Microsoft Word ax kitob янги doc
Download 5.8 Mb.
|
Ахборот хавфсизлиги (word)
Узатилувчи ва цабул цилинувчи маълумотларнинг щцицийлигини текшириш нафақат электрон хабарларни, балки сохталаштирилиши мумкин бўлган миграцияланувчи дастурларни (Java, Active X Controls) аутентифка- циялаш учун долзарб ҳисобланади. Хабар ва дастурларнинг ҳақиқийлигини текшириш уларнинг рақамли имзосини текширишдан иборатдир.
Ички тармоц ресурсларидан фойдаланишни чегаралаш усуллари опе- рацион тизим сатҳида мададланувчи чегаралаш усулларидан фарқ қилмайди. Ташци тармоц ресурсларидан фойдаланишни чегарлашда кўпинча қуйидаги ёндашишлардан бири ишлатилади: фақат ташқи тармоқдаги берилган адрес бўйича фойдаланишга рух- сат бериш; янгиланувчи ножоиз адреслар руйхати бўйича суровларни фильт- рлаш ва ўринсиз калит сўзлари бўйича ахборот ресурсларини қидиришни блокировка қилиш: маьмур томонидан ташқи тармоқнинг қонуний ресурсларини бранд- мауэрнинг дискли хотирасида тўплаш ва янгилаш ва ташқи тармоқдан фой- даланишни тўла тақиқлаш. Ташқи тармоқдан сўралувчи маълумотларни кэшлаш махсус восита- чилар ёрдамида мададланади. Ички тармоқ фойдаланувчилари ташқи тармоқ ресурсларидан фойцаланганларица барча ахборот, proxy-сервер деб аталувчи брандмауэр қаттиқ диски маконида тўпланади. Шу сабабли, агар навбатдаги сўровда керакли ахборот proxy-серверда бўлса, воситачи уни ташқи тармоққа мурожаатсиз тақдим этади. Бу фойдаланишни жиддий тез- лаштиради. Маьмурга фақат proxy-сервер таркибини вақти-вақти билан ян- гилаб туриш вазифаси қолади. Кэшлаш функцияси ташқи тармоқ ресурсларидан фойдаланишни че- гаралашда муваффақиятли ишлатилиши мумкин. Бу ҳолда ташқи тармоқнинг барча қонуний ресурслари маьмур томонидан proxy-серверда тўпланади ва янгиланади. Ички тармоқ фойдаланувчиларига фақат proxy- сервернинг ахборот ресурсларидан фойдаланишга рухсат берилади, ташқи тармоқ ресурсларидан бевосита фойдаланиш эса манн қилинади. Хабарлар оцимини фильтрлаш ва ўзгартириш воситачи томонидан қоидаларнинг берилган тўплами ёрдамида бажарилади. Бунда воситачи- дастурларнинг икки хили фарқланади: сервис турини аниқлаш учун хабарлар оқимини тахлиллашга мўлжалланган экранловчи агентлар, масалан, FTP, HTTP, Telnet; барча хабарлар оқимини ишловчи универсал экранловчи агентлар, масалан, компьютер вирусларини қидириб зарарсизлантиришга ёки маьлу- мотларни шаффоф шифрлашга мўлжалланган агентлар. Дастурий воситачи унга келувчи маьлумотлар пакетини тахлиллайди ва агар қандайдир обьект берилган мезонларга мос келмаса, воситачи унинг кейинги силжишини блокировка қилади ёки мос ўзгаришини, масалан, ош- кор қилинган компьютер вирусларни зарарсизлантиришни бажаради. Па- кетлар таркибини тахлиллашда экранловчи агентнинг ўтувчи файлли архи- вларни автоматик тарзда оча олиши муҳим ҳисобланади. Фойдаланувчиларни идентификациллаш ва аутентификациллаш баъзида оддий идентификаторни (исм) ва паролни тақдим этиш билан амалга оширилади (7.3-расм). Аммо бу схема хавфсизлик нуқтаи назаридан заиф ҳисобланади, чунки паролни бегона шахс ушлаб қолиб ишлатиши мумкин. Internet тармоғидаги кўпгина можаролар қисман анъанавий кўп марта ишлатилувчи паролларнинг заифлигидан келиб чиққан. Маршрутизатор станция Ишчи Ишчи станция станция станция 9.3-расм. Пароль бўйича фойдаланувчини аутентификациялаш схемаси Аутентификациялашнинг ишончлироқ усули - бир марта ишлатилувчи пароллардан фойдаланишдир. Бир мартали паролларни генерациялашда аппарат ва дастурий воситалардан фойдаланилади. Аппарат воситалари компьютернинг слотига ўрнатилувчи қурилма бўлиб, уни ишга тушириш учун фойдаланувчи қандайдир махфий ахборотни билиши зарур. Масалан, смарт-карта ёки фойдаланувчи токени ахборотни генерациялайди ва бу ахборотни хост анъанавий парол ўрнида ишлатади. Смарт-карта ёки токен хостнинг аппарат ва дастурий таъминоти билан бирга ишлаши сабабли, ге- нерацияланувчи парол ҳар бир сеанс учун ноёб бўлади. Ишончли орган, масалан калитларни тақсимлаш маркази томонидан берилувчи рақамли сертификатларни ишлатиш ҳам қулай ва ишончли. Кўпгина воситачи дастурлар шундай ишлаб чиқиладики, фойдаланувчи фақат тармоқлараро экран билан итттлаттт сеансининг бошида аутентифика- циялансин. Бундан кейин маъмур белгиланган вақт мобайнида ундан қўшимча аутентификацияланиш талаб этилмайди. Тармоқлараро экранлар тармоқдан фойдаланишни бошқаришни мар- казлаштиришлари мумкин. Демак, улар кучайтирилган аутентификациялаш дастурлари ва қурилмаларини ўрнатишга муносиб жой ҳисобланади. Гарчи кучайтирилган аутентификация воситалари ҳар бир хостда ишлатилиши мумкин бўлсада, уларнинг тармоқлараро экранларда жойлаштириш қулай. Кучайтирилган аутентификациялаш чораларидан фойдаланувчи тармоқлараро экранлар бўлмаса, Telnet ёки FTP каби иловаларнинг аутен- тификацияланмаган трафиги тармоқнинг ички тизимларига тўғридан-тўғри ўтиши мумкин. Қатор тармоқлараро экранлар аутентификациялашнинг кенг тарқалган усулларидан бири - КегЪегозни мададлайди. Одатда, аксарият тижорат тармоқлараро экранлар аутентификациялашнинг турли схемалари- ни мададлайди. Бу эса тармоқ хавфсизлиги маъмурига ўзининг шароитига қараб энг мақбул схемани танлаш имконини беради. Ички тармоц адресларини трансллциллаш. Кўпгина хужумларни амалга оширишда нияти бузуқ одамга қурбонининг адресини билиш керак бўлади. Бу адресларни ҳамда бутун тармоқ топологиясини беркитиш учун тармоқлараро экранлар энг муҳим вазифани - ички тармоқ адресларини трансляциялашни бажаради (7.4-расм).
Download 5.8 Mb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling