Dərs vəsaiti baki 2016 Azərbaycan Respublikası Təhsil Nazirliyi Bakı Biznes Universiteti Kərimov Kərim
Təşkilati tədbirlərin informasiya mühafizəsinin səmərəliliyində rolu. Simmetrik şifrləmənin əsas nöqsanlarının aşkar olunması
Yüklə 1,67 Mb.
|
|
14.5. Təşkilati tədbirlərin informasiya mühafizəsinin səmərəliliyində rolu. Simmetrik şifrləmənin əsas nöqsanlarının aşkar olunması.
Texniki tərəfdən informasiyanın qorunması EHM – lərin təhlükəsizliyinin qorunması, açarların (parolların) qoyulması, kriptoqrafik müdafiə vasitələri ilə həyata keçirilir. İnformasiya təhlükəsizliyi inkişaf etmiş dövlətlər tərəfindən yüksək səviyyədə həyata keçirilir. Bu isə onların informasiya müharibəsində, kommersiya məxviliklərində mühüm rol oynayır. Elmi-texniki inqilab informasiya cəmiyyətinin yaranmasına səbəb olmuşdur. Bu cəmiyyətdə informasiya və biliklər ən mühüm resurs və başlıca əmtəədir. Vətəndaşların, cəmiyyətin və dövlətin həyatında informasiyanın, informasiya resurslarının və texnologiyalarının rolunun artması informasiya təhlükəsizliyi məsələlərini ön plana çıxarır. Müasir cəmiyyət tədricən öz informasiya infrastrukturunun vəziyyətindən asılı olur. İnformasiyanın təhlükəsizliyinin təmin olunması probleminin vacibliyini və aktuallığını şərtləndirən səbəblərdən aşağıdakıları xüsusi vurğulamaq olar: şəbəkə texnologiyalarının geniş yayılması və lokal şəbəkələrin qlobal şəbəkələr halında birləşməsi; informasiya təhlükəsizliyinin pozulmasına praktik olaraq mane olmayan qlobal Internet şəbəkəsinin inkişafı; minimal təhlükəsizlik tələblərinə belə cavab verməyən proqram vasitələrinin geniş yayılması. Kağızsız texnologiya və onun inkişaf mərhələləri Elmdə, istehsalatda, mədəniyyətdə, biznesdə və digər sahələrdə informasiya axınlarının artması informasiya texnologiyaları tərəfindən də adekvat addımların atılması zərurəti yaranmışdır. Bu gün kağız üzərində olan informasiyalar elektron sənədlərdə olan informasiyalardan az dinamikdir və onların əldə olunmasındada müxtəlif maneələr vardır. Kağızsız texnologiya konsepsiyası on illiklərlə təkmilləşdirilməsinə baxmayaraq bu ideya qərb ölkələrində bu gündə tam istifadə olunmur. Burada müxtəlif səbəblər vardır. Birincisi – problemin psixoloji aspekti vardır. Elektron formada sənədin alınması televiziyadan alınan informasiya kimi vərdiş halını almalıdır. İkincisi – kağızsız texnologiya təhlükəsiz, yüksək buraxılış qabiliyyəti şəbəkə və keyfiyyətli texniki baza tələb edir. Üçüncüsü – kağızsız texnologiyanın ciddi hüquqi təminatı olmalıdır. Bu gün respublikada az təşkilatlar tapılır ki, elektron sənədi qəbul və təsdiq etsin. Qeyd edək ki, kağızsız texnologiya sahəsində informasiyalaşmanın inkişafı yaxın gələcəkdə qlobal şəkildə olmasada, lokal variantlarda perespektivlər vəd edir. Burada əsasən bank – maliyyə və hüquqi sahədə irəlləyişlər olacaqdır. Kağızsız texnologiyanın aktuallığı cəmiyyətin inkişafı üçün mühüm katalizator rolunu oynadığından hüquqşünaslar – kağızsız texnologiyanın dünəni, bu günü və sabahı, kağızsız texnologiyanın kommunikasiya əsasları, hüquqi aspektləri, neqativ nəticələrini və digər mövzuları dərindən araşdırmalıdırlar. Qanunvericilik səviyyəsində hüquqi aktlar və standartlar xüsusi diqqətə layiqdir. Standartların arasında «Narıncı kitab», X.800 tövsiyələri, ISO 15408 («Ümumi meyarlar»), ISO 17799 standartları daha geniş yayılıb. İnzibati tədbirlərin əsas məqsədi təşkilatda informasiya təhlükəsizliyi sahəsində tədbirlər proqramını formalaşdırmaq və onun yerinə yetirilməsini zəruri resurslar ayırmaqla və işlərin vəziyyətinə nəzarət etməklə yerinə yetirilməsini təmin etməkdir. Tədbirlər proqramının əsasını təşkilatın öz informasiya aktivlərinin mühafizəsinə yanaşmasını əks etdirən informasiya təhlükəsizliyi siyasəti təşkil edir. İnformasiya təhlükəsizliyi siyasəti – təşkilatda məxfi verilənlərin və informasiya proseslərinin mühafizəsi üzrə qabaqlayıcı tədbirlər kompleksidir. İnformasiya təhlükəsizliyi siyasətinin işlənməsinin əsas istiqamətləri aşağıdakılardır: hansı verilənləri və hansı ciddiyyətlə mühafizə etmək lazım olduğunu müəyyənləşdirmək; müəssisəyə informasiya aspektində kimin və nə həcmdə ziyan vura biləcəyini müəyyənləşdirmək; risklərin hesablanması və onların qəbuledilən səviyyəyədək azaldılması sxeminin müəyyən edilməsi; planlaşdırılan bütün texniki və inzibati tədbirlərin təsviri; baxılan proqramın iqtisadi qiymətinin hesablanması; müəssisənin rəhbərliyi tərəfindən təsdiq olunma və sənədləşdirmə; həyata keçirilmə. Təşkilati tədbirlər informasiya mühafizəsinin səmərəli vasitələrindən biri olmaqla yanaşı, qurulan bütün mühafizə sistemlərinin əsasını təşkil edir. Təşkilati tədbirlər aşağıdakı mövzuları əhatə edir: şəxsi heyətin idarə olunması; fiziki mühafizə; sistemin iş qabiliyyətinin saxlanması; təhlükəsizlik rejiminin pozulmasına reaksiya; bərpa işlərinin planlaşdırılması. Biz aşağıdakı proqram–texniki tədbirləri nəzərdən keçirəcəyik: identifikasiya və autentikasiya, icazələrin idarə olunması, protokollaşdırma və audit, kriptoqrafiya, ekranlaşdırma. İdentifikasiya və autentikasiya. İdentifikasiya (ingilis dilində identification) istifadəçiyə (və ya müəyyən istifadəçinin adından fəaliyyət göstərən prosesə) özünü adlandırmağa (öz adını bildirməyə) imkan verir. Heş-funksiyanın xassələri elədir ki, onun köməyi ilə alınan heş-kod məlumatla “möhkəm” bağlı olur. Məlumatın hətta bir biti dəyişdikdə belə heş-kodun bitlərinin yarısı dəyişir. Heş-funksiyaya misal olaraq MD2, MD4, MD5, RIPEMD, SHA1 və s. alqoritmlərini göstərmək olar. Elektron imza elektron formada olan verilənlər blokudur, digər verilənlərlə (elektron sənəd, proqram faylları və s.) məntiqi əlaqəli olur və həmin verilənlərin müəllifini birqiymətli identifikasiya etməyə imkan verir. Rəqəmsal imza elektron imzanın növlərindən biridir, müəllifin identifikasiyasından savayı bir neçə əlavə funksiyanı həyata keçirir. Rəqəmsal imza adətən asimmetrik kriptoqrafiyaya əsaslanır. Rəqəmsal imza konkret məlumata (mətnə, fayla və ya ixtiyari uzunluqlu istənilən bitlər yığınına) əlavə olunan və aşağıdakı funksiyaları təmin etməyə imkan verən sabit uzunluqlu informasiya blokudur: məlumatın müəllifinin identifikasiyası və autentikasiyası; məlumatın bütövlüyünə nəzarət; məlumatın müəllifliyindən imtinanın qeyri-mümkünlüyünə zəmanət. Məlumatın rəqəmsal imzası məlumatın özündən və imzalayanın gizli açarından asılıdır. Rəqəmsal imza iki alqoritm ilə realizə edilir: rəqəmsal imzanın yaradılması alqoritmi və rəqəmsal imzanın yoxlanılması alqoritmi. Rəqəmsal imza alqoritmlərinə misal olaraq RSA, DSA, ECDSA, ElGamal, Şnorr, QOST R 34.10-2001 və s. alqoritmlərini göstərmək olar. Rəqəmsal imzanın iş prinsipi. Açıq açarlı kriptoqrafiya əsasında rəqəmsal imzanın iş prinsipinə baxaq. Tutaq ki, hər hansı A istifadəçisi müəyyən məlumatı imzalamalıdır. Bunun üçün o, heş-funksiyanın köməyi ilə bu məlumatın heş-kodunu hesablayır və onu özünün gizli açarı ilə şifrləyir. Şifrlənmiş heş-kod məlumata əlavə edilir. Beləliklə, məlumatın rəqəmsal imzası alınır. Sistemin istənilən iştirakçısı imzalanmış sənədi aldıqda A istifadəçisinin imzasını yoxlaya bilər. Bunun üçün o, heş-funksiyanın köməyi ilə alınmış məlumatın heş-kodunu yaradır. Sonra məlumata birləşdirilmiş şifrlənmiş heş-kodu A istifadəçisinin açıq açarı ilə deşifrə edir və alınmış deşifrə edilmiş heş-kodu özünün yaratdığı heş-kodla müqayisə edir. Onlar üst-üstə düşürlərsə, imza həqiqi hesab olunur. Əks halda imza rədd olunur. Gizli açar yalnız A istifadəçisinə məxsus olduğundan aydındır ki, məlumatı da yalnız o imzalaya bilərdi. Şifrləmənin simmetrik və asimmetrik adlanan iki əsas üsulu var. Simmetrik şifrləmə üsulunda eyni açar (gizli saxlanılan) həm məlumatı şifrləmək, həm də deşifrləmək üçün istifadə olunur. Olduqca effektiv (sürətli və etibarlı) simmetrik şifrləmə metodları var. Simmetrik şifrləmə alqoritmlərindən DES, 3-DES, IDEA, FEAL, Skipcack, RC2, RC4, RC5, CAST, Blowfish kimi blok şifrləri və bir sıra axın şifrləri (RC4, A5) daha geniş istifadə olunur. Simmetrik şifrləmənin əsas nöqsanı ondan ibarətdir ki, məxfi açar həm göndərənə, həm də alana məlum olmalıdır. Bu bir tərəfdən məxfi açarların tam məxfi kanalla göndərilməsi problemini yaradır. Digər tərəfdən alan tərəf şifrlənmiş və deşifrlənmiş məlumatın varlığı əsasında bu məlumatı konkret göndərəndən almasını sübut edə bilməz. Çünki belə məlumatı o özü də yarada bilər. Yüklə 1,67 Mb. Dostları ilə paylaş:
|