5-amaliy mashg’ulot Mavzu: Kompleks himoya tizimlari butunligini ta’minlash. Ishdan maqsad: OSSNda qo'llaniladigan ma'lumotlar yaxlitligini nazorat qilish tamoyillari va texnologiyalarini (shu jumladan himoya vositalari kompleksi-HVK) o'rganish. Fayllar va optik vositalarning nazorat summasini hisoblash, tarqatish to'plamiga muvofiqligini kuzatish, yaxlitlikni muntazam kuzatib borish va yopiq dasturiy muhitni yaratish muammolarini hal qilish uchun zarur bo'lgan ko'nikmalarni shaklllantirish.
Qisqacha nazariy ma’lumotlar OSSNga asoslangan ASZI fayl tizimi sub'ektlariga kirishni tekshirish va ma'lumotlar va bajariladigan fayllar tarkibining yaxlitligini nazorat qilish funksiyalarini ta'minlashi kerak. Bunday nazorat bizga OSSN tizim jarayonlari tomonidan qayta ishlanadigan ma'lumotlar ASZI uchun e'lon qilinmagan imkoniyatlarga ega emasligini ishonch bilan aytish imkonini beradi.
HVK OSSN yaxlitligini nazorat qilish muammosini hal qilish uchun shaxsiy ma'lumotlarni yaxlitligini boshqarish funksiyalarini bajaruvchi vositalarni o'z ichiga oladi:
• fayllar va optik disklarning nazorat summasini hisoblash va tekshirish;
• tarqatish to'plamiga muvofiqligini nazorat qilish;
• yaxlitlikni muntazam nazorat qilish;
• yopiq dasturiy muhitni yaratish.
OSSN fayl tizimi sub'ektlarining yaxlitligini nazorat qilishning asosiy usuli - nazorat summasini hisoblash orqali ularning modifikatsiyasini nazorat qilish.
Tekshirish summasi - ma'lum algoritmni qo'llash orqali ma'lumotlar to'plamidan hisoblangan va uzatish yoki saqlash vaqtida ma'lumotlarning yaxlitligini tekshirish uchun ishlatiladigan qiymat. Ekvivalentlik uchun ikkita ma'lumotlar to'plamini tezda taqqoslash uchun ishlatiladi: har xil ma'lumotlar to'plamining har xil nazorat summasiga ega bo'lish ehtimoli juda katta.
Tekshirish summasini hisoblash algoritmlari odatda ikki turga bo'linadi:
• Umumiy maqsadli algoritmlar. Bu algoritmlarga, birinchi navbatda, CRC8, CRC16, CRC32 algoritmlari tomonidan amalga oshiriladigan, aloqa kanallari orqali raqamli ma'lumotlarning yaxlitligini tekshirish uchun qo'llaniladigan, davriy takroriylikni tekshirish (CRC) kiradi;
• Kriptografik algoritmlar. Bu algoritmlar xesh protsedurasiga asoslangan - ixtiyoriy uzunlikdagi kirish ma'lumotlari qatorini belgilangan uzunlikdagi chiqish bitli qatoriga aylantirish. Bunday algoritmlarga, masalan, MD algoritmlari oilalari kiradi (Message Digest Algorithm – MD2-MD6), SHA (Secure Hash Algorithm-SHA-1, SHA-2), GOST R 34.11 va boshqalar. Bu algoritmlarning ko'lami uzatilgan va saqlangan ma'lumotlarning yaxlitligi va haqiqiyligini tasdiqlashdan iborat.
KSZ OSSN quyidagi yaxlitlikni nazorat qilish vositalarini o'z ichiga oladi:
1. Kriptografik algoritmlarni amalga oshiruvchi jamoalar:
• md5sum (MD5 algoritmini amalga oshirish);
• shasum (SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/256 va SHA-512/224 algoritmlari oilasini amalga oshirish).
1. OSSN fayl ob'ektlarining uning taqsimlanishiga muvofiqligini tekshirish vositalari:
• gostsum buyrug'i (GOST R 34.11-94, GOST R 34.11-2012 256 va 512 bit algoritmini amalga oshirish);
• fly-admin-int-check grafik yordamchi dasturi.
Belgilangan buyruqlar va yordamchi dasturlar quyidagi komponentlarni o'z ichiga olgan OSSN fayl ob'ektlarining statik yaxlitligini boshqarishni amalga oshiradi:
1. Fayl yaxlitligini kuzatish tizimi (FIM – File integrity monitoring) AFICK (AnotherFileIntegrityChecKer), bu OSSN fayl ob'ektlarining yaxlitligini muntazam (davriy) nazoratini amalga oshiradi - dinamik yaxlitlikni boshqarishning bir varianti.
2. Ilovalarni ishga tushirish paytida ELF formatidagi bajariladigan fayllar va umumiy kutubxonalarning yaxlitligini nazorat qilish mexanizmi. Bu yuklanmagan OSSN yadrosining digsig_verif yadro modulida amalga oshiriladi va quyidagilarni ta'minlaydi:
• GOST R 34.11-94, GOST R 34.11-2012 va GOST R 34.10-2001 va GOST R 34.10-2012 bo'yicha amalga oshirilgan elektron imzo bo'yicha hisoblangan cheklar asosida bajariladigan fayllar va umumiy kutubxonalarning yaxlitligini nazorat qilish. Tekshirish yig'indisi va elektron imzo OSSNni yig'ish paytida ELF fayllariga joylashtiriladi;
• o'rnatilgan dasturiy ta'minotga kiritilgan ELF formatidagi bajariladigan fayllarga elektron imzoni kiritish.
Statik yaxlitlikni boshqarish buyruqlari va yordamchi dasturlari OSSN fayl ob'ektlarini nazorat summalarini hisoblash (compute) va tekshirish (check) rejimlarida ishlaydi.
Masalan, SHA-256 algoritmidan foydalangan holda /root/file nomli fayl ob'ektining nazorat yig'indisidagi shasum buyrug'i quyidagi sintaksisga ega:
shasum –a 256 /root/fayl Fayl ob'ektining nazorat yig'ish rejimida, statik yaxlitlikni tekshirish buyruqlari ularni to'liq yo'lini matnli faylda mos yozuvlar cheklari ko'rsatilgan ob'ektlar uchun hisoblab chiqadi va ularni ushbu faylning mos yozuvlar yig'indisi bilan solishtiradi. Nazorat yig'indisini tekshirish rejimida ularning bajarilishining natijasi format satrini standart chiqishga o'tkazish(agar nazorat yig'indilari mos kelsa):