Microsoft Word ax kitob янги doc


Download 5.8 Mb.
bet100/147
Sana11.09.2023
Hajmi5.8 Mb.
#1675958
1   ...   96   97   98   99   100   101   102   103   ...   147
Bog'liq
Ахборот хавфсизлиги (word)

K 0
KСА1

1

к -


*

в

O О
£\ .




1

к Са

<

K 0
СА2




1

K











  1. расм. САнинг икки сатҳли иерархияси


Илдиз сертификация марказининг вазифаси тобе СА1 ва СА2ларни қайдлашдан иборат. Ҳар бир СА хавфсизликнинг ягона даражасини




Q

к °
K СА
si




1

к С*

С

? KO
кСА

/
/
/
/
/
/
/


с

!) к O




с

к 1




к °
СА2
si




1

K С*2

sTo>




к O




si

С

О б
м
гг' ,

ч
ч
ч
ч
ч
ч


с

к O




с

к 2


  1. расм. Масофадаги абонент сертификатини текшириш схемаси.


  1. фойдаланувчи шеригининг сертификатини олиб, уни нотаниш СА имзолаганини аниқлайди;

  2. у шеригидан ушбу САнинг сертификатини сурайди;

  3. САнинг сертификатини олиб, уни марказий СА сертификати билан


текширади;




<3
N

f К0
СА1

/
/
/
/
/
/
t

N

к 0




1

5 к 1

в

К 0
К СА1




1

к с*

в

к 0
СА2




1

к С*

<3
N

к 0
СА2

\
\
\
\
\
\


N

к 0




1

к 2


  1. расм. Кросс-сертификатлаш схемаси.


Таъкидлаш лозимки, кросс-сертификациялаш модели сертификатлар- ни бошқариш тизимининг тармоқли архитектурасининг хусусий ҳоли ҳисобланади.
Сертификатларни бошқариш тизимининг иерархик ва тармоқ архи- тектураларининг умумлаштирилган схемалари 9.6-расмда келтирилган.






Сертификатларни бошқариш тизимининг иерархик тузилмаси қуйидаги афзалликларга эга:

  • у мавжуд федерал ва идора ташкилий-бошқарув тузилмаларга ўхшаш ва уларнинг принциплари бўйича қурилиши мумкин;

  • у исмларнинг иерархик дарахтига осонгина боғланиши мумкин;

  • у ўзаро алоқадаги барча томонлар учун сертификатлар занжирини қидириш, курит ва верификациялашнинг оддий алгоритмини аниқлайди;

Иерархик тузилма Тармоқли тузилма








О

Сертификациялашнинг ► Сертификат чиқиши
ишончли маркази


О

Сертификациялашнинг Кросс-сертификациялаш
тасдиқловчи маркази
Фойдаланувчи

  1. расм. Сертификатларни бошқариш тизимининг иерархик ва тармоқли

архитектуралари
- иккита фойдаланувчининг ўзаро алоқани таъминлаши учун улардан
бирининг иккинчисига ўзининг сертификатлар занжирини тақдим этиши
кифоя, бу ўзаро алоқа билан боғлиқ муаммоларни камайтиради.
Иерархик архитектурага қуйидаги камчиликлар характерли:
- барча охирги фойдаланувчиларнинг ўзаро алоқани таъминлаш учун
фақат битта илдизли ишончли CA бўлиши шарт;


  • тижорат тузилмаларининг ўзаро алоқаси иерархикдан кўра кўпроқ тўғри характерга эга.

Сертификататларни бошқариш тизимининг тармоц архитектураси қуйидаги афзалликларга эга:

  • у анчагина мослашувчан ва замонавий бизнесда мавжуд бўлган бе- восита ишончли ўзаро муносабатларнинг ўрнатилишига имкон беради;

  • охирги фойдаланувчи ҳеч бўлмаганда унинг сертификатини босиб чиқарган марказга ишониши шарт ва тизимдаги ишонч муносабатлари мана шунга асосланган;

  • фойдаланувчилари ўзаро тез-тез алоқа қилувчи турли тасдиқдовчи САларни бевосита кросс-сертификациялаш мумкин, бу занжирларни вери- фикациялаш жараёнини қисқартиради;

  • тасдиқдовчи СА калити обрўсизлантирилганидан сўнг тиклаш жа- раёни иерархик тузилмага қараганда тармоқ тузилмасида оддийроқ.

Аммо сертификатларни бошқаришнинг тармоқ архитектураси қуйидаги камчиликларга эга:

  • барча ўзаро алоқа томонлар учун сертификатлар занжирини қидириш ва курит алгоритми жуда мураккаб бўлиши мумкин;

  • фойдаланувчи унинг сертификатини бошқа барча фойдаланувчилар томонидан текширилишини таъминловчи занжирни тақдим этаолмайди.

Эҳтимол, яқин орада сертификациялаш иерархиясининг энг юқори сатҳида турли ташкилотларнинг ишонч занжирлари алоқасини таъминловчи давлат нотариуси бўлиши лозим.

  1. Очиқ калитларни бошқариш инфратузилмасининг мантиқий тузил-

маси ва компонентлари
Очиқ калитларни бошқариш инфратузилмаси РК1нинг асосий вази- фалари қуйидагилар:

  • рақамли калитлар ва сертификатларнинг ҳаёт циклини мададлаш (яъни калитларни генерациялаш, сертификатларни яратиш ва имзолаш, уларни тақсимлаш ва ҳ.);




  • обрўсизлантириш фактларини қайдлаш ва чақириб олинган серти- фикатларнинг "қора" руйхатини чоп этиш;

  • фойдаланувчининг тизимдан фойдаланиш вақтини имкони борича камайтирувчи идентификациялаш ва аутентификациялаш жараёнларини ма- дадлаш:

  • мавжуд иловалар ва хавфсизлик қисм тизимининг барча компонент- ларини интеграциялаш механизмини (РК1га асосланган) амалга ошириш;

  • барча фойдаланувчилар ва иловалар учун бир хил ва таркибида бар­ча зарурий калит компонентлари ва сертификатлар бўлган хавфсизликнинг ягона токенидан фойдаланиш имкониятини тақдим этиш.

Хавфсизлик токени - фойдаланувчининг тизимдаги барча хуқуқлари ва қуршовини аниқловчи хавфсизликнинг шахсий воситаси, масалан смарт- карта.
9.7-расмда очиқ калитларни бошқариш инфратузилмасининг мантиқий тузилмаси ва асосий компонентлари келтирилган.


Сертификатлар бўйича


ахборот





9.7-расм. РК1нинг мантиций тузилмаси ва асосий компоненталари


Расмда қуйидаги белгилашлар қабул қилинган:

  • СА сертификациялаш маркази;

  • RA - қайдлаш маркази;

  • OCSP - жорий сертификат мақомининг протоколи (Online Certifi­cate Status Protocol);




  • DIR - X.511, X.519, DAP, LDAP фойдаланиш протоколлари бўйича диркетория хизмати.

Қайдлаш маркази RA - PKI элемента, қайдлашни амалга оширувчи вакил, яъни фойдаланувчига сертификатни ҳимояланган ҳолда бериш им- кониятини таъминлаш мақсадида фойдаланувчиларни аутентификациялашни ва уларни қайдлашни амалга оширади. Қайдлаш марказининг хусусияти шундай иборатки, у функционал нуқтаи назаридан сертификация марказига қараганда фойдаланувчига яқинроқ. Ундан ташқари айнан қайдлаш маркази РК1нинг ўзаро алоқага лаёқатлигини таъминловчи самарали интерфейс ҳисобланади.
Сертификация маркази CA - РК1нинг элементи (сертификатларнинг ишончли манбаи, нотариус), унга сертификатларни яратиш ва/ёки тасдиқлаш ишониб топширилган. Сертификация марказининг итттлаттт схе- маси қуйидагича:

  • СА шахсий калитларини генерациялайди ва фойдаланувчилар сер- тификатларини текширишга аталган СА сертификатларини шакллантиради;

  • фойдаланувчилар сертифкациялашга сўровларни шакллантирадилар ва уларни у ёки бу усул бўйича САга етказади;

  • СА фойдаланувчилар сўровлари асосида уларнинг сертификатлари­ни шакллантиради;

  • СА бекор қилинган сертификатлар руйхатларини (CRL) шакллан­тиради ва вақти-вақти билан янгилайди;

  • фойдаланувчи сертификатлари, СА сертификатлари ва бекор қилинганлар руйхати CRL сертификатлар маркази томонидан чоп этилади (фойдаланувчиларга тарқатилади ёки умумфойдаланувчи маълумотномага жойлаштирилади).

PKI бажарадиган функцияларни шартли равишда бир неча гурухларга ажратиш мумкин:

  • сертификаталарни бошқариш функциялари;

  • калитларни бошқариш функциялари;

  • қўшимча функциялар (хизматлар).

Сертификаталарни бошқариш функцияларига қуйидагилар киради:


  • цайдлаш. Нафақат функцияларнинг бир қисми, балки РК1нинг хав- фсизлиги ҳам тўғри қайдлашга ва идентифкациялашга асосланган. Фойда- ланувчилар сифатида физик фойдаланувчилар, татбиқий дастур, тармоқ қурилмаси ва ҳ. иштирок этиши мумкин. Идентификациялашда ишлатила- диган усулларни сертифкациялаш сиёсати белгилайди. Шундай қилиб, фой- даланувчиларни идентификациялаш ва қайдлаш PKI тизимининг минимал тўлиқ компонентлари ҳисобланади;

  • очиц калитларни сертификациллаш. Сертификациялаш жараёнига сертифкациялаш маркази СА жавоб беради. Моҳиятан, сертификациялаш жараёни фойдаланувчи исмини очиқ калит билан боғлашдан иборат.

СА қуйидаги ҳаракатларни бажарган ҳолда фойдаланувчи ва пастроқ сатҳдаги СА сертификатларини имзолайди:

  • фойдаланувчиларнинг ҳақиқийлигини текшириш;

  • сертифкатга идентификатор бериш;

  • маълумотларни сертифкатга киритиш;

  • ҳаракат вақтини (бошланиш-ниҳояси) ўрнатиш;

  • сертификатни имзолаш;

  • сертифкатни сертификатларнинг очиқ серверида чоп этиш.

САнинг махфий калитини сацлаш. Бу тизимнинг энг нозик
нуқтаси. СА махфий калитини обрўсизлантирилиши унинг ихтиёридаги бу- тун тизимни бузади. САнинг махфий калиги жойлашган компьютер ишонч- ли қўриқланиши лозим;

  • сертификатлар базасини сацлаш ва сертифкатларни тацсимлаш. Тизим ишлашининг қулайлигини таъминлаш мақсадида фойдаланувчилар­нинг ва оралиқ САларнинг (энг юқори сатҳ САсидан бўлак) барча сертиф- катлари сертификатлар сервери деб аталувчи умумфойдаланувчи серверга олиб қўйилади. Бу ҳолда фойдаланувчилар абонентнинг сертификатини, ҳатто у тармоқда вақтинча бўлмаган ҳолда ҳам, олишлари мумкин;

  • сертификатни янгилаш. Ушбу жараён сертификат таъсири мудда- ти ўтган ҳолда фаоллашади ва фойдаланувчи очиқ калити учун янги серти­фикатни беришдан иборат бўлади. Агар калитлар жуфти обрўсизлантирилган бўлса ёки янги сертификат сиёсат, кенгайиш ёки хусу-




снят атамаларида олдингисидан фарқланса бу усул ишлатилмайди. Яроқчилик муддати даврида сертификатнинг исми ва мансублиги (фойдала- нувчининг бошқа бўлимга ўтиши) каби жиддий бўлмаган хусусиятларининг ўзгариши ҳам сертификатни олдинги очиқ калит билан янгилашни (регене- рациялашни) талаб этишга олиб келиши мумкин.

  • калитларни янгилаш. Фойдаланувчилар ёки учинчи томон калит- ларнинг янги жуфтини генерациялаганларида янги очиқ калитга мос келув- чи сертификатни яратиш зарур. Бу усулдан сертификатни янгилаш мумкин бўлган ҳолларида ҳам фойдаланилади;

  • сертификатни цайтариб олиш мацомини аницлаш. Ушбу жара- ён фойдаланувчига сертификатининг қайтариб олинган эмаслигини текши- ришга имкон беради. Бу жараён сертификатнинг очиқ калитлар каталоги РКБда (Public Key Directory) ва сертификатларни қайтариб олиш руйхати СЯЬда (Certificate Revocation List) борлигини текшириш орқали ёки бу ма- салани ечишга ваколати бўлган учинчи томонга сўров ёрдамида ташкил этилиши мумкин.

  • сертификатни цайтариб олиш. Бу жараён турли ҳолатлар нати- жасида хавфсизликнинг муайян сиёсатига боғлиқ ҳолда (масалан, калитлар- нинг обрўсизлантирнлиши, исмларнинг ўзгариши, фойдаланишнинг тўхташи ва ҳ.) бўлиши мумкин.

  • калитларни бошцариш функцияси - калитларни генерациялаш ва тақсимлаш асосий қисм гуруҳларига бўлинади.

Калитларни тацсимлаш функциллари ўз навбатида очиқ калитларни тақсимлаш ва токенларни персоналлаштиришга бўлинади.
Токенларни персоналлаштиришда физик қурилмалар - токенлардан фойдаланиб махфий калитларни ва қўшимча маьлумотларни сақлаш таш- кил этилади; токенларнинг персонализацияси CA, RA ва фойдаланувчи то- монидан мададланиши лозим. Масалан, смарт-картанинг персонализацияси ўрнатиш (файл тизимини яратиш) муолажасини, тасодифий PIN-кодни ёки паролни танлаш, бу смарт-картага тегишли барча маьлумотларни етказиш ва сақлашни ўз ичига олиши мумкин.




Қўшимча функциялар (хизматлар) гуруҳи таркибига қуйидагилар ки-
ради:

  • ўзаро сертификациялаш (турли САларда кросс-сертификациялаш);

  • очиқ калитни унинг унга қуйиладиган арифметик талабларга мос келишини, яъни очиқ калит ҳақиқий эканлигини текшириш;

  • сертификатни текшириш; агар фойдаланувчи бошқа фойдаланувчи- нинг рақамли имзосига ишонишни ҳоҳласа ва мос сертификатни текшира- олмаса, текширишни ишончли учинчи томондан илтимос қилиши мумкин;

  • архивлаш хизматлари ва ҳ.

Очиқ калитлар инфратузилмаси PKI қуйидаги қатор иловалар ва стандартларни мададлайди:

  • очиқ калит сертификатларини мададловчи воситалар ўрнатилган Li­nux, FreeBSD, HP-UX, Microsoft Windows, Novell Netware, Sun Solaris опе- рацион тизимлари;

  • очиқ калит сертификатлари асосида фойдаланувчиларни аутентифи- кациялаш механизмини мададловчи маълумотлар базасини бошқариш ти­зимлари, хусусан Oracle, DB2, Informix, Sybase;

  • IP протоколи асосида амалга оширилувчи виртуал ҳимояланган тармоқларни (VPN) ташкил этиш воситалари, хусусан Cisco Systems, Nortel Network компанияларининг телекоммуникация асбоб-ускуналари, ҳамда их- тисослаштирилган дастурий таъминот.

  • электрон хужжат айланиши тизимлари, масалан Lotus Notes, Micro­soft Exchange, ҳамда ҳимояланган почта алмашиш стандарта S/MIMEни мададловчи почта тизимлари;

  • Microsoft Active Directory, Novell NDS, Netscape iPlanet катал огла- рининг хизмати;

  • SSL стандарти асосида амалга оширилувчи Web-ресурслардан фой- даланиш тизимлари.

  • фойдаланувчиларни аутентификациялаш тизимлари, хусусан RSA компаниясининг SecurlD ва ҳ.

Уз навбатида, очиқ калитлар инфратузилмаси санаб ўтилган функ­ционал соҳаларни интеграциялаши мумкин. Натижада, очиқ калитлар ин-




фратузилмаларини компания ахборот тизимига интеграциялаш ва умумий стандартлар ва очиқ калит сертификатларидан фойдаланиш йўли билан ах­борот хавфсизлигининг комплекс тизимини яратиш мумкин.
Юқорида келтирилганлар очиқ калитлар инфратузилмасини яратиш ва мададлаш хизматлари аҳамиятини ошишига олиб келади.




  1. боб. АХБОРОТ-КОММУНИКАЦИОН ТИЗИМЛАРДА СУҚИЛИБ

КИРИШЛАРНИ АНИҚЛАШ


  1. Хавфсизликни адаптив бошқариш концепцияси

Ташкилотларда ҳимоялаш билан боғлиқ бўлган муаммоларни ечиш учун аксарият ҳолларда қисман ёндашишлардан фойдаланишади. Бу ёнда- шишлар, одатда, аввало фойдалана олувчи ресурсларнинг жорий даражаси орқали аниқланади. Ундан ташқари, хавфсизлик маъмурлари кўпинча ўзларига тушунарли бўлган хавфсизлик хавф-хатарларига реакция кўрсатишади. Аслида хавф-хатарлар жуда кўп бўлиши мумкин. Корпоратив ахборот тизимини фақат қатъий жорий назорати ва хавфсизликнинг уму- мий сиёсатини таъминловчи комплекс ёндашиш хавфсизлик хавф- хатарларини анчагина камайтириши мумкин.
Охирги вақтда турли компаниялар томонидан қатор ёндашишлар иш- лаб чиқилдики, бу ёндашишлар нафақат мавжуд заифликларни аниқлашга, балки ўзгарган эски ёки пайдо бўлган янги заифликларни аниқлашга ва уларга мос ҳимоялаш воситаларини қарши қўйишга имкон беради. Хусусан, ISS(Internet Security Systems) компанияси томонидан хавфсизликни адаптив бошцариш модели ANS (Adaptive Network Security) ишлаб чиқилди.
Хавфсизликка адаптив ёндашиш, тўғри лойиҳаланган ва яхши бошқарилувчи жараён ва воситалар ёрдамида хавфсизлик хавф-хатарларини реал вақт режимида назоратлаш, аниқлаш ва уларга реакция кўрсатишга имкон беради.
Тармоқнинг адаптив хавфсизлиги қуйидаги асосий учта элемент орқали таъминланади:

  • хавф-хатарларни баҳолаш;

  • ҳимояланишни таҳлиллаш;

  • хужумларни аниқлаш.

Хавф-хатарларни баҳолаш. Хавф-хатарларни (келтирадиган зарарнинг жиддийлик даражаси бўйича), тармоқ қисм тизимларини (жиддийлик дара­жаси бўйича), таҳдидларни (уларнинг амалга оширилиши эҳтимоллиги




бўйича) аниқлаш ва рутбалашдан иборат. Тармоқ конфигурацияси муттасил ўзгариши сабабли, хавф-хатарларни баҳолаш жараёни ҳам узлуксиз ўтказилиши лозим. Корпоратив ахборот тизимининг ҳимоялаш тизимини қуриш хавф-хатарларни баҳолашдан бошланиши лозим.
Ҳимояланишни тахлиллаш - тармоқнинг заиф жойларини қидириш. Тармоқ уланишлардан, узеллардан, хостлардан, ишчи станциялардан, ило- валардан ва маълумот базаларидан таркиб топган. Буларнинг барчаси ҳимояланишлар самарадорлигининг ҳамда ноъмалум заифликларининг аниқланишига муҳтож. Ҳимояланишни таҳлиллаш технологияси тармоқни тадқиқлаш, нозик жойларини топиш, бу маълумотларни умумлаштириш ва улар бўйича ҳисобот бериш имкониятига эга. Агар бу технологияни амалга оширувчи тизим адаптив компонентга ҳам эга бўлса, аниқланган заифлик- ларни автоматик тарзда бартараф этиш мумкин. Ҳимояланишни тахлиллаш технологияси тармоқ хавфсизлиги сиёсатини, уни ташкилот ташқарисидан ёки ичкарисидан бузишга уринишлардан олдин, амалга оширишга имкон берувчи таъсирчан усул ҳисобланади.
Ҳимояланишни тахлиллаш технологияси томонидан идентификация- ланувчи муаммоларнинг баъзилари қуйидагилар:

  • тизимлардаги "тешиклар" (back door) ва троян оти хилидаги дастур;

  • кучсиз пароллар;

  • ҳимояланмаган тизимдан суқилиб киришга ва "хизмат қилишдан воз кечиш" хилидаги хужумларга таъсирчанлик;

  • операцион тизимлардаги зарурий янгиланишларнинг йўқлиги;

  • тармоқлараро экранларнинг, Web-серверларнинг ва маълумотлар ба- засининг нотўғри созланиши ва ҳ.

Хужумларни аницлаш - корпоратив тармоқдаги шубҳали харакатлар- ни баҳолаш жараёни. Хужумларни аниқлаш операцион тизим ва иловалар- ни қайдлаш журналларини ёки реал вақтдаги трафикни тахлиллаш орқали амалга оширилади. Тармоқ узеллари ёки сегментларида жойлаштирилган хужумларни аниқлаш компонентлари турли ходисаларни, хусусан, маълум заифликлардан фойдаланувчи ҳаракатларни ҳам баҳолайди (10.1-расм).








Download 5.8 Mb.

Do'stlaringiz bilan baham:
1   ...   96   97   98   99   100   101   102   103   ...   147



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling