O’zbekiston respublikasi axborat texnologiyalari va kommunikatsiyalarini rivojlantirishvazirligi muhammad al-xorazmiy nomidagi toshkent axborat texnologiyalari univesiteti kiberxavfsizlik asoslari fanidan Mustaqil ish Mavzu


Download 210.73 Kb.
bet3/4
Sana16.01.2023
Hajmi210.73 Kb.
#1095077
1   2   3   4
Bog'liq
Kiber xavfsizlik Mustaqil ish

Autentifikatsiya (yunoncha authetikos - asl, inglizcha autentifikatsiya - identifikatsiya,) - autentifikatsiya - ruxsatsiz shaxslar tomonidan tarmoqqa ruxsatsiz kirishni oldini oladi va qonuniy foydalanuvchilarga kirish imkoniyatini beradi. Faqat foydalanuvchilar autentifikatsiyani talab qiladigan ob’yektlar sifatida emas, balki turli xil ilovalar, qurilmalar va ma’lumotlarni ham bajarishlari mumkin.
Dastur darajasida autentifikatsiyaning misoli - mijoz va serverning oʻzaro autentifikatsiyasi, bu erda serverda qonuniyligini isbotlagan mijoz, shuningdek, dialog 340 haqiqatan ham oʻz serverida ekanligiga ishonch hosil qilishi kerak. Ikkala qurilma oʻrtasida aloqa seansini oʻrnatishda oʻzaro autentifikatsiya protsedurasi ham ta'minlanishi mumkin. Ma’lumotlarni autentifikatsiya qilish ushbu ma’lumotlarning yaxlitligini, shuningdek ularni e'lon qilgan kishidan kelib chiqqanligini isbotlashni anglatadi. Buning uchun elektron imzo mexanizmidan foydalaniladi. Autentifikatsiyani identifikatsiya qilish va avtorizatsiya qilish bilan aralashtirmaslik kerak. Identifikatsiya foydalanuvchida tizimga uning identifikatorini aytib berishidan iborat, autentifikatsiya esa foydalanuvchi oʻzi deb da'vo qilgan shaxs ekanligini isbotlash protsedurasi, xususan oʻzi kiritgan identifikatorga egalik qilishining dalili. Tizimda foydalanuvchi identifikatorlari boshqa ob’yektlarning (fayllar, jarayonlar, ma’lumotlar tuzilmalari) identifikatorlari bilan bir xil maqsadlarda ishlatiladi va ular har doim ham xavfsizlik bilan bevosita bogʻliq emas.
Avtorizatsiya - bu yuridik foydalanuvchilarning tizim resurslaridan foydalanish huquqini boshqarish, ularning har biriga ma'muriyat tomonidan oʻzi uchun aniq belgilab qoʻyilgan huquqlarni berish bilan nazorat qilish tartibi. Avtorizatsiya tizimi foydalanuvchilarga kataloglar, fayllar va printerlarga kirish huquqini berish bilan bir qatorda foydalanuvchilarning turli xil tizim funktsiyalarini bajarishi mumkin, masalan, serverga lokal kirish, tizim vaqtini belgilash, ma’lumotlarning zaxira nusxasini yaratish, serverni oʻchirish va hk.
Audit - himoyalangan tizim resurslariga kirish bilan bogʻliq voqealarni tizim jurnalida qayd etish. Zamonaviy operatsion tizimlarning auditorlik quyi tizimi ma'muriyatni qiziqtirgan voqealar roʻyxatini qulay grafik interfeys yordamida farqlashga imkon beradi. Buxgalteriya hisobi va monitoring vositalari xavfsizlikning muhim hodisalarini aniqlash va qayd etish imkoniyatini beradi; tizim resurslarini yaratish, kirish yoki oʻchirish uchun har qanday urinishlar
(shu jumladan muvaffaqiyatsiz boʻlganlar).
Xavfsiz kanal texnologiyasi Internet kabi ochiq transport tarmogʻi orqali ma’lumotlarni uzatish xavfsizligini ta'minlaydi:
ulanishni oʻrnatishda abonentlarning oʻzaro autentifikatsiyasi;
kanal orqali uzatiladigan xabarlarni ruxsatsiz kirishdan himoya qilish;
kanal orqali keladigan xabarlarning yaxlitligini ta'minlash.
OSI modelining turli sathlarida amalga oshirilgan protokollar yordamida xavfsiz kanalni qurish mumkin.
Ma’lumotlarni yuqori sathlar (dastur, taqdimot yoki sessiya) yordamida himoya qilish ma’lumotlar uzatish texnologiyalariga (IP, Ethernet yoki ATM) bogʻliq emas, lekin ilovalar ma’lum bir xavfsiz kanal protokoliga bogʻliq, chunki ushbu protokol funktsiyalariga aniq qoʻngʻiroqlar ularga joylashtirilgan boʻlishi kerak. Ilova sathining xavfsizlik protokollari faqat juda aniq tarmoq xizmatini himoya qiladi, masalan S/MIME elektron pochta xabarlarini himoya qiladi. Taqdimot qatlamida SSL (Secure Socket Layer) va uning ochiq amalga oshirilishi TLS (Transport Layer Security) ishlatiladi. Xavfsiz kanal imkoniyatlari tarmoq va ma’lumotlar havolasi protokol ramkalarini himoya qilganda dasturlar uchun shaffof boʻlib qoladi. Biroq, bu xavfsiz kanal xizmatini pastki qavat protokoliga bogʻliq bo’ladi.
Xavfsiz kanal uchun murosaga kelish varianti - bu tarmoq darajasida ishlaydigan IPSec protokoli. Bir tomondan, u dasturlar uchun shaffof, boshqa tomondan deyarli barcha tarmoqlarda ishlashi mumkin, chunki u IP protokoliga asoslangan va har qanday bogʻlanish qatlami texnologiyasidan (PPP, Ethernet, ATM va boshqalar) foydalanadi.
IPSec (IP Security qisqartmasi) - bu Internet-protokol IP orqali uzatiladigan ma’lumotlarning IP-paketlarini autentifikatsiya qilish va shifrlash orqali himoyasini ta’minlaydigan protokollar toʻplami. IPSec protokolidan foydalanish “xavfsiz kanal” deb nomlangan ikkita tarmoq tugunlari orasidagi butun yoʻl boʻylab ma’lumotlarning yaxlitligi, haqiqiyligi va maxfiyligini kafolatlaydi.
IPSec protokollarini ikkita sinfga boʻlish mumkin: uzatilgan paketlar oqimini himoya qilishga mas’ul boʻlgan protokollar, ular tarkibiga ikkita protokol kiradi: ESP (Encapsulating Security Payload - shifrlangan ma’lumotlarning inkassatsiyasi), bu uzatiladigan ma’lumotlarning shifrlashi, yaxlitligi va maxfiyligini ta'minlaydi; AH (Authentication Header), bu faqat ma’lumotlarning yaxlitligi va haqiqiyligini kafolatlaydi (uzatilgan ma’lumotlar shifrlanmagan). Internet-kalit almashinuvi (IKE) kriptografik kalit almashish protokoli, xavfsiz kanalning soʻnggi nuqtalarini avtomatik ravishda autentifikatsiya va ma’lumotlarni shifrlash protokollari ishlashi uchun zarur boʻlgan maxfiy kalitlar bilan ta'minlaydi. IPSec protokolidagi ma’lumotlarni shifrlash uchun har qanday nosimmetrik shifrlash algoritmidan foydalanish mumkin. Nosimmetrik shifrlash sxemalarida maxfiylik joʻnatuvchi va qabul qiluvchining shifrlash funktsiyasining umumiy, faqat ular uchun ma’lum boʻlgan parametriga ega boʻlishiga asoslanadi. Ushbu parametr maxfiy kalit deb nomlanadi. Yashirin kalit matnni shifrlash uchun ham, uni parolini hal qilish uchun ham ishlatiladi.
AH va ESP protokollari ma’lumotlarni ikki rejimda himoya qilishi mumkin: transport va tunnel.
Tashish rejimida faqat IP-paketning tarkibi sarlavhaga ta’sir qilmasdan shifrlanadi, bu oʻzgarmaydi.
Tunnel rejimida butun IP-paket shifrlanadi, yangi IP-paketga joylashtiriladi, u yangi IP-paketning sarlavhasiga muvofiq tarmoqqa uzatiladi. Shunday qilib, xavfsiz IP-tunnel hosil boʻladi. Tunnel rejimi masofali kompyuterlarni virtual xususiy tarmoqqa ulash yoki virtual shaxsiy tarmoqning turli qismlarini birlashtirish uchun shlyuzlar oʻrtasida ochiq aloqa kanallari (masalan, Internet) orqali ma’lumotlarni xavfsiz uzatishni tashkil qilish uchun ishlatilishi mumkin. IPSec rejimlari oʻzaro bogʻliq emas bir xil xostda ba’zi xavfsiz ulanishlar transport rejimidan, boshqalari tunnel rejimidan foydalanishi mumkin.
U yoki bu rejimdan foydalanish quyidagilarga bogʻliq:
ma’lumotlarni himoya qilish talablaridan;
xavfsiz kanalni tugatadigan tugun turi boʻyicha - xost (soʻnggi tugun) yoki shlyuz (oraliq tugun).
Shunga koʻra, IPSec protokolidan foydalanishning uchta sxemasi mavjud:
xost - xost;
shlyuz - shlyuz;
mezbon shlyuz.
Odatda transportning himoya rejimidan foydalanadigan xost-xost sxemasida tarmoqning ikkita soʻnggi tugunlari oʻrtasida xavfsiz kanal oʻrnatiladi va soʻnggi tugunlarda ishlaydigan IPSec protokoli uzatiladigan ma’lumotlarni himoya qiladi.
Faqatgina xavfsizlik tunnelini ishlatadigan shlyuzdan shlyuzga oʻtish sxemasida, xavfsizlik kanallari (SGs) deb nomlangan ikkita oraliq tugunlar oʻrtasida xavfsiz kanal oʻrnatiladi, ularning har biri IPSec-da ishlaydi. Xavfsiz aloqa Security Gateways bilan bogʻlangan tarmoqlarga ulangan har qanday ikkita tugun oʻrtasida boʻlishi mumkin. Tugun tugunlari xavfsizlikni ta’minlamay, trafikni IPSec yordamida himoya qiladigan Security Gateway orqali umumiy tarmoqqa yoʻnaltiradi.
Xost-shlyuz sxemasi masofaviy kirish uchun ishlatiladi va trafikni va ichki tarmoqni ishonchli himoya qilishga imkon beradi. IPSec ishlaydigan masofaviy xost va ichki tarmoqdagi barcha xostlar uchun trafikni himoya qiluvchi shlyuz oʻrtasida xavfsiz kanal oʻrnatiladi.
Qabul qiluvchi tomonda NA protokoli quyidagilarni tekshiradi: paket xavfsiz ulanish oʻrnatilgan abonent tomonidan yuborilganmi yoki yoʻqmi; paketning tarkibi buzilganmi yoki yoʻqmi; paket allaqachon qabul qilingan paketning dublikati boʻladimi. ESP protokoli, roʻyxatdagi funktsiyalardan tashqari, uzatilgan ma’lumotlarni ularni shifrlash orqali ruxsatsiz koʻrishdan himoya qiladi.
Kompyuter tarmoq xavfsizligiga tahdidlarning turlari
Mamlakatimiz siyosatining ustuvor yoʻnalishlariga kiritilgan kompyuter va axborot texnologiyalari, telekomunikatsiya, ma’lumotlarni uzatish tarmoqlari, internet xizmatlaridan foydalanish rivojlanmoqda va modernizatsiyalashmoqda. Jamiyatimizning barcha sohalariga kundalik hayotimizga zamonaviy axborot texnologiyalarini keng joriy etish istiqboldagi maqsadlarimizga erishishni ta’minlaydi. Har bir soha faoliyatida Internet tarmogʻidan foydalanish ish unumdorligini oshirmoqda.
Aynan tarmoqdan foydalangan holda tezkor ma’lumot almashish vaqtdan yutish imkonini beradi. Xususan, yurtimizda Elektron hukumat tizimi shakllantirilishi va uning zamirida davlat boshqaruv organlari hamda aholi oʻrtasidagi oʻzaro aloqa ning mustahkamlanishini tashkil etish tarmoqdan foydalangan holda amalga oshadi. Tarmoqdan samarali foydalanish demokratik axborotlashgan jamiyatni shakllantirishni ta’minlaydi. Bunday jamiyatda, axborot almashinuv tezligi yuksaladi, axborotlarni yigʻish, saqlash, qayta ishlash va ulardan foydalanish boʻyicha tezkor natijaga ega boʻlinadi.
Biroq tarmoqqa noqonuniy kirish, axborotlardan foydalanish va oʻzgartirish, yoʻqotish kabi muammolardan himoya qilish dolzarb masala boʻlib qoldi. Ish faoliyatini tarmoq bilan bogʻlagan korxona, tashkilotlar hamda davlat idoralari ma’lumot almashish uchun tarmoqqa bogʻlanishidan oldin tarmoq xavfsizligiga jiddiy e’tibor qaratishi kerak. Tarmoq xavfsizligi uzatilayotgan, saqlanayotgan va qayta ishlanayotgan axborotni ishonchli tizimli tarzda ta’minlash maqsadida turli vositalar va usullarni qoʻllash, choralarni koʻrish va tadbirlarni amalga oshirish orqali amalga oshiriladi. Tarmoq xavsizligini ta’minlash maqsadida qoʻllanilgan vosita xavf-xatarni tezda aniqlashi va unga nisbatan qarshi chora koʻrishi kerak. Tarmoq xavfsizligiga tahdidlarning koʻp turlari bor, biroq ular bir necha toifalarga boʻlinadi:
axborotni uzatish jarayonida hujum qilish orqali, eshitish va oʻzgartirish (Eavesdropping);
xizmat koʻrsatishdan voz kechish;
(Denial-of-service) portlarni tekshirish (Port scanning).
Axborotni uzatish jarayonida, eshitish va oʻzgartirish hujumi bilan telefon aloqa liniyalari, internet orqali tezkor xabar almashish, videokonferensiya va faks joʻnatmalari orqali amalga oshiriladigan axborot almashinuvida foydalanuvchilarga sezdirmagan holatda axborotlarni tinglash, oʻzgartirish hamda toʻsib qoʻyish mumkin. Bir qancha tarmoqni tahlillovchi protokollar orqali bu hujumni amalga oshirish mumkin. Hujumni amalga oshiruvchi dasturiy ta’minotlar orqali CODEC (video yoki ovozli analog signalni raqamli signalga aylantirib berish va aksincha) standartidagi raqamli tovushni osonlik bilan yuqori sifatli, ammo katta hajmni egallaydigan ovozli fayllar (WAV)ga aylantirib beradi. Odatda bu hujumning amalga oshirilish jarayoni foydalanuvchiga umuman sezilmaydi. Tizim ortiqcha zoʻriqishlarsiz va shovqinsiz belgilangan amallarni bajaraveradi. Axborotning oʻgʻirlanishi haqida mutlaqo shubha tugʻilmaydi. Faqatgina oldindan ushbu tahdid haqida ma’lumotga ega boʻlgan va yuborilayotgan axborotning oʻz qiymatini saqlab qolishini xohlovchilar maxsus tarmoq xafvsizlik choralarini qoʻllash natijasida himoyalangan tarmoq orqali ma’lumot almashish imkoniyatiga ega boʻladilar. Tarmoq orqali ma’lumot almashish mobaynida yuborilayotgan axborotni eshitish va oʻzgartirishga qarshi bir necha samarali natija beruvchi texnologiyalar mavjud:

Download 210.73 Kb.

Do'stlaringiz bilan baham:
1   2   3   4




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling