Andijon Axborot Texnologiyalari Texnikumi mavzu: korxona tashkilotlarda xodimlarning ma’lumotlarini xavfsizligini ta’minlash
-BOB. KORXONADA SHAXSIY MA’LUMOTLARNI HIMOYA QILISH CHORALARINI ISHLAB CHIQISH
Yüklə 0,72 Mb.
|
- Bu səhifədəki naviqasiya:
- 2.2 Kompyuterning Dasturiy Va Apparat Ta’minoti .
2-BOB. KORXONADA SHAXSIY MA’LUMOTLARNI HIMOYA QILISH CHORALARINI ISHLAB CHIQISH.2.1 Lan Va Ma’lumotlar Bazasini Himoya Qilish Choralari.2.rasm LANni himoya qilish uchun uni 4 ta segmentga bo’lish kerak: 1). umumiy tibbiy (faqat to’liq ism, tug’ilgan sana, jins, uy manzili, karta raqami, seriya va siyosat raqami haqida umumiy ma’lumotlarni saqlaydi); 2). maxsus tibbiy (sog’liqni saqlash holati to’g’risidagi ma’lumotlarni, laboratoriya tekshiruvlarini va maxsus toifaga tegishli boshqa shaxsiy ma’lumotlarni saqlaydi) 3). buxgalteriya hisobi va xodimlar (xodimlar to’g’risidagi ma’lumotlarni saqlaydi) 4). umumiy (barcha qolgan tarmoq abonentlari joylashgan). Loyihalashtirilgan tarmoq 2-rasmda ko’rsatilgan. Fayl serverida (SRV2) asosiy maqsadiga qo’shimcha ravishda (turli xil foydalanuvchi fayllarini saqlash) o’zlari va ma’lumotnoma ma’lumotlarini saqlaydigan jadvallardaniborat bo’lgan ma’lumotlar bazasi yaratiladi. Familiyalar, ismlar, otasining ismi haqidagi ma’lumotnomalar O’zbekiston sub’ektlari, aholi punktlari, sub’ektlarning ma’muriy-hududiy birliklari, ko’chalar bo’yicha ma’lumotnomalar Kasalliklarning xalqaro tasnifi (ICD) bo’yicha diagnostika qo’llanmalari Sug’urta kompaniyalarining ma’lumotnomalari (sug’urta kompaniyasining nomi va u chiqaradigan bir qator siyosatlarni o’z ichiga oladi).Shunday qilib, ushbu ma’lumotlar bazasi faqat shaxsiylashtirilmagan ma’lumotlarni o’z ichiga oladi (jadvallar o’rtasida hech qanday aloqa yo’q).Umumiy tibbiy ma’lumotni saqlaydigan server (SRV4) quyidagi ma’lumotlarni o’z ichiga oladi Karta raqami,Tug’ilgan kun,Qavat,Familiyasi, ismi, otasining ismi indeksi, yashash joyi,Ish joyi,Telefon,Tibbiy faoliyat uchun zarur bo’lgan, ammo shaxsiy ma’lumotlar bilan bog’liq bo’lmagan boshqa ma’lumotlar.Barcha indekslar SRV2 ma’lumotnomalaridan olingan bo’lib, natijada muassasa ishiga ziyon etkazmasdan shaxsiy ma’lumotlar miqdorining kamayishiga olib keladi.Maxsus tibbiy ma’lumotlar serveri (SRV5) quyidagi ma’lumotlarni o’z ichiga oladi.Karta raqami.ICD diagnostikasi indeksi;Salomatlik holati to’g’risida ma’lumot (kasallik tarixi) Shaxsiy ma’lumotlarning maxsus toifasi bilan bog’liq tibbiy faoliyat uchun zarur bo’lgan boshqa ma’lumotlar.Barcha indekslar SRV2 kataloglaridan ham olinadi. Jadvallar o’rtasidagi munosabatlar "PD karta raqami asosida o’rnatiladi.Buxgalteriya bo’limi va kadrlar bo’limining ma’lumotlar bazasi xodimlar to’g’risidagi ma’lumotlarning to’liq to’plamini o’z ichiga oladi, chunki ma’lum bir ichki tuzilishga ega dasturiy ta’minot ishlatiladi, masalan, "1C Enterprise". Ushbu dasturiy ta’minot keyingi paragrafda muhokama qilinadi. Alohida-alohida, SRV2, SRV4 va SRV5 ma’lumotlar bazalari shaxsiy emas, bu oxir-oqibat ISPD sinfini pasaytirish imkonini beradi. Tarqalgan ma’lumotlar bazasini tashkil etishning batafsil diagrammasi ilovada keltirilgan.Loyihalashtirilgan tarmoq tarmoqning salomatligi va xavfsizligini ta’minlash uchun turli funktsiyalarni bajaradigan turli xil uskunalardan iborat.SRV2, SRV4, SRV5 serverlari Debian GNU/Linux 5.0 operatsion tizimi tomonidan boshqariladi. Ushbu operatsion tizim Linux yadrosiga asoslangan, barqaror va moslashuvchan operatsion tizim bo’lib, ko’plab arxitekturalarni qo’llab-quvvatlaydi va General Public License (GPL) ostida litsenziyalangan.MySQL 5.5 DBMS sifatida ishlatiladi. MySQL juda ko’p afzalliklarga ega, jumladan.Yuqori ishlash. MySQL, shubhasiz, juda tezdir. Ishlab chiqaruvchining ko’rsatkichlarini http://www.mysql.com/why-mysql/benchmarks/ saytida ko’rish mumkin. Ushbu ko’rsatkichlarning aksariyati MySQL raqobatdosh mahsulotlarga qaraganda tezroq kattaroq buyurtma ekanligini ko’rsatadi.Arzon. MySQL to’plami ochiq kodli dasturiy ta’minot litsenziyasi ostida bepul mavjud yoki agar ilova talab qilsa, tijorat litsenziyasini kichik to’lov evaziga sotib olish mumkin.Foydalanish qulayligi. Ko’pgina zamonaviy ma’lumotlar bazalari SQL dan foydalanadi. MySQL-ni o’rnatish shunchalik osonki, siz serverni 10 daqiqada ishga tushirishingiz mumkin.Portativlik. MySQL ko’plab turli UNIX tizimlarida, shuningdek, Microsoft Windows da ishlatilishi mumkin.SSL qo’llab-quvvatlash. SSL - bu mijoz va server o’rtasida xavfsiz ulanishni ta’minlovchi kriptografik protokol. Protokol TCP/IP-dan foydalangan holda mijoz va server o’rtasida ma’lumotlar almashinuvining maxfiyligini ta’minlaydi va shifrlash uchun assimetrik ochiq kalit algoritmidan foydalaniladi. Ochiq kalitni shifrlash ikkita kalitdan foydalanadi, ularning har biri xabarni shifrlash uchun ishlatilishi mumkin. Shunday qilib, agar bitta kalit shifrlash uchun ishlatilsa, demak, shifrni ochish uchun boshqa kalitdan foydalanish kerak. Bunday vaziyatda ochiq kalitni nashr qilish va maxfiy kalitni sir saqlash orqali xavfsiz xabarlarni olish mumkin. SSL protokoli ikkita kichik protokoldan iborat: SSL yozish protokoli va qo’l siqish protokoli. SSL yozish protokoli ma’lumotlarni uzatish uchun ishlatiladigan formatni belgilaydi. SSL protokoli birinchi ulanish paytida server va mijoz o’rtasida bir qator xabarlar almashish uchun SSL yozish protokoli yordamida qo’l siqishni o’z ichiga oladi. SSL serverdan SSL sertifikatiga ega bo’lishini talab qiladi.SSL 3 ta asosiy xususiyatga ega kanalni taqdim etadi.Autentifikatsiya. Server har doim autentifikatsiya qilinadi, mijoz esa algoritmga qarab autentifikatsiya qilinadi.Butunlik. Xabarlar butunlikni tekshirishni o’z ichiga oladi.Kanal maxfiyligi. Shifrlash ulanish o’rnatilgandan so’ng ishlatiladi va barcha keyingi xabarlar uchun ishlatiladi. Trafikni ushlab qolishdan himoya qilishning eng mashhur yechimi SSL yordamida ulanishni shifrlashdir. O’zaro platforma OpenSSL mahsuloti MySQL DBMS, Apache veb-serveri kabi ko’plab muhim dasturlarga integratsiyalashgan. Tarmoqdagi foydalanuvchini markazlashtirilgan autentifikatsiya qilish uchun SAMBA va OpenLDAP, LDAP protokolining ochiq ilovasi yordamida domen yaratiladi. Samba - bu SMB/CIFS protokoli yordamida turli xil operatsion tizimlardagi tarmoq drayverlariga kirish imkonini beruvchi dastur. U mijoz va server qismlariga ega. Bu GPL litsenziyasi ostida chiqarilgan bepul dasturiy ta’minot. Uchinchi versiyadan boshlab, Samba turli xil Microsoft Windows mijozlari uchun fayl va chop etish xizmatlarini taqdim etadi va Windows Server operatsion tizimi bilan asosiy domen boshqaruvchisi, zaxira domen boshqaruvchisi yoki domen a’zosi sifatida integratsiyalashishi mumkin. Bundan tashqari, u Active Directory domenining bir qismi bo’lishi mumkin. LDAP - bu katalog xizmatiga kirish uchun mijoz/server tarmoq protokoli. U dastlab X.500 ga qo’shimcha sifatida ishlatilgan, lekin u mustaqil va boshqa turdagi katalog xizmatlarida ham qo’llanilishi mumkin. Yilni filtrlaydigan xavfsizlik devorlarida trafikni bir tarmoqdan ikkinchisiga etkazish siyosat qoidalari to’plami bilan belgilanadi. Agar qoida ma’lum trafikka aniq ruxsat bermasa, tegishli paketlar xavfsizlik devori tomonidan rad etiladi. Yoki o’chiriladi. Asosiy xususiyatlar - foydalanuvchining turli xil tarmoq resurslariga kirishini tartibga solish, serverning har bir tarmoq interfeysi orqali o’tadigan IP-trafikni boshqarish. ViPNet Office Firewall-ning asosiy vazifasi serverning har bir interfeysi (tarmoq adapteri) orqali o’tadigan har qanday IP-paketlarni ushlab turish va filtrlash (o’tkazish yoki bloklash)dir. ViPNet Office Firewall Linuxni sozlash har bir adapter uchun odatiy filtrlash qoidasini (xavfsizlik rejimi deb ataladi) tanlash va uni ma’lum protokollar, manzillar va portlar uchun qo’shimcha filtrlar bilan o’zgartirishdan iborat. Bundan tashqari, ViPNet Office Firewall tarmoq manzillarini tarjima qilishni (NAT) qo’llab-quvvatlaydi. Xodimlar haqida PDni saqlash uchun terminalga kirish huquqiga ega sertifikatlangan Windows Server 2008 bilan ishlaydigan server ishlatiladi. Unda "Buxgalteriya hisobi", "Ish haqi va xodimlarni boshqarish" konfiguratsiyasi bilan 1C Enterprise 8.2 o’rnatilgan. Terminal seanslari shifrlash standartlari asosida SSL yordamida kanal shifrlash bilan himoyalangan. Oldingi versiyalar bilan taqqoslaganda, 8.2 identifikatsiya va autentifikatsiya mexanizmlarini, auditni va ma’lumotlarni himoya qilishni amalga oshiradi. Tarmoq hujumlarini aniqlash uchun hujumni aniqlash tizimini (NIDS) o’rnatish tavsiya etiladi. Ular OSI modeli bo’yicha tarmoq darajasida ishlaydi va o’rnatilgan ulanishlarni nazorat qiladi, tarmoq paketlarining tuzilishi va mazmunini tahlil qiladi. NIDS tizimi alohida kompyuterda ham, ajratilgan serverda ham (shlyuz, marshrutizator) o’tayotgan barcha trafikni tahlil qiladi. Honeypot menejeri hujumni aniqlash tizimi sifatida ishlatiladi. Honeypot Manager maxsus tuzoqlar (sensorlar) yordamida ma’lumotlarni saqlash tizimini (Oracle DBMS yoki fayl serveri) taqlid qiladi, undagi faoliyatni nazorat qiladi va ushbu ma’lumotlarga ruxsatsiz kirish faktlari haqida xabar beradi.IDS ning ishlash printsipi asal idishi menejer .Xavfsizlik ma’muri tizimga kim kirishga harakat qilayotgani va hozirda kim harakat qilayotgani haqida ma’lumotga ega, shuningdek, xodim haqiqiy server nomini aralashtirib yuborganmi va tasodifan tuzoqqa tushib qolganmi yoki ataylab harakat qilganmi va tarmoqda haqiqatan ham buzg’unchilar borligini aniqlashi mumkin. kompaniya uchun qimmatli ma’lumotlar bilan ishlaydigan serverlar yoki xizmatlarni topishga harakat qilish.Mahsulotning asosiy xususiyatlari quyidagilardan iborat:real ma’lumotlarni saqlash tizimlarini simulyatsiya qilish tizim tomonidan taqlid qilingan ma’lumotlarga UA faktlarini aniqlash va ro’yxatdan o’tkazish UA ushbu ma’lumotlarga kirishga urinishlari haqida manfaatdor tomonlarni xabardor qilish tajovuzkor tomonidan o’zgartirilgan tizimni asl holatiga qaytarish imkoniyati ma’lum vaqt oralig’ida tizimning ishlashi to’g’risida hisobotlarni shakllantirish bir nechta tuzoqlarni (datchiklarni) markazlashtirilgan boshqarish tizim boshqaruviga kirishni avtorizatsiya qilish va nazorat qilish ishlash monitoringi mexanizmi (diagnostika).UA urinishlariga javob berish qoidalarining moslashuvchan konfiguratsiyasi haqiqiyga o’xshash simulyatsiya ma’lumotlarini yaratish tuzoqlarning (sensorlarning) IP manzillarini davriy o’zgartirish.Himoya ishonchliligini oshirish uchun har bir tarmoq segmentida problarni (NIDSli kompyuterlar) joylashtirish orqali butun tarmoq arxitekturasini nazorat qilish kerak. Ushbu kompyuterlar server bo’lishi shart emas; NIDS oddiy ish stantsiyasiga o’rnatilishi mumkin.Prob 1 maksimal potentsial tarmoq xavfi zonasida joylashgan. Bu erda barcha kiruvchi va chiquvchi trafik tahlil qilinadi va ko’p sonli noto’g’ri pozitivlar ehtimoli yuqori. Tarmoq yukining ortishi bilan NIDS butun trafik oqimini qayta ishlay olmaydigan vaziyat yuzaga kelishi mumkin va tahlil usullari, masalan, tekshirilishi kerak bo’lgan imzolar sonini kamaytirish orqali qo’pollashtiriladi. 2,3,4-zondlar nazariy jihatdan eng xavfsiz hudud hisoblangan mahalliy tarmoq trafigini tahlil qiladi. Oddiydan tashqari har qanday tarmoq faoliyatiga e’tibor bering. Ushbu zonada noto’g’ri signallar soni eng kam bo’lishi kerak va shuning uchun tekshiruv hisobotlariga ko’proq e’tibor qaratish lozim. 2.2 Kompyuterning Dasturiy Va Apparat Ta’minoti.ViPNet mijozi tibbiy muassasalarning xavfsiz tarmog’iga kirish uchun yuqori tashkilotlar bilan ma’lumot almashish uchun ishlatiladi. ViPNet Client - bu VPN mijozi, shaxsiy ekran, xavfsiz pochta tizimi mijozi, shuningdek, foydalanuvchining ish joyida imzo va shifrlash funksiyalaridan foydalanadigan amaliy dasturlar uchun kriptografik provayder funktsiyalarini bajaradigan Windows OT oilasi uchun dasturiy ta’minot to’plami. amaliy dasturlarga ega server.Mijoz o’zaro bog’langan dasturiy modullar to’plamidan iborat.ViPNet [Monitor] - past darajadagi shifrlash va trafikni filtrlash drayveri bilan birgalikda quyidagi funktsiyalarni amalga oshirish uchun javobgardir. Shaxsiy xavfsizlik devori - ish stantsiyasini / serverini global (Internet) va mahalliy tarmoqdan mumkin bo’lgan tarmoq hujumlaridan ishonchli himoya qiladi. Bunda. Himoyalangan va ochiq trafik turli parametrlar bo’yicha filtrlanadi ("oq" va "qora" IP manzillar, portlar, protokollar ro’yxati). "Yashirin" rejim (tashabbusli ulanish rejimi) amalga oshirildi, bu himoyalangan tarmoq kompyuterini ochiq tarmoqdan ko’rinmas holga keltirish imkonini beradi Oddiy tarmoq hujumlarini (IDS elementlari) aniqlash va blokirovka qilish ta’minlanadi har qanday himoyalangan tarmoq ob’ektlari, xoh ish stantsiyalari, fayl serverlari, dastur serverlari o’rtasida uzatiladigan har qanday turdagi trafikni (ilovalar, boshqaruv tizimlari va OT xizmatining trafigini) himoya qilishni (maxfiylik, haqiqiylik va yaxlitlik) ta’minlaydi. Zamonaviy ko’p yadroli protsessorlarni qo’llab-quvvatlaydigan shifrlash drayverining yuqori unumdorligi TCP / IP tarmoqlarida ovozli va video aloqa xizmatlari trafigini real vaqt rejimida himoya qilish imkonini beradi va bir vaqtning o’zida ko’plab foydalanuvchi seanslarining ishlashini ta’minlaydi.Har qanday tarmoqqa ulanish usullari uchun statik va dinamik NAT/PAT marshrutlash qurilmalari orqali shaffof ishlash qo’llab-quvvatlanadi.Chat mijozi - xavfsiz xabarlar almashish va ViPNet Client yoki ViPNet Coordinator (Windows) o’rnatilgan xavfsiz ViPNet tarmog’idagi ob’ektlar o’rtasida chat konferentsiyalarini tashkil qilish uchun o’rnatilgan xizmat xizmatlaridan foydalanish imkonini beradi.File Sharing Service Client - qo’shimcha dasturiy ta’minotni o’rnatmasdan (masalan, FTP server/mijoz) yoki tarmoq orqali fayllarni almashish uchun OS funktsiyalaridan foydalanmasdan xavfsiz ViPNet tarmog’idagi ob’ektlar o’rtasida istalgan faylni almashish imkonini beradi. Fayllar xavfsiz transport tarmog’i ViPNet orqali almashish kafolatlangan yetkazib berish va ulanish uzilib qolgan taqdirda fayllarni "rezyume qilish" bilan amalga oshiriladi.Shu bilan birga, siz tarmoqda ishlashi taqiqlangan yoki ruxsat etilgan ilovalarning "qora" va "oq" ro’yxatini yaratishingiz, shuningdek, noma’lum ilovalarning tarmoq faolligiga reaktsiyani o’rnatishingiz mumkin.Ko’pgina hollarda, bu troyanlar kabi zararli dasturlarni ruxsatsiz tarmoq faoliyatiga yo’l qo’ymaydi.ViPNet [Business Mail] - bu xavfsiz ViPNet tarmog’ida ishlaydigan xavfsiz pochta xizmatining elektron pochta mijozi funktsiyalarini bajaradigan dastur va sizga quyidagilarga imkon beradi oddiy grafik foydalanuvchi interfeysi orqali xavfsiz tarmoqni oluvchilarga xatlar yaratish va yuborishmulticastingni amalga oshirish imzolash uchun o’rnatilgan elektron raqamli imzo mexanizmlaridan, shu jumladan bir nechta xat matni va unga qo’shimchalardan foydalanish harflarni majburiy tan olishning o’rnatilgan mexanizmi tufayli xatning "hayoti" ning barcha bosqichlarini nazorat qilish harflarni o’chirish tarixiga o’rnatilgan audit funktsiyasi xatlar arxivi kiruvchi xabarlarni avtomatik qayta ishlash Har qanday yozishma jo’natuvchisi noyob tarzda aniqlanishi mumkin. Shu sababli, ushbu ViPNet xizmati korporativ hujjatlar va xatlarni almashish uchun ideal yechimdir ViPNet MFTP - bu xavfsiz tarmoq tugunlari (shifrlash kalitlari, tugun havolalari, dasturiy ta’minotni yangilash) va Business Mail xatlari va File Exchange konvertlari bilan konvertlar o’rtasida xizmat ma’lumotlarini almashish funktsiyalarini bajaradigan dastur. Kriptoprovayder ViPNet CSP - ViPNet Client Windows OS ostida amaliy tizimlarni ishlab chiquvchilar uchun Microsoft CryptoAPI 2.0 interfeys standartini amalga oshiradigan o’rnatilgan kriptoprovayderni o’z ichiga oladi Mijoz mashinalarini virus hujumlaridan himoya qilish uchun antivirus dasturidan foydalanish kerak. Bir nechta antiviruslarni taqqoslash asosida antivirusni tanlash ESET NOD32 Antivirus foydasiga amalga oshirildi, u yuqori samaradorlikka ega. 2.1Rasm. ViPNet mijozining asosiy oynasi 2.2Rasm. - Antiviruslarning qiyosiy tavsifi. Yüklə 0,72 Mb. Dostları ilə paylaş:
|