Andijon davlar universiteti fizika- matematika fakulteti axborot texnologiyalari kafedrasi
Yüklə 102,67 Kb.
|
|
Avtorizatsiya (Authorization) – sub’ektga tizimda ma’lum vakolat va resurslarni berish muolajasi, ya’ni avtorizatsiya sub’ekt harakati doirasini va u foydalanadigan resurslarni belgilaydi. Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa bu tizimda axborotning konfidensialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy bog‘langan.
Ma’murlash (Accounting) – foydalanuvchining tarmoqdagi harakatini, shu jumladan, uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik nuqtai nazaridan tarmoqdagi xavfsizlik xodisalarini oshkor qilish, taxlillash va ularga mos reaksiya ko‘rsatish uchun juda muhimdir. Autentifikatsiya protokollarini taqqoslashda va tanlashda quyidagi xarakteristikalarni hisobga olish zarur: o‘zaro autentifikatsiyaning mavjudligi. Ushbu xususiyat autentifikatsion almashinuv taraflari o‘rtasida ikkiyoqlama autentifikatsiyaning zarurligini aks ettiradi; hisoblash samaradorligi. Protokolni bajarishda zarur bo‘lgan amallar soni; kommunikatsion samaradorlik. Ushbu xususiyat autentifikatsiyani bajarish uchun zarur bo‘lgan xabar soni va uzunligini aks ettiradi; uchinchi tarafning mavjudligi. Uchinchi tarafga misol tariqasida simmetrik kalitlarni taqsimlovchi ishonchli serverni yoki ochiq kalitlarni taqsimlash uchun sertifikatlar daraxtini amalga oshiruvchi serverni ko‘rsatish mumkin; xavfsizlik kafolati asosi. Misol sifatida nollik bilim bilan isbotlash xususiyatiga ega bo‘lgan protokollarni ko‘rsatish mumkin; sirni saqlash. Jiddiy kalitli axborotni saqlash usuli ko‘zda tutiladi. Identifikatsiya va autentifikatsiya qilish dasturiy va apparat xavfsizligining asosi sifatida qaralishi mumkin, chunki boshqa xizmatlar nomlangan mantiqiy ob'ektlarga xizmat ko'rsatishga mo'ljallangan. Identifikatsiya va autentifikatsiya - bu himoya qilishning birinchi yo'nalishi, tashkilotning axborot makonining "o'tishidir". Identifikatsiya qilish sub'ektga (foydalanuvchi, ma'lum bir foydalanuvchi nomidan ishlaydigan jarayon yoki boshqa apparat-dasturiy komponentlar) o'zini identifikatsiyalash (ismini aytib berish) imkonini beradi. Haqiqiylikni tekshirish orqali, boshqa tomon, mavzu haqiqatan ham u uchun da'vo qilayotgan narsaga ishonadi. "Autentifikatsiya" iborasi ba'zan "autentifikatsiya" so'zining sinonimi sifatida ishlatiladi. Autentifikatsiya bir tomonlama (odatda mijoz serverda haqiqiyligini tasdiqlaydi) va ikki tomonlama (o'zaro). Bir tomonlama autentifikatsiyaning misoli – foydalanuvchiga kirish protsedurasi. Tarmoq muhitida identifikatsiya va autentifikatsiya ikki asosiy jihatlari bor: autentifikator sifatida xizmat qiladigan narsa (ya'ni ob'ektning identifikatorini tasdiqlash uchun foydalaniladi); uyushgan (va himoyalangan) aloqa qilib aniqlash autentifikatsiyasi . Sub'ekt quyidagi ob'ektlardan kamida bittasini taqdim etish orqali uning haqiqiyligini tasdiqlashi mumkin : u biladigan narsa (parol, shaxsiy identifikatsiya raqami, kriptografik kalit va boshqalar); u egalik qiladigan narsa (shaxsiy karta yoki shunga o'xshash maqsaddagi boshqa qurilma); o'ziga tegishli bo'lgan narsa (ovoz, barmoq izlari va boshqalar, ya'ni o'z biometrik xususiyatlari). Tomonlar o'rtasida ochiq tarmoq atrof-muhit, autentifikatsii yo'q ishonchli yo'ldan; bu shuni anglatadiki, umumiy holatda sub'ekt tomonidan uzatiladigan ma'lumotlar autentifikatsiya qilish uchun olingan va ishlatilgan ma'lumotlarga mos kelmasligi mumkin. Tarmoqni passiv va faol tinglashdan, ya'ni ma'lumotni ushlab qolish, o'zgartirish va takrorlashdan himoya qilishni ta'minlash kerak. Oddiy matnda parollarni yuborish qoniqarli emas; Bu vaziyatni va parolni shifrlashni saqlamaydi, chunki u ijro etilishdan himoya qilmaydi. Keyinchalik murakkab autentifikatsiya protokollariga ehtiyoj bor . Ishonchli identifikatsiya nafaqat tarmoq tahdidlari tufayli, balki bir qator sabablarga ko'ra qiyin. Birinchidan, autentifikatsiya qilishning deyarli barcha sub'ektlari tan olinishi, o'g'irlanishi yoki soxtalashtirilgan bo'lishi mumkin. Ikkinchidan, autentifikatsiya ishonchliligi, ikkinchi tomondan, foydalanuvchi va tizim ma'murining qulayligi o'rtasida qarama- qarshilik mavjud. Xavfsizlik nuqtai nazaridan, foydalanuvchidan ma'lum bir chastota bilan autentifikatsiya ma'lumotlarini qayta kiritishni so'rash kerak va bu nafaqat muammoli, balki kimdir ma'lumotlarning kiritilishiga josuslik qilish ehtimolini oshiradi. Uchinchidan, himoya qilish vositasi qanchalik ishonchli bo'lsa, u qimmatroq. Zamonaviy vositalari aniqlash identifikatsiya/autentifikatsiya konsepsiyasini qo'llab-quvvatlash kerak yagona tarmoq tizimiga kirish . Tarmoqqa bitta kirish - bu, avvalo, foydalanuvchilar uchun qulaylik talabidir. Agar korporativ tarmoqda mustaqil ravishda ulanadigan juda ko'p axborot xizmatlari mavjud bo'lsa, unda bir nechta identifikatsiya/autentifikatsiya qilish juda og'ir bo'ladi. Afsuski, tarmoqqa bir marta kirish odatiy holga aylandi, dominant qarorlar hali shakllanmagan. Shunday qilib, identifikatsiya va autentifikatsiya qilish vositalarini boshqarish ishonchliligi, arzonligi, foydalanish qulayligi va ma’muriyat o’rtasida murosaga erishish kerak. Identifikatsiya/autentifikatsiya qilish xizmati erkin foydalanishni tahdid qilish ob'ekti bo'lishi mumkinligi qiziq. Agar tizim shunday tuzilganki, ma'lum bir muvaffaqiyatsiz urinishlardan so'ng, identifikatsiyalash ma'lumotlarini kiritish moslamasi (masalan, terminal) bloklangan bo'lsa, buzg'unchi bir nechta tugmachalar bilan qonuniy foydalanuvchini to'xtatishi mumkin.
- COP to'g'risida ma'lumot va u bilan ishlash qobiliyati; - axborot xavfsizligi tizimi to'g'risidagi ma'lumotlar; xatolarimizni va apparat va dasturiy ta'minot uzilishlar. Ma'lumotni ruxsatsiz kirishdan himoya qilish uchun, foydalanuvchilar tomonidan (yoki ularning dasturlarida) ular tomonidan o'rnatilgan kirish qoidalari va turlari bo'yicha SCning axborot resurslariga qilingan har qanday so'rovlarni boshqaradigan erkin foydalanishni boshqarish tizimi yaratildi. Erkin foydalanishni boshqarish tizimida kirishning har qanday sub'ekti (foydalanuvchi, dastur, apparat) bilan bog'liq holda CSga kirishning quyidagi bosqichlari ta'minlanishi kerak: - kirish ob'ektlari va ob'ektlarini aniqlash; - autentifikatsiya (autentifikatsiya); - kompyuter resurslariga kirishni keyingi boshqarish va chegaralash uchun vakolatlarni aniqlash. Ishlash paytida ma'lumotlarni uzatishning ochiq kanallaridan foydalanish buzg'unchilar (tajovuzkorlar) kirib ketishining potentsial xavfini yaratadi. Agar passiv tajovuzkor faqat unga kirish mumkin bo'lgan xabarlarni ko'rsa, u holda faol va tinglash ularni ushlab, buzishi va yo'q qilishi mumkin. Shuning uchun o'zaro ishlash jarayonida axborot xavfsizligini ta'minlashning muhim vazifalaridan biri bu (tekshiruvchi) tomonga boshqa (tekshiriladigan) tomonning haqiqiyligini tekshirishga imkon beradigan usul va vositalardan foydalanish hisoblanadi. Odatda, ushbu muammoni hal qilish uchun maxsus nayranglardan foydalaniladi, bu tekshirilayotgan tomon ma'lum bir sirga ega bo'lganligi haqidagi xabarlarning to'g'riligini tekshirishga imkon beradi. Kompyuter tizimida ro'yxatga olingan har bir mavzu (foydalanuvchi yoki foydalanuvchi nomidan ishlaydigan jarayon) uni o'ziga xos ravishda aniqlaydigan ba'zi ma'lumotlar bilan bog'liq. Bu berilgan mavzu nomini beradigan raqamlar yoki qatorlar bo'lishi mumkin. Bunday ma'lumot sub'ektning identifikatori deb ataladi. Identifikator tarmoqda ro'yxatdan o'tgan bo'lsa, foydalanuvchi qonuniy hisoblanadi (ko'rsatilgan); boshqa subyektlar noqonuniy hisoblanadi. Kompyuter tizimining resurslariga kirishdan oldin foydalanuvchi identifikatsiya va autentifikatsiyaning ikki bosqichini o'z ichiga olgan kompyuter tizimi bilan dastlabki o'zaro ta'sirlanish jarayonini o'tishi kerak. Yüklə 102,67 Kb. Dostları ilə paylaş:
|