Axborot tahdidlari va ularning turlari tushunchasi Qurilish tizimining asoslari axborot xavfsizligi



Yüklə 223,75 Kb.
səhifə2/19
tarix25.04.2023
ölçüsü223,75 Kb.
#102386
1   2   3   4   5   6   7   8   9   ...   19
Maxfiy ma'lumotlarning oqishi - Maxfiy ma'lumotning IC yoki Xizmatga ishonib topshirilgan yoki ish paytida ma'lum bo'lgan shaxslar doirasidan tashqarida nazoratsiz chiqishdir. Bu oqish natijasi bo'lishi mumkin:
1. Maxfiy ma'lumotlarni oshkor qiladi;
2. Turli xil, asosan texnik, kanallar haqida ma'lumot berish;
3. Maxfiy ma'lumotlarga turli yo'llar bilan ruxsatsiz kirish.
Axborotni oshkor qilish Uning egasi yoki egasi bu ma'lumotga yoki ushbu ma'lumotga ruxsat berilmaganligi uchun tegishli ma'lumotlarga yoki ularni tanishtirish uchun tegishli ma'lumotlarga ishonib topshirilgan mansabdor shaxslar va ehtiyot bo'lmagan harakatlar mavjud.
Mavjud nazoratsiz maxfiy ma'lumotlar vizual-optik, akustik, elektromagnit va boshqa kanallarda.
Jismoniy tabiatda, quyidagi ma'lumotlarni uzatish vositasi bo'lishi mumkin:
1. Yorug'lik nurlari.
2. Ovoz to'lqinlari.
3. Elektromagnit to'lqinlar.
4. Materiallar va moddalar.
Oqillama kanal ostida biz maxfiy ma'lumotlar manbaidan tajovuzkorga nisbatan jismoniy usulni tushunamiz, muvofiq himoyalangan ma'lumotlarni taqdim etish mumkin. Axborot oqish kanalining paydo bo'lishi uchun (ta'lim, muassasalar), ba'zi fazoviy, energiya va vaqt sharoitlari, shuningdek, tajovuzkor tomoni bo'yicha idrok va ma'lumotlarni tuzatish vositalari uchun zarur.
Ta'limning jismoniy xususiyatini hisobga olgan holda, amaliyotga asoslangan holda, kanalning kanallarini quyidagi guruhlarga bo'lish mumkin:

1. Vizual optik;


2. Akustik (shu jumladan akustik konvertatsiya);
3. elektromagnit (shu jumladan magnit va elektr);
4. Moddiy-material (qog'oz, fotosuratlar, magnit tashuvchilar, turli xil ishlab chiqarish - qattiq, suyuq, gazoz).
Masalan, oqish omillari quyidagicha:
1. Xodimlar xodimlarining axborotni himoya qilish qoidalari va tushunmovchilik qoidalari (yoki tushunmovchilik) zaruratlarini amalga oshirish zarurligini bilish;
2. Maxfiy ma'lumotlarni qayta ishlashning ko'chmas texnik vositalaridan foydalanish;
3. Axborotni huquqiy, tashkiliy va muhandislik tadbirlari bilan himoya qilish qoidalariga rioya qilish ustidan kuchsiz nazorat.
Ma'lumotlarga ruxsatsiz kirishning asosiy odatiy usullari quyidagilardan iborat:
1. Elektron nurlanishni ushlash;
3. Tushyorlik qurilmalarini qo'llash (xatcho'plar);
4. Uzoq fotosurat;
5. Akustik nurlanishni ushlab turish va printer matnini tiklash;
6. Axborot va hujjatli chiqindilarni o'g'irlash;
7. Vakolatli so'rovlarni amalga oshirgandan so'ng tizim xotirasida qoldiq ma'lumotlarni o'qish;
8. Nopoklik choralarini engib o'tish bilan ommaviy axborot vositalarining nusxasi;
9. Ro'yxatdan o'tgan foydalanuvchi ostida niqoblash;
10. MChJKICATSIYASI (TIZIMNING SAYTALARI BILAN);
11. Dastur tuzoqlaridan foydalanish;
12. Dasturlash tillar va operatsion tizimlarning kamchiliklaridan foydalanish;
13. "Trojan ot" turidagi maxsus bloklarning kutubxona dasturlariga qo'shilishi;
14. Uskunalar va aloqa liniyalariga noqonuniy ulanish;
15. Zararli xulosa himoya mexanizmlari tufayli;
16. Kompyuter viruslarini amalga oshirish va ulardan foydalanish.
Shuni ta'kidlash kerakki, kompyuter viruslari muammosi hozirda ma'lum xavfdir, chunki ulardan samarali himoya qilish mumkin emas edi. Xavfsizlik tizimi amalda ishlab chiqilgan va amalga oshirilganda ruxsatsiz kirishning qolgan yo'llari ishonchli blokirovka qilish mumkin
Quyida eng keng tarqalgan texnik tahdidlar va sabablar keltirilgan, natijada ular amalga oshiriladi:
1. Axborot tizimiga ruxsatsiz kirish - axborot tizimiga noqonuniy foydalanuvchini noqonuniy kirishni olish natijasida yuzaga keladi;
2. Ma'lumotni oshkor qilish - ma'lumot olish yoki uni o'qish yoki uni tasodifiy yoki ataylab oshkor qilish natijasida yuzaga keladigan shaklda sodir bo'ladi;
3. Ma'lumot va dasturlarning ruxsatsiz o'zgarishi - insonning ma'lumotlarini o'zgartirish, olib tashlash yoki yo'q qilish natijasida mumkin va dasturiy ta'minot Mahalliy hisoblash tarmoqlari tasodifiy yoki qasddan;
4. Mahalliy hisoblash tarmoqlarining harakatlanishining oshkor qilinishi - ma'lumot olish yoki uni o'qish natijasida shaxs tomonidan yoki uning mahalliy hisoblash tarmoqlari orqali yuqadigan tasodifiy yoki qasddan paydo bo'lishi natijasida yuzaga keladi;
5. Mahalliy hisoblash tarmoqlarining harakatlanishini qonuniy usulda almashtirish, ular qonuniy ravishda qonuniy deklaratsiya yuboruvchi tomonidan yuborilgan va aslida bunday bo'lmagan xabarlar mavjud bo'lganda, ular bunday shaklda.
6. Mahalliy hisoblash tarmoqlarini foydalanish mumkin emasligi, mahalliy hisoblash tarmoqlarining resurslariga zudlik bilan foydalanishga imkon beradigan tahdidlarning natijasidir.
Axborot ob'ektlariga tahdidlar ta'sirining usullari quyidagilarga bo'linadi:
- Axborot;
- dasturiy ta'minot - matematik;jismoniy;
- elektron;
- Tashkiliy va qonuniy.
Ga axborot usullari aytib bering:
- Maqsadli va o'z vaqtida buzilishi axborot almashinuvi, axborotni noqonuniy to'plash va ulardan foydalanish;
- axborot resurslaridan ruxsatsiz foydalanish;
- ma'lumotni manipulyatsiya (dezinformatsiya, yashirish yoki ma'lumotlarning siqilishi);
- axborotni qayta ishlash texnologiyasini buzish.
Dasturiy ta'minot va matematik usullarga quyidagilar kiradi:
- kompyuter viruslarini joriy etish;
- dasturiy ta'minot va apparatni o'rnatish;
- avtomatlashtirilgan axborot tizimlarida ma'lumotlarni yo'q qilish yoki o'zgartirish.
Jismoniy usullarga quyidagilar kiradi:
- axborotni qayta ishlash va aloqalarni yo'q qilish yoki yo'q qilish;
- mashina yoki boshqa ommaviy axborot vositalarini yo'q qilish, yo'q qilish yoki o'g'irlash;
- kriptografik ma'lumotlarni himoya qilish dasturlari yoki apparat kalitlari va vositalarini o'g'irlash;
- xodimlarga ta'siri;
Radio elektron usullari:
- mumkin bo'lgan oq kanallarda ma'lumotni ushlab turish;
Amalga oshirish elektron qurilmalar texnik vositalar va binolarda ma'lumotni ushlab turish;
- ma'lumotlar tarmoqlari va aloqa liniyalarida ushlab turish, shifrlash va noto'g'ri ma'lumotni qo'llash;
- o'tish-kalit tizimlariga ta'sir qilish;
- aloqa liniyalari va boshqaruv tizimlarini radio-elektron blokirovka qilish.
Tashkiliy-huquqiy usullarga quyidagilar kiradi:
- axborot sohasidagi zarur normativ-huquqiy qoidalarni qabul qilish to'g'risidagi qonun hujjatlari talablariga rioya qilmaslik;
- fuqarolar va tashkilotlar uchun muhim ma'lumotlarni o'z ichiga olgan hujjatlarga kirishni noqonuniy cheklash.
Bunday tahdidlarning mohiyati, qoida tariqasida, korxonaga bir yoki boshqa zararni qo'llash uchun kamayadi.
Mumkin bo'lgan zararni namoyon qilish eng boshqacha bo'lishi mumkin:
1. Tashkilotning biznes obro'siga ma'naviy va moddiy zarar;
2. Shaxslarning shaxsiy ma'lumotlarini oshkor qilish bilan bog'liq axloqiy, jismoniy yoki moddiy zarar;
3. Muhofaza etiladigan (maxfiy) ma'lumotni oshkor qilish uchun material (moliyaviy) zarar;
4. Moddiy himoyalangan axborot resurslarini tiklash zarurligidan moddiy (moliyaviy) zarar;
5. Uchinchi tomon majburiyatlarini bajara olmasligi mumkin bo'lgan moddiy zarar (zarar);
6. Butun korxonaning ishida normaganlikdan ma'naviy va moddiy zarar.
Amalga oshirilgan tahdiddan to'g'ridan-to'g'ri zarar etkaziladi.
Xavfsizlikka tahdidlar quyidagi xususiyatlarga muvofiq tasniflanishi mumkin:
1. tahdid maqsadida. Xavfsizlikka tahdidni amalga oshirish quyidagi maqsadlarni ta'qib qilishi mumkin:
- maxfiy ma'lumotlarni buzish;
- axborotning yaxlitligini buzish;
- qoidabuzarlik (qisman yoki to'liq) ishlashi.
2. Ob'ektga ta'sir ko'rsatish printsipiga binoan:
- tizim (foydalanuvchilar, jarayon) mavzusiga ob'ektga kirish (ma'lumotlar fayllari, aloqa kanali va boshqalar) dan foydalanishdan foydalanish;
- Yashirin kanallardan foydalanish.
Yashirin kanal ostida, bu ikkita interfaol jarayonlarni xavfsizlikning xavfsizlik siyosatini buzadigan tarzda ma'lumot almashish yo'lini yaratadigan yo'lning yo'li.
3. ob'ektga ta'sirning mohiyati bilan.
Ushbu mezonga ko'ra, faol va passiv ta'sir mavjud.
Faol ta'sir har doim o'z majburiyatlari doirasidan tashqariga chiqadigan va mavjud xavfsizlik siyosatini buzadigan har qanday harakatlarning bajarilishi bilan bog'liq. Bu aniq ma'lumotlar to'plamlari, dasturlari, parolni ochish va boshqalarga kirish imkoniyati bo'lishi mumkin. Faol ta'sir tizimning holatini o'zgartirishga olib keladi va ular uchun kirish (masalan, ma'lumotlar to'plamiga) yoki yashirin kanallardan foydalangan holda amalga oshiriladi.
Passiv ta'sir foydalanuvchini kuzatib, amalga oshiriladi yon effektlar (masalan, dasturdan) ularni tahlil qiling va tahlil qiling. Ushbu turdagi tahlil asosida siz ba'zan juda qiziqarli ma'lumotlarga ega bo'lishingiz mumkin. Passiv ta'sir qilish misoli ikkita tarmoq tugunlari o'rtasidagi aloqa chizig'ini tinglash mumkin. Passiv ta'sir har doim faqat ma'lumotlarning maxfiyligini buzgan holda ulanadi, chunki u ob'ektlar va sub'ektlar bilan ob'ektlar bilan harakat qilmaydi. Passiv ta'sir tizimning holatini o'zgartirishga olib kelmaydi.

4. Himoya xatosi ko'rinishi tufayli foydalaniladi.


Ushbu tizimda biron bir xato yoki himoya vositasi bo'lsa, har qanday tahdidni amalga oshirish mumkin.
Ushbu xato quyidagi sabablardan biri bo'lishi mumkin:
- haqiqiy tizimga etarli darajada ta'minlanmagan siyosat. Bu shuni anglatadiki, rivojlangan xavfsizlik siyosati, shuning uchun ma'lumotni qayta ishlashning haqiqiy jihatlarini aks ettirmaydi, bu esa ushbu tafovutni ruxsatsiz harakatlarni amalga oshirish uchun ishlatish mumkin;
- xato ma'muriy menejmentBunday tashkilotda qabul qilingan xavfsizlik siyosatini noto'g'ri amalga oshirish yoki qo'llab-quvvatlash orqali tushuniladi. Masalan, Xavfsizlik siyosatiga ko'ra, foydalanuvchi ma'lumotlari to'plamiga kirish taqiqlangan va aslida (niqobsiz xavfsizlik ma'muri) Ushbu ma'lumotlar to'plami barcha foydalanuvchilar uchun mavjud.
- Dasturning dizayn bosqichiga yoki dasturiy kompleksda va hujjatlarda ko'rsatilganidek, ular bilan bog'liq bo'lgan narsalar va boshqalar o'rtasidagi munosabatlar va boshqalar o'rtasidagi xatolar. Ushbu xatoga misol, foydalanuvchi autentifikatsiya qilish dasturida xato bo'lishi mumkin bo'lgan xato bo'lishi mumkin. Foydalanuvchi tizimga parolsiz tizimga kirish imkoniyatiga ega.
- dasturiy ta'minotni (kodlash xatolari) amalga oshiradigan xatolar, ular amalga oshirilishi yoki disklari va boshqalarni amalga oshirish, ular hujjatsiz xususiyatlarning manbai sifatida xizmat qilishi mumkin.
5. Hujum ob'ektiga ta'sir qilish orqali (faol ta'sir bilan):
- Hujum ob'ektiga bevosita ta'sir (shu jumladan imtiyozlardan foydalangan holda), dastur, dastur, xizmat ko'rsatish, aloqa kanaliga to'g'ridan-to'g'ri kirish va boshqalarga to'g'ridan-to'g'ri kirish. Bunday harakatlar odatda erkin foydalanishni boshqarish vositalari yordamida osongina oldini oladi.
- ruxsat tizimiga ta'sir (shu jumladan imtiyozlarni olish). Bunday holda, foydalanuvchilarning hujum ob'ekti bo'yicha huquqlariga nisbatan ruxsatsiz harakatlar amalga oshiriladi va ob'ektga kirish keyinchalik amalga oshiriladi. Bunga misol, bu sizga biron bir ma'lumot to'plash va dasturni osongina kirish imkonini beradigan, xususan, foydalanuvchi boshqa foydalanuvchi vakolatlarini har qanday tarzda amalga oshiradigan "maskarad" ni egallab olishga imkon beradi.
6. Hujum ob'ektida. AIS faoliyatini buzishning eng muhim qismlaridan biri bu hujum ob'ekti, i.e. Tajovuzkorga duchor bo'lgan tizimning tarkibiy qismi. Hujum ob'ekti ta'rifi sizga qoidabuzarliklarning oqibatlarini bartaraf etish, ushbu komponentni tiklash, takroriy qoidabuzarliklarning oldini olish bo'yicha nazoratni o'rnatish va boshqalar.
7. Hujum fondiga ko'ra.
Tizimga ta'sir qilish uchun tajovuzkor standart dasturiy ta'minot yoki maxsus mo'ljallangan dasturlardan foydalanishi mumkin. Birinchi holatda, ta'sir natijalari odatda oldindan aytib bo'lmaydi, chunki ko'pchilik standart dastur Tizimlar yaxshi o'rganilmoqda. Maxsus ishlab chiqilgan dasturlardan foydalanish katta qiyinchiliklar bilan bog'liq, ammo himoyalangan tizimlarda, shuningdek, himoyalangan tizimlarda Tizim xavfsizligi ma'murining ruxsatisiz ONEOSga dasturlarni qo'shishning oldini olish tavsiya etiladi.
8. Hujum ob'ektidan. Hujum davrida ob'ektning holati hujum natijalariga sezilarli darajada ta'sir qilishi va uning oqibatlarini bartaraf etish bo'yicha ishlar olib borishi mumkin.
Hujum ob'ekti uchta holatdan birida bo'lishi mumkin:
- Saqlash - diskda, magnit lentada tasodifiy kirish xotirasi yoki passiv holatda boshqa joy. Bunday holda, ob'ektga ta'sir odatda foydalanishdan foydalanib amalga oshiriladi;
- uzatish - tarmoq tugunlari yoki tugunning ichida aloqa chizig'ida. Ta'sir uzatiladigan ma'lumotlarning parchalariga kirishni anglatadi (masalan, tarmoq esterasida paketlarni ushlash) yoki yashirin kanallardan foydalanishni tinglash;
- ishlov berish - hujum ob'ekti foydalanuvchi jarayoni bo'lgan holatlarda.
Bunday tasnif, mumkin bo'lgan tahdidlar va ularni amalga oshirish usullarini aniqlash murakkabligini ko'rsatadi. Bu yana bir bor ayvonlarning barcha tahdidlarini va ularni amalga oshirish usullarini aniqlashning iloji yo'qligini yana bir bor tasdiqlaydi.
Axborot xavfsizligi - bu o'z egasi yoki foydalanuvchiga zarar etkazishi mumkin bo'lgan tabiiy yoki sun'iy tabiatning tabiiy yoki sun'iy xususiyatlarining ta'sirini himoya qilish.

Yüklə 223,75 Kb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9   ...   19




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin