Texnalogiyalarini rivojlantirish vazirligi toshkent axborot texnalogiyalari universiteti qarshi filiali tt va kt
Download 0.96 Mb. Pdf ko'rish
|
Jahongir Juraqulov Mustaqil ish 1
|
Reja:
1. Axborot xavfsizligi haqida tushuncha. 2. Axborot himoyalash tizimlari. 3. Iqtisodiy axborot tizimi. 4. IATdagi axborotlarni himoyalash usullari va vositalari. 5. Iqtisodiy Xavfsizlik.
Axborot xavfsizligi – fuqarolar, tashkilotlar va davlat manfaati yo’lida jamiyat axborot muhitini shakllantirish, takomillashtirish hamda undan foydalanish jarayonlarida uning ichki va tashqi tahdidlardan himoyalanganligini ta’minlovchi holatdir.
Ахborot хаvfsizligining коnsеptual modeli Axborot xavfsiziligiga tahdid ob’ektlariga himoya qilinishi lozim bo’lgan ob’ektning tarkibi, holati va faoliyati haqidagi ma’lumotlar kiradi. Axborotga tahdid deganda uning konfidentsialligi, butunligi, to’laligi va u bilan tanishish qoidasi bo`zilishi tushuniladi. Axborot xavfsizligiga tahdid manbalariga raqiblar,
jinoyatchilar, korruptsiyachilar hamda boshqa bo`zgunchilar kiradi. Axborot xavfsizligiga tahdid manbalarining maqsadlari quyidagilarga yo’naltirilgan bo’lishi mumkin: muhofaza qilinayotgan ma’lumotlar bilan tanishish, g’arazli maqsadlarda ularni o’zgartirish va moddiy zarar etkazish yo’lida ularni yo’qotish. Kondidentsial axborot manbalariga odamlar, hujjatlar, nashrlar, axborot tashish texnik vositalari, ishlab chiqarish va mehnat faoliyatini ta’minlovchi texnik vositalar, mahsulot hamda ishlab chiqarish chiqindilari kiradi. Axborot himoyasi yo’nalishlarining asosiylariga huquqiy, tashqiliy va injener-texnik himoyalar kirib, bular axborot xavfsizligini ta’minlashda kompleks yondoshishning asosini belgilaydi. Axborotga nisbatan qo`llanilgan noqonuniy barcha amallar tarmoq natijasida uning konfidensialligini, to`liqligini, ishonchliligini va unga kirish .
Konfidentsial axborotga noqonuniy ega bo’lish uchun qilinadigan harakatlar - Axborot egasi konfidentsial axborotni saqlashga hech qanday chora qo’rmaganligi sababli raqib o’zi qiziqqan ma’lumotni engil olishi mumkin.
- Axborot manbasi axborot xavfsizligi choralarini kattiq saqlaydi va raqib saqlanayotgan axborotga kirishi yoki uni olishi uchun axborotga sanktsiyasiz kirishning barcha usullarini qo’llaydi. - Axborot egasi (manba) bilmagan holda texnik kanallardan axborotni beihtiyor chiqib ketishi va undan raqib o’zining maqsadlarida xech qanday qiyinchiliksiz oson foydalanishi mumkin. Konfidentsial axborotga tahdid deganda muhofaza qilinayotgan axborot resurslaridan ma’lumot olish bo’yicha amalga oshirilgan yoki oshirilishi mumkin bo’lmagan hatti-harakatlar tushuniladi.
Konfidentsial axborotga noqonuniy ega bo’lishni quyidagi amallar yordamida bajarish mumkin
ehtiyotkorsizlik oqibatidan tanishishga huquqi bo’lmagan shaxslarning konfidentsial ma’lumotlarga kirish yoki u bilan tanishuviga olib keluvchi harakat
Axborotni beixtiyor chiqib ketishi – konfidentsial axborotni tashkilot hududidan yoki ishonch bildirilgan shaxslar orasidan nazoratsiz chiqib ketishidir.
bo`zarlik yo’li bilan konfidentsial axborotga ega bo’lishidir. Axborotlarni himoyalashning kriptografik usullari.
Kriptografiya - “sirli yozuv” degan ma’noni anglatib, axborotlarning o’zaro ta’siri jarayonida ularni himoyalash usullarini o’rganuvchi fandir. Axborotlarni o’zaro ta’siri jarayoni deganda ikki yoki undan ortiq sub’ektlarning axborot almashinishi yoki o`nga ishlov berish jarayoni tushuniladi. Axborotlarni himoya qilishning boshqa usullaridan farqli o’laroq
Iqtisodiy axborotlar tizimi (IAT) xavfsizligiga tahdid turlari Hisoblash vositalari va axborot uzatish tizimlarining jadal rivojlantirish bilan bir
qatorda
ularning xavfsizligini ta’minlash
muammosi tobora dolzarb tus olmoqda. Xavfsizlik choralari axborotlarni sanktsiyasiz (ruxsatsiz) olish, himoya qilinayotgan axborotlarni yo’q qilish yoki modefikatsiyalashning oldini olishga qaratilgan. So’ngi yillardagi xorijiy matbuot materiallarining ko’rsatishga, aloqa kanallari bo’yicha, beriladigan axborotlarni suiste’mol qilish ularning
ogohlantirish vositalaridan kam bo’lmagan darajadagi jadallik bilan mukammalashib bormoqda. Bunday hollarda axborotlarni himoflash uchun
nafaqat himoyaning chastnix mexanizmlarini ishlab chiqish, chora- tadbirlarning bir butun kompleksini ishlab chiqish, ya’ni axborotlar yo’qolishining oldini olish uchun maxusus vositalar, usul va tadbirlardan foydalanish talab etiladi. Bugo`ngi kunda yangi, zamonaviy texnalogiya – kompyuter axborot tizimlaridagi va ma’lumot uzatish tarmoqlardagi axborotlarni himoyalash texnalogiyasi paydo bo’ladi. Axborot xavfsizligi tahdid deyilganda axborot resurslaridan foydalanish oqibatidan uning bo`zilishga, farqlanishga olib keladigan hatti-harakatlar, yoki voqea-xodisalari, ulardan ruxsatsiz foydalanish, shuningdek, dasturiy va apparat vositalari tushuniladi. Bunday xavflarni tasodifiy, oldindan ko’zda tutuilgan yoki qasddan qilingan deya
bo’lishi qabul qilingan. Birinchisining manbasi
dasturiy taminlashdagi xatolar,apparat
vositalariningishdan chiqishi, foydalaniuvchi
yoki ma’muriyatning noto’g’ri harakatlari kabilar bo’lishi mmkin. Tasadifiydan farqli holda qasddan qilingan tahdidilarda AATdan foydalanuvchilarga zarar etkazish maqsadi mavjud bo’ladi. Va u faol hamda sust tahdidlarga bo’linadi.
Sust (passiv) tahdidi,ruxsatsiz(sanktsiyalanmagan) foydalanishga yo’naltirilgan bo’lib, uning funktsiyalariga ta’sir etmaydi. Sust tahdid, masalan, kanalarda aylanadigan axborotlarni yashirin eshitish orqali olishga urinishda kuzatiladi. Faol tahdidlar apparatlar, dasturiy va axborot resurslarning me’yorda ishlash jarayonlariga yo’naltirilgan ta’sir orqali ularning funktsiyalarini ishdan chiqarishni ko’zda tutadi. Faol tahdidiga, masalan, aloqa linyalarini bo`zish yoki radioelektron eshitishni qiyinlashtirish yoki uning operatsion tizimini ishdan chiqarish, ma’lumotlar
bazasi yoki kompyuter texnalogiyalaridagi
sistemali
axborotlarni bo`zib ko’rsatish v.b kabilar kiradi. Faol tahdid
manbalari g’araz niyatli kishilarning bevosita xatti-harakatlari, dasturdagi viruslar va x.k. bo’lishi mumkin. Axborotlar xavfsizligining asosiy tahdid (xavf) larina quyidagilar kiradi: - konfendentsial axborotlarni oshkor qilish; - axborotlar; - axborot resurslaridan ruxsatsiz foydalanish; - axborot resurslaridan noto’g’ri foydalanish; - axborotlarni ruxsatsiz almashtirish; - axborotlarni rad etish; - xizmat ko’rsatishdagi rad etish. Konfedentsial (mahfiy) axborotlarni ochish (oshkor etish)
vositalari ma’lumotlar bazasiga ruxsatsiz kirish,
kanallarni yashirincha tinglash v.h.lar bo’lishi mumkin.
Har qanday holatda ham ayrim shaxslar (guruhlar)ning
mulki
bo’lgan axborotlarni boshqa shaxslar tomonidan olinishi uning egasiga zarar etkazishi tabiiy. Axborotlarning obro’sizlanishi qopdagi ko’ra ma’lumotlar bazasiga ruxsatsiz o’zgarishlar kiritish natijasida yo`zaga keladi, buning natijasida uning iste’molchisi yo undan voz kechishga yoki o’zgarishlarni aniqlab haqiqiy ma’lumotlarni tiklash uchun
qo’shimcha kuch sifatiga to’g’ri
keladi.
Iste’molchi obro’sizlangan axborotlardan foydalanish oqibatida noto’g’ri qabul qilish xavfiga duch keladi.
Axborot resurslaridan ruxsatsiz foydalanish bir tomondan axborotlarni foy etish yoki obro’sizlantirish vositasi bo’lishi, ikkinchi tomondan foydalaniladigan yoki
tizimli axborotlarga tegmasdan ham abonentlar va
ma’muriyatga zarar etkazishi mumkinligi bilan
ahamiyatga ega. Bu zarar keng miqyosda moliyaviy mablag`’lar tushishi kamayishidan tortib, AATni to’liq ishdan chiqishigacha sabab bo’lishi mumkin. Axborot
resurslarida noto’g’ri foydalanish, undan
foydalanishga ruxsat berilgan bo’lsa ham, uni bo`zilishiga, oshkor bo’lishi yoki obro’sizlanishiga sabab bo’ladi. Bunday tahdid (xavf) ko’pincha AATni dasturiy ta’minlashdagi hatolar oqibatida kelib chiqadi. Abonentlar orasida ruxsatsiz axborot almashish, ulardan birini tanishish man etilgan axborotni olishiga, natijada bank axborotlari mazmunining oshkor etishiga sabab bo’lishi mumkin. Axborotni olish bosh tortish bu axborotni olishni yoki uni yuboruvchining uni olganligi (yuborganligi) faktini rad etishi
bilan
izohlanadi. Bank faoliyati sharoitida bu qisman tomonlardan birining tuzilgan moliyaviy bitimni «Texnik» yo’l bilan bo`zishiga, shu bilan birga, ikkinchi tomonga sezilarli zarar etkazishiga imkon beradi. Xizmat ko’rsatishdan bosh tortish (rad etish) o’ta ma’lum va keng tarqalgan tahdid
(xavf)
bo’lib, uning manbai
AATning o’zidir. Bunday bosh tortish abonentga resurslarni taqdim etish, kechiqqanda uning og’ir asoratlar keltirib chiqarishi mumkin bo’lgan holatlarda, ayniqsa haflidir. Foydalanuvchilarda qaror qabul qilish uchun zarur bo’ladigan ma’lumotlarni yo’qligi, bu qarorni hozircha samarali amalga oshirish mumkin bo’lganda ham, uning ratsional bo’lmagan yoki hatto ponopoliyaga qarshi harakatlariga sabab bo’lib qolishi mumkin. Xorij matbuoti tahlillari asosida
shakllantirilgan axborotlarga ruxsatsiz kirishning eng ko’p tarqalgan yo’llari quyidagilar: - elektron nurlanishni tutib qolish; - tutib
turuvchining modulyatsiyasini olish maqsadida aloqa
liniyasini majburan elektromagnit bilan nurlantirish (ostidan yoritish); - yashirincha eshitish (tarqatuvchi) qurilmalarni qo’llash; - masofadan suratga olish; - akustik nurlanishni tutib qolish va printerdagi matnni tiklash; - axborot etkazuvchi va hujjat chiqindilarini o’g’irlash; - ruxsat berilgan so’rovnomalar bajarilgandan keyin tizim «xotira»sida qolgan qoldiq ma’lumotlarni o’qish; - himoya chorasini maxf etish, axborot tashuvchilarni nusxasini olish; - ro’yxatga olingan foydalanuvchini niqob ostida harakat qilish; - mistifikatsiya, aldash tizim so’rovnomalari ostida niqoblanish; - dasturiy to`zoqdan foydalanish; - dasturlashtirilgan til va operatsiya (muomala) tizimdagi kamchiliklardan foydalanish; - dasturlar kutubxonasiga «Troyanoti»ga o’xshash turdagi maxsus bloklarni ulab qo’yish; - apparatura yoki aloqa liniyasiga noqonuniy ulanish; - g’arazgo’ylik bilan himoya mexanizmlarini ishdan chiqarish; - kompyuter viruslarini joriy eti shva ularni qo’llash. Hozirgi paytda kompyuter viruslari o’ta xavf tug’diradi. Ularning turlari xaddan ortiq ko’pligi sababli bu viruslarga qarshi ishonchli himoya vositalarini ishlab chiqish bo’lmayotir. Ruxsat etilmagan kirishning qolgan hamma yo’llarini to’g’ri ishlab chiqilgan va amalda qo’llanilgan xavfsizlikni ta’minlash tizimlari bilan to’sish mumkin.
IATdagi axborotlarni himoyalash usullari va vositalari IATlarni ishlab chiqish (ishlov berish)da tijorat siri bo’lgan ma’lumotlarni, shuningdek, kompyuterlagi axborot tizimlarining o’zining ham xavfsiligi bo’yicha muammolar kelib chiqadi. Zamonaviy AAT quyidagi asosiy belgilarga ega bo’ladi: - axborotlarning turli darajadagi konfidentsial (maxfiy)ligi; - ma’lumotlar uzatilayotganda konfidentsiallikni darajalarida axborotni kriptografik himoyasi zarurligi; - ARM fayl-server, aloqa kanallari va axborot tizimlariga kirish huquqi va dasturlari sub’ektlari vakolatining kerakligi va
bu vakolatlarni tezlik bilan o’zgartirish zaruriyati; - diolog foydalanuvchilar orasida vaqt
taqsimlash va
aniq vatq
tartib (vaqt)larida axborotlarni qayta ishlashni tashkil etish; - lokal tarmoqlardagi axborotlar oqimi qanday boshqarilsa, aloqa kanallari bo’yicha o`zoq masofalarga uzatishda ham shunday boshqarish shartligi; - idishdagi nashrga chiqtariladigan voqea va hujjatlarga ruxsatsiz kirishga urinishlarni ro`yxatga olish va hisobga olish zarurligi; - AAT dasturiy ta’minlash va
axborotlarning yaxlitligini ta’minlashning majburiyligi; - axborotlarni himoyalash tizimini tiklash vositalarining borligi bilan; - magnit tashuvchilarni hisobga olish shartligi; - hisoblash texnikasi va magnit tashuvchi vositalarni fizik qo’riqlash imkoni borligi bilan.
Axborot xavfsizligi muammolarini yo’qotishda qo’llaniladigan tashkiliy choralar va
protseduralar loyihalashning hamma jarayonlarida va AATdan foydalanishda hal etiladigan. Loyihalashtirishda ob’ektni loyihalashdan oldingi tekshiruviga alohida e’tibor beriladi. Bu bosqichda: - ishlab chiqarilayotgan AATdagi axborotlar ichida konfedentsiali (mahfiysi) bor-yo’qligiga aniqlanadi, konfedentsiallik darajasi va hajmi baholanadi; - axborotning qayta ishlash (dialogli qayta ishlash va aniq vaqtdagi tartibi, texnik vositalar tarkibi), texnik vositalar tarkibi umumtizimli dasturiy vositalar v.b.ning tartiblari aniqlanadi; - bozordagi axborotlarni himoyalashning sertifikatsiyalangan vositalaridan foydalana olish imkoniyatlari tahlil qilinadi; - axborotlarga ishlov berishda avtomatlashtirish ob’ektlarning xodimlari funktsional xizmat mutaxassislar va yordamchi ishchilarning qatnashganlik darajasi, o’zaro va xavfsizlik xizmati bilan ta’siri aniqlanadi; - ishlab chiqish davrida maxfiylik tartibini saqlash bo’yicha chora-tadbirlar aktsiyalanadi.
Axborotlar xavfsizligini ta’minlash bo’yicha tashkillashtiriladigan chora- tadbirlar orasida himoyalanadigan AAT joylashgan ob’ektni qo’riqlash (binolar, inshootlar, axborot tashuvchilar saqlanadigan foylar hududlari) muhim o’rin tutadi. Shu bilan birga, hisoblash texnikalari axborot tashuvchilar, shuningdek aloqa liniyalari va AATlarga ruxsatsiz kirish va o’g’irlashlarning oldini oluvchi yoki qiyinlashtiruvchi postlar texnik vositalar o’rnatiladi. Axborotlarni ruxsatsiz kirishdan himoya qiluvchi sistemalar (tizimlar)ning ishlashi dasturiy texnik vosita va tashkiliy qarorlar majmuasi sifatida quyidagilarni ko’zda tutadi: - axborot tashuvchilar, parol (kalit so’z)lar va kalitlarni hisobga olish, saqlashhamda foydalanuvchilarga berish; - xizmat axborotlarini yuritish parollar kalitlar yo`zaga kelishi, axborotlarga kirishni chegaralash qoidalarini kuzatib borish; - mahfiy axborotlarni himoya
qilish tizimining ishlashini tezkor himoya qilish; - umumtizimli dasturiy sharoitlarni andazaga muvofiqligini nazorat qilish; - AATga ulanadigan yangi dasturiy vositalarni qabkl qilish; - foydalanuvchilarning xatti-harakati tahlilini hisobga olish yo’li
bilan moliyaviy kredit axborotlariga texnologik ishlov berish jarayonining borishini nazorat qilish; - xavfli xodisalar signalizatsiyalarini v.b. Shuni ham hisobga olish kerakki, axborotlarni himoyalashning
kerakli tashkillashtirilgan dasturiy- texnik vositalarisiz va muolajalarning ko’zda tutilgan loyihaviy hujjatlashtirishlarisiz bu dasturiy-texnik vositalar qanchalik mukammal bo’lmasin, axborotlar xavfsizligi muammosini etarli darajada hal qilib bo’lmaydi. AATda axborotlarni himoyalashning bazaviy tizimini yaratish quyidagi tamoyillarga asoslanadi: - Dasturiy apparatli vositalar va himoya choralarining optimal birikishini billiruvchi tuzilishi mamlakatimiz va xorij
himoya tuzilishlari amaliyotida tasdiqlangan tashkiliy choralarning etakchisi himoya tizimlarini qurishga kompleks yondashish; - Ishlov berilayotgan axborotlar va ishlov berish muammolariga kirish bo’yicha vakolatlarni bo’laklash va minimallashtirish, ya’ni
minimum foydalanuvchilarga ular Kirishi mumkin bo’lgan konfedentsial axborotlar ishlov berishni avtomatlashtirish nuqtai nazaridan foydalanuvchilarga qat’iy belgilangan vakolat minimumini taqdim etish; - Nazoratning to’liqligi va ruxsatsiz kirishga urinishlarni ya’ni har bir foydalanuvchining o’ziga xosligini aniq belgilashning zarurligi va bo’lishi mumkin bo’lgan tekshiruv
uchun uning xatti- harakatlariga doir
bahnnomatuzish, shuningdek, oldindan ro’yxatga olinmasdan AATdagi axborotlarga ishlov berish bo’yicha har qanday operatsiyalarni amalga oshirish imkoni yo’qligini ro’yxatga olish. - Himoyalash tizimlarining ishonchliligini ta’minlash, ya’ni tizimda o`zilishlar rad etish tartibbo`zarning ataylab qolgan harakatlari yoki foydalanuvchilar va xizmat qiluvchi xodimlarning (ataylab qilmagan) holatlari kabilar paydo bo’lganda ishonchlilik darajasining pasayishi mumkin emasligi; - Himoyalash tizimlarining ishlashi ustidan nazoratni ta’minlash, ya’ni himoyalash mexanizmlarining ish qobiliyatini nazorat qilish vosita va usullarni yaratish. - Umumiy, amaliy dasturiy ta’minlash va AATdan foydalanuvchilar uchun axborotlarni himoyalash tizimining taniqligi.
Axborotlarni himoyalash tizimini ishlab chiqish va ishga tushirish bahosi AATni axborotlarni himoyalash tizimlarisiz ishlab chiqilgan va ishga tushirilgan holda ob’ektga
etkazilgan bo’lishi mumkin
bo’lgan zarar bahosidan
kam
bo’lmog’i holatida aks etadigan himoyalash tizimlaridan foydalanishning iqtisodiy jihatdan maqsadga muvofiqligi. Axborotlarni himoyalash tizimlarini tayyorlash muammolarida quyidagi o’zaro bir-birini to’ldiruvchi ikkita masala mavjud: Download 0.96 Mb. Do'stlaringiz bilan baham: 
|