1. İnformasiya təhlükəsizliyi anlayışı və əsasları
Kompüter sistemlərində təhlükəsizliyin təmin olunmasının texnoloji aspektləri
Yüklə 0,89 Mb. Pdf görüntüsü
|
|
10. Kompüter sistemlərində təhlükəsizliyin təmin olunmasının texnoloji aspektləri
İnformasiya təhlükəsizliyinin təmin olunması problemi kompleks yanaşma tələb edir. Onun həlli üçün tədbirləri aşağıdakı səviyyələrə bölmək olar:
qanunvericilik tədbirləri;
inzibati tədbirlər;
təşkilati tədbirlər;
proqram-texniki tədbirlər. Qanunvericilik tədbirləri müvafiq qanunları, normativ aktları, stanhərtları və s. əhatə edir. Təəssüflə qeyd etmək lazımdır ki, qanunvericilik bazası bütün ölkələrdə praktikanın tələblərindən geri qalır. Qanunvericilik səviyyəsinin funksiyalarına aid etmək olar:
yaratmaq və onu dəstəkləmək;
İnformasiya təhlükəsizliyi probleminin vacibliyini Hər zaman qeyd etmək;
resursları tədqiqatların ən mühüm istiqamətlərində cəmləşdirmək;
təhsil fəaliyyətini koordinasiya etmək. Qanunvericilik səviyyəsində hüquqi aktlar və stanhərtlar xüsusi diqqətə layiqdir. Stanhərtların arasında «Narıncı kitab», X.800 tövsiyələri, ISO 15408 («Ümumi meyarlar»), ISO 17799 stanhərtları daha geniş yayılıb. İnzibati tədbirlərin əsas məqsədi təşkilatda informasiya təhlükəsizliyi sahəsində tədbirlər proqramını formalaşdırmaq və onun yerinə yetirilməsini zəruri resurslar ayırmaqla və işlərin vəziyyətinə nəzarət etməklə yerinə yetirilməsini təmin etməkdir. Tədbirlər proqramının əsasını təşkilatın öz informasiya aktivlərinin mühafizəsinə yanaşmasını əks etdirən informasiya təhlükəsizliyi siyasəti təşkil edir. Təşkilati tədbirlər informasiya mühafizəsinin səmərəli vasitələrindən biri olmaqla yanaşı, qurulan bütün mühafizə sistemlərinin əsasını təşkil edir. Təşkilati tədbirlər aşağıdakı mövzuları əhatə edir:
fiziki mühafizə;
sistemin iş qabiliyyətinin saxlanması;
təhlükəsizlik rejiminin pozulmasına reaksiya;
bərpa işlərinin planlaşdırılması. Biz aşağıdakı proqram–texniki tədbirləri nəzərdən keçirəcəyik: identifikasiya və autentikasiya, icazələrin ihərəolunması, protokollaşdırma və audit, kriptoqrafiya, ekranlaşdırma. İdentifikasiya və autentikasiya. İdentifikasiya (ingilis dilində identification) istifadəçiyə (və ya müəyyən istifadəçinin adından fəaliyyət göstərən prosesə) özünü adlandırmağa (öz adını bildirməyə) imkan verir. Autentikasiya (ingilis dilində authentication) vasitəsi ilə ikinci tərəf əmin olur ki, subyekt doğrudan da özünü qələmə verdiyi şəxsdir. Autentikasiya sözünün sinonimi kimi çox vaxt ―Daqiqiliyin yoxlanması‖ işlədilir. Subyekt aşağıdakı mənbələrdən ən azı birini təqdim etməklə özünün Daqiqiliyini təsdiq edə bilər:
bildiyi nəyi isə (parolu, şəxsi identifikasiya nömrəsi, kriptoqrafik açar);
sahib olduğu nəyi isə (şəxsi kart və ya digər təyinatlı analoji qurğu);
özünün tərkib hissəsi olan nəyi isə (səs, barmaq izləri və s., yəni özünün biometrik xarakteristikalarını). Autentikasiyanın ən geniş yayılmış növü paroldur. Daxil edilmiş parol və istifadəçi üçün əvvəlcədən verilmiş parol müqayisə edilir. Onlar üst-üstə düşdükdə istifadəçinin həqiqiliyi təsdiqlənmiş sayılır. Parolların ən başlıca nöqsanı onların elektron ələ keçirilməsidir. Praktik olaraq yeganə çıxış yolu rabitə xətləri ilə ötürülməzdən əvvəl parolların kriptoqrafik şifrələnməsidir. Aşağıdakı tədbirlər parol mühafizəsinin etibarını artırmağa xeyli imkan verir:
Hərf, rəqəm, durğu işarələri olmalıdır və s.)
parolun fəaliyyət müddətinin ihərə
olunması, onların
vaxtaşırı dəyişdirilməsi;
sistemə uğursuz daxilolma cəhdlərinin məhdudlaşdırılması;
istifadəçilərin təlimatlandırılması;
parol generasiya edən proqramların istifadəsi. Sadalanan tədbirləri həmişə, hətta parolla yanaşı digər autentikasiya metodları istifadə olunduğu halda da tətbiq etmək məqsədə uyğundur. Biometrik xarakteristikalara nəzarət qurğuları mürəkkəb və bahadırlar, buna görə də yalnız təhlükəsizliyə yüksək tələblər olan təşkilatlarda istifadə olunurlar.
Yüklə 0,89 Mb. Dostları ilə paylaş:
|