan -to'g'ri bepul server uyalariga o'rnatish uchun ishlatiladi. Katta korporativ tarmoqlarda maxsus ajratilgan arxiv serverini tashkil qilish afzalroqdir. Bunday server mahalliy kompyuter tarmog'i ma'muri tomonidan belgilangan vaqtda serverlar va ish stantsiyalarining qattiq disklaridan ma'lumotlarni avtomatik ravishda arxivlaydi va zaxira nusxasi to'g'risida hisobot beradi. Aniq qimmatli arxiv ma'lumotlarini saqlash maxsus qo'riqlanadigan xonada tashkil etilishi kerak. Mutaxassislar yong'in yoki tabiiy ofat yuz berganda, eng qimmatli ma'lumotlarning takroriy arxivlarini boshqa binoda saqlashni tavsiya qiladi. Magnit disklar, tizimlar ishlamay qolganda ma'lumotlarning tiklanishini ta'minlash disk massivlari- RAID (Arzon disklarning keraksiz massivlari) standartiga mos keladigan bitta qurilma sifatida ishlaydigan disk guruhlari. Bu massivlar eng ko'p beradi yuqori tezlik ma'lumotlarni yozish / o'qish, ma'lumotlarni to'liq tiklash va ishlamay qolgan disklarni issiq rejimda almashtirish (massivning qolgan disklarini o'chirmasdan). Disk massivlarini tashkil qilish bir necha darajalarda bajariladigan turli xil texnik echimlarni ta'minlaydi: RAID 0 darajasi sizga ma'lumot oqimini ikki yoki undan ortiq disklar o'rtasida osongina ajratish imkonini beradi. Bu yechimning afzalligi shundaki, kirish -chiqish tezligi massivdagi disklar soniga mutanosib ravishda oshadi. RAID 1-darajali "ko'zgu" deb nomlangan disklarni tashkil qilishdan iborat. Ma'lumotni yozish paytida, tizimning asosiy diskidagi ma'lumotlar oynali diskda takrorlanadi va agar asosiy disk ishlamay qolsa, "ko'zgu" disk darhol yoqiladi. RAID 2 va 3 darajalari parallel disklar massivlarini yaratishni nazarda tutadi, ular yozilganda disklar bo'ylab ma'lumotlar bir darajali tarqaladi. RAID 4 va 5 darajalari nol darajadagi modifikatsiyadir, bunda ma'lumotlar oqimi massiv disklari bo'ylab taqsimlanadi. Farqi shundaki, 4 -darajali ortiqcha ma'lumotlarni saqlash uchun maxsus disk ajratilgan, 5 -darajali esa ortiqcha ma'lumotlar massivdagi barcha disklarga taqsimlangan. Ortiqcha ma'lumotlardan foydalanishga asoslangan tarmoqdagi ishonchlilik va ma'lumotlarni himoya qilishni yaxshilash nafaqat tarmoq massivlari, masalan, disk massivlari darajasida, balki tarmoq operatsion tizimi darajasida ham amalga oshiriladi. Masalan, Novell Netware operatsion tizimining xatolarga chidamli versiyalarini - SFT (Tizim xatolariga bardoshlik) ni amalga oshiradi: - SFT darajasi I. Birinchi daraja FAT va katalog yozuvlari jadvallarining qo'shimcha nusxalarini yaratishni, har bir yangi yozilgan ma'lumotlar blokini fayl serveriga zudlik bilan tekshirishni, shuningdek har bir qattiq diskda diskning taxminan 2% ni zaxiralashni nazarda tutadi. makon. - II darajali SFT qo'shimcha ravishda "oynali" drayverlarni yaratish qobiliyatini, shuningdek, disk kontrollerlari, quvvat manbalari va interfeys kabellarining takrorlanishini o'z ichiga oladi. - SFT III darajali versiyasi mahalliy tarmoqda takrorlanadigan serverlardan foydalanishga imkon beradi, ulardan biri "master", ikkinchisi esa barcha ma'lumotlarning nusxasini o'z ichiga oladi, server "magistr" ishlamay qolganda ishga tushadi. . Xavfsizlik tahlili Xavfsizlikni tahlil qilish xizmati zaifliklarni tezda bartaraf etish maqsadida ularni aniqlashga mo'ljallangan. O'z -o'zidan, bu xizmat hech narsadan himoya qilmaydi, lekin tajovuzkor ularni ishlatishdan oldin xavfsizlik kamchiliklarini aniqlashga (va yo'q qilishga) yordam beradi. Birinchidan, men me'moriy emas (ularni yo'q qilish qiyin), balki ma'muriy xatolar natijasida yoki dasturiy ta'minot versiyalarini yangilashga e'tibor bermaslik natijasida paydo bo'lgan "operatsion" bo'shliqlarni nazarda tutyapman. Xavfsizlikni tahlil qilish tizimlari (shuningdek, xavfsizlik skanerlari deb ham ataladi), yuqorida muhokama qilingan faol audit vositalari kabi, bilimlarni to'plashga va ulardan foydalanishga asoslangan. Bu xavfsizlik kamchiliklari haqida bilishni anglatadi: ularni qanday izlash kerak, ular qanchalik jiddiy va ularni qanday hal qilish kerak. Shunga ko'ra, bunday tizimlarning yadrosi mavjud imkoniyatlar diapazonini aniqlaydigan va deyarli doimiy yangilanishni talab qiladigan zaifliklar bazasidir. Asosan, har xil tabiatdagi bo'shliqlarni aniqlash mumkin: zararli dasturlarning mavjudligi (xususan, viruslar), zaif foydalanuvchi parollari, yomon konfiguratsiya qilingan operatsion tizimlar, xavfli tarmoq xizmatlari, o'chirilmagan tuzatishlar, dasturlarning zaif joylari va boshqalar. Biroq, eng samarali tarmoq skanerlari (TCP / IP protokoli oilasining ustunligi tufayli), shuningdek, virusga qarshi vositalar (10). Biz antivirus himoyasini alohida xavfsizlik xizmati sifatida hisobga olmaganda, xavfsizlikni tahlil qilish vositasi sifatida tasniflaymiz. Skanerlar zaifliklarni passiv tahlil orqali, ya'ni konfiguratsiya fayllari, ishlatilgan portlar va boshqalarni tekshirish orqali, ham tajovuzkorning harakatlariga taqlid qilish orqali aniqlay oladi. Topilgan ba'zi zaifliklar avtomatik tarzda o'chirilishi mumkin (masalan, zararlangan fayllarni dezinfeksiya qilish), boshqalari ma'murga xabar qilinadi. Xavfsizlikni tahlil qilish tizimlari tomonidan taqdim etiladigan nazorat reaktiv, tabiatan kechikkan, u yangi hujumlardan himoya qilmaydi, lekin shuni esda tutish kerakki, mudofaani echelon qilish kerak, va xavfsizlik nazorati chiziqlardan biri sifatida etarli darajada. Ma'lumki, hujumlarning aksariyati odatiy xarakterga ega; ular mumkin, chunki ma'lum bo'lgan xavfsizlik teshiklari yillar davomida hal qilinmagan. Download 231.31 Kb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling