Internetda axborotlarni himoya qilish va axborot xavfsizligi-fayllar.org
II.XIMOYALANGAN KANAL TEXNOLOGIYASI. 2.1.Xavfsizlik siyosati. Yuqorida aytilganidek axborotlarning himoyasini ikki masalaga ajratish mumkin: axborotlarni kompyuter ichida himoya qilish va axborotlarni bir kompyuterdan boshqasiga uzatish jarayonida himoyalash. Axborotlarni ommaviy tarmoqdan uzatish jarayonida himoyalashni taminlash uchun turli himoyalangan kanallar texnologiyasidan foydalaniladi.
Himoyalangan kanal texnologiyasi ochiq transport tarmoqlarida axborotlarni himoyalash uchun mо’ljallangan, masalan Internetda. Himoyalangan kanal asosan uchta vazifani bajaradi deb bilinadi:
ulanishlar о’rnatilgach abonentlar bir-birini tanishi (audentifikatsiya), masalan buni parollarni almashish orqali amalga oshirish mumkin;
kanaldan uzatilayotgan xabarlarni ruxsat etilmagan ega bо’lishdan himoyalash, shifrlash orqali;
kanaldan kelayotgan xabarning butunligini tasdiqlash, masalan, xabar bilan birga uning nazorat bitlar yig’indisini uzatish yо’li orqali.
Korxona tomonidan ommaviy tarmoq orqali tarqalgan о’z bо’limlarini birlashtirish uchun hosil qilingan himoyalangan kanallar tо’plamini kо’pincha virtual xususiy tarmoq (Virtual Private Network – virtualnoy chastnoy setyu, VPN) deb ataladi.
Himoyalangan kanal texnologiyasini turlicha joriy etilishi mavjut, ular, xususan, OSI modelining turli bosqichlarida ishlashi mumkin. Kо’p tanilgan SSL protokoli OSI modelining taqdimot bosqichiga tо’g’ri keladi. IPSee protokoli barcha vazifalarni inobatga olgan – bir-birini tanish, shifrlash, butunlik hisoblanadi.
Yuqorida aytilganidek axborotlarning himoyasini ikki masalaga ajratish mumkin: axborotlarni kompyuter ichida himoya qilish va axborotlarni bir kompyuterdan boshqasiga uzatish jarayonida himoyalash. Axborotlarni ommaviy tarmoqdan uzatish jarayonida himoyalashni taminlash uchun turli himoyalangan kanallar texnologiyasidan foydalaniladi.
Himoyalangan kanal texnologiyasi ochiq transport tarmoqlarida axborotlarni himoyalash uchun mо‗ljallangan, masalan Internetda. Himoyalangan kanal asosan uchta vazifani bajaradi deb bilinadi:
ulanishlar о‗rnatilgach abonentlar bir-birini tanishi (audentifikatsiya), masalan buni parollarni almashish orqali amalga oshirish mumkin;
kanaldan uzatilayotgan xabarlarni ruxsat etilmagan ega bо‗lishdan himoyalash, shifrlash orqali;
kanaldan kelayotgan xabarning butunligini tasdiqlash, masalan, xabar bilan birga uning nazorat bitlar yig’indisini uzatish yо’li orqali.
Korxona tomonidan ommaviy tarmoq orqali tarqalgan о’z bо‗limlarini birlashtirish uchun hosil qilingan himoyalangan kanallar tо’plamini kо’pincha virtual xususiy tarmoq (Virtual Private Network – virtualnoy chastnoy setyu, VPN) deb ataladi.
Himoyalangan kanal texnologiyasini turlicha joriy etilishi mavjut, ular, xususan, OSI modelining turli bosqichlarida ishlashi mumkin. Kо’p tanilgan SSL protokoli OSI modelining taqdimot bosqichiga tо’g’ri keladi. IPSee protokoli barcha vazifalarni inobatga olgan – bir-birini tanish, shifrlash, butunlik, ular
xavfining darajasini kamaytirish maqsadida tarmoq maʻmurlari odatda parollarni tayinlash va ishlatish siyosatini hosil qilish uchun joylashtirilgan dasturiy vositalarni qо’llaydilar va shu jumladan parollarni maksimal va minimal ishlatish vaqtlarini, ishlatilib bо’lingan parollar rо’yxatini saqlash, bir necha muvofaqiyatsiz mantiqiy kirishdan sо’ng tizimni tutishini boshqarish va hokazolarni ham.Tarmoqdan parolni qonundan tashqari olishni ularni uzatishdan oldin shifrlash orqali ogohlantirish mumkin. Shunga qaramay parol tarmoq xavfsizligining eng nozik zvenosi bо’lib qoladi, chunki parolni bilgach har doim о’zini boshqa о’rnida tavsiya etish mumkin.
Foydalanuvchining ochiq ekanligini (qonuniy ekanini) turli tizimlarga nisbattan aniqlash mumkin. Tarmoqda ishlaydigan foydalanuvchi autentifikatsiya jaroyonidan о’tishi mumkin va alohida foydalanuvchi sifatida faqat shu kompyuter resurslariga talabgor o’rnida hamda tarmoqdan foydalanuvchi sifatida, tarmoqning barcha resurslariga ega bо’lishni hoxlovchi о’rnida tekshiruvdan о’tadi. Alohida autentifikatsiyada foydalanuvchi о’zining identifikatori va parolini kritadi, ularga ushbu kompyuterga о’rnatilgan operatsion tizim alohida ishlov beradi. Tarmoqqa mantiqiy kirilganda foydalanuvchi haqidagi ma‘lumotlar (identifikatori va paroli) serverga uzatiladi, u tarmoqning barcha foydalanuvchilarini hisobga olingan yozuvlarini saqlaydi. Kо’p ilovalar о’zining foydalanuvchini ochiqligini aniqlovchi vositalariga ega bо’ladilar va shunda foydalanuvchi qо’shimcha tekshiruv bosqichidan о’tishiga tо’g’ri keladi.
Autentifikatsiyani talab etuvchi obyekt sifatida nafaqat foydalanuvchi bо'lishi mumkun,turli qurilmalar, ilovalar, ma‘tinli va boshqa axborot ham bо’lishi mumkin. Masalan, korporativ serverga sо’rov bilan murojot etayotgan foydalanuvchi о’zini ochiq ekanligini isbotlashi kerak va yana shuningdek u haqiqatdan о’z korxonasining serveri bilan muloqot olib borayotganligi haqida ishonch hosil qilishi ham kerak. Boshqacha sо’z bilan aytganda, server va mijoz bir-birini audentifikatsiya jaroyonidan o’tishlari kerak. Bu yerda biz ilova
darajasidagi audentifikatsiya bilan ish kо’rdik. Ikki qurilma ortasidagi aloqa о’rnatishda ham kо’pincha о’zaro audentifikatsiya jaroyoni inobatga olinadi, lekin ancha quyi kanal darajasida. Axborotlarni audentifikatsiyalash esa bu axborotlarni butunligini va bu axborotlar aynan e‘lon qilgan odamdan ekanligini isbotlashdan iborat. Buning uchun elektron imzo mexanizmi ishlatiladi.
Hisoblash tarmoqlarida audentifikatsiyalash amali kо’pincha mualliflashtirish amalini joriy etuvchi dasturiy vositalar tomonidan bajariladi. Ochiq yoki yashirinchi foydalanuvchilarni aniqlash uchun mо’ljallangan audentifikatsiyalashdan farqli, mualliflashtirish tizimi esa audentifikatsiyalash amalidan muvaffaqiyatli о’tgan faqat ochiq foydalanuvchilar bilan ishlaydi.
Mualliflashtirish (authorization, avtorizatsiya) vositalari aloxida foydalanuvchilarni tizim resurslariga ega bо’lishlarini nazorat qiladilar, yaʻni ulardan xar biriga mamur tomonidan aynan unga berilgan huquqni havola qilish orqali. Foydalanuvchilarga kataloglarga, fayllarga va printerlarga ega bо’lish huquqini havola qilishdan tashqari, mualliflashtirish tizimi foydalanuvchi tomonidan bajarilishi mumkin bо’lgan turli tizimli vazifalarni nazorat qilishi mumkin, masalan serverga alohida kirishni, tizim vaqtini о’rnatishni, axborotlarni zaxira nusxalarini yaratishni, serverni yoqishni va hokazolarni.
Mualliflashtirish amali dasturiy vositalar tomonidan bajariladi, ular operatsion tizimga yoki ilovaga joylashtirilishi ham mumkin, shuningdek alohida dasturiy maxsulot sifatida ham yetkazib beriladi.
Audit (auditing) – bu himoyalanayotgan tizim resurslariga ega bо’lish bilan bog’liq voqealarni tizim jurnaliga qayd qilish. Zamonaviy operatsion tizimlarning audit tizimostilarida qulay grafik interfeys yordamida ma‘murni qiziqtirgan voqealar rо’yxatini jamlangan holda berish imkoniyati mavjud. Hisobga olish va kuzatish vositalari xavfsizlik bilan bog’liq bо’lgan yoki muhim voqealarni yoki tizim resurslarini yо’q qilishga, ega bо’lishga va yangisini yaratishga bо’lgan har qanday urinishni topadi va qayd qilish imkoniyatini ta‘minlaydi. Audit
darajasidagi audentifikatsiya bilan ish kо’rdik. Ikki qurilma о’rtasidagi aloqa о’rnatishda ham kо’pincha о’zaro audentifikatsiya jaroyoni inobatga olinadi, lekin ancha quyi kanal darajasida. Axborotlarni audentifikatsiyalash esa bu axborotlarni butunligini va bu axborotlar aynan e‘lon qilgan odamdan ekanligini isbotlashdan iborat. Buning uchun elektron imzo mexanizmi ishlatiladi.
Hisoblash tarmoqlarida audentifikatsiyalash amali kо’pincha mualliflashtirish amalini joriy etuvchi dasturiy vositalar tomonidan bajariladi. Ochiq yoki yashirinchi foydalanuvchilarni aniqlash uchun mо’ljallangan audentifikatsiyalashdan farqli, mualliflashtirish tizimi esa audentifikatsiyalash amalidan muvaffaqiyatli о’tgan faqat ochiq foydalanuvchilar bilan ishlaydi.
Mualliflashtirish (authorization, avtorizatsiya) vositalari aloxida foydalanuvchilarni tizim resurslariga ega bо’lishlarini nazorat qiladilar, yaʻni ulardan xar biriga mamur tomonidan aynan unga berilgan huquqni havola qilish orqali. Foydalanuvchilarga kataloglarga, fayllarga va printerlarga ega bо’lish huquqini havola qilishdan tashqari, mualliflashtirish tizimi foydalanuvchi tomonidan bajarilishi mumkin bо’lgan turli tizimli vazifalarni nazorat qilishi mumkin, masalan serverga alohida kirishni, tizim vaqtini о’rnatishni, axborotlarni zaxira nusxalarini yaratishni, serverni yoqishni va hokazolarni.
Mualliflashtirish amali dasturiy vositalar tomonidan bajariladi, ular operatsion tizimga yoki ilovaga joylashtirilishi ham mumkin, shuningdek alohida dasturiy maxsulot sifatida ham yetkazib beriladi.
Audit (auditing) – bu himoyalanayotgan tizim resurslariga ega bо’lish bilan bog’liq voqealarni tizim jurnaliga qayd qilish. Zamonaviy operatsion tizimlarning audit tizimostilarida qulay grafik interfeys yordamida ma‘murni qiziqtirgan voqealar rо’yxatini jamlangan holda berish imkoniyati mavjud. Hisobga olish va kuzatish vositalari xavfsizlik bilan bog’liq bо’lgan yoki muhim voqealarni yoki tizim resurslarini yо’q qilishga, ega bо’lishga va yangisini yaratishga bо’lgan har qanday urinishni topadi va qayd qilish imkoniyatini ta‘minlaydi. Audit
Tarmoqning xavfsizlik xizmatlarini tashkil etishda axborot xavfsizlik siyosatini juda diqqat bilan ishlab chiqish talab etiladi, ular bir necha asos tamoyillarni о’z ichiga oladi.
Korxonaning har bir xizmatchisiga uning mansabidan kelib chiqqan holda о’z xizmatini bajarish uchun kerak bо’ladigan axborotlarga ega bо„lish ustunligiga minimal darjasida ruxsat etishni xavola qilish kerak.
Xavfsizlikni ta’minlashga tizimli yondoshishdan foydalanish. Xavfsizlik vositalarini kо’p marotaba zaxiralashning himoya tizimi ma‘lumotlarni saqlanib qolish ehtimolini oshiradi. Masalan, himoyalashni jismoniy vositalari (yopiq bino, bloklanuvchi kalitlar) foydalanuvchini faqat unga biriktirilgan kompyuter bilan bevosita muloqotini chegaralash, joylashtirilgan tarmoq OT vositalari (mualliflashtirish va autentifikatsiya tizimi) begona foydalanuvchilarni tarmoqqa kirishini bartaraft etadi, tarmoqdan foydalanishga ruxsati bor foydalanuvchilarni esa faqat unga ruxsat etilgan operatsiyalarni amalga oshirishi bо’yicha chegaralaydi (audit tizim ostisi uning xarakatlarini qayd qiladi).
Yagona nazorat-о„tkazish shaxobchasining mavjudligi. Ichki tarmoqqa kiruvchi barcha va tashqi tarmoqqa chiquvchi trafik tarmoqning yagona tugunidan amalga oshirilishi kerak, masalan, tarmoqlar aro ekrandan yoki brandmauer (firewall). Faqat shu trafikni yetarli darajada nazorat qilishga imkon beradi. Aks holda, qachonki tarmoqda kо’p foydalanuvchilarning ish stansiyasi bо’lsa va ular tashqi tarmoqqa nazoratsiz chiqa oladigan bо’lsa, u holda ichki tarmoq foydalanuvchilarining tashqi serverlarga ega bо’lish va teskarisini – tashqi mijozlarning ichki tarmoq resurslariga ega bо‗lish huquqini chegaralashni amalga oshirish xamda boshqarish juda qiyin bо’ladi.
Barcha bosqichlarning ximoyasini ishonchliligini muvozanati (kо’p bosqichli himoya tizimi mavjud bо’lgan taqdirda). Agarda tarmoqda barcha
Tarmoqning xavfsizlik xizmatlarini tashkil etishda axborot xavfsizlik siyosatini juda diqqat bilan ishlab chiqish talab etiladi, ular bir necha asos tamoyillarni о’z ichiga oladi.
Korxonaning har bir xizmatchisiga uning mansabidan kelib chiqqan holda о’z xizmatini bajarish uchun kerak bо’ladigan axborotlarga ega bо„lish ustunligiga minimal darjasida ruxsat etishni xavola qilish kerak.
Xavfsizlikni ta‟minlashga tizimli yondoshishdan foydalanish. Xavfsizlik vositalarini kо’p marotaba zaxiralashning himoya tizimi ma‘lumotlarni saqlanib qolish ehtimolini oshiradi. Masalan, himoyalashni jismoniy vositalari (yopiq bino, bloklanuvchi kalitlar) foydalanuvchini faqat unga biriktirilgan kompyuter bilan bevosita muloqotini chegaralash, joylashtirilgan tarmoq OT vositalari (mualliflashtirish va autentifikatsiya tizimi) begona foydalanuvchilarni tarmoqqa kirishini bartaraft etadi, tarmoqdan foydalanishga ruxsati bor foydalanuvchilarni esa faqat unga ruxsat etilgan operatsiyalarni amalga oshirishi bо’yicha chegaralaydi (audit tizim ostisi uning xarakatlarini qayd qiladi).
Yagona nazorat-о„tkazish shaxobchasining mavjudligi. Ichki tarmoqqa kiruvchi barcha va tashqi tarmoqqa chiquvchi trafik tarmoqning yagona tugunidan amalga oshirilishi kerak, masalan, tarmoqlar aro ekrandan yoki brandmauer (firewall). Faqat shu trafikni yetarli darajada nazorat qilishga imkon beradi. Aks holda, qachonki tarmoqda kо’p foydalanuvchilarning ish stansiyasi bо’ib va ular tashqi tarmoqqa nazoratsiz chiqa oladigan bо’lsa, u holda ichki tarmoq foydalanuvchilarining tashqi serverlarga ega bо’lish va teskarisini – tashqi mijozlarning ichki tarmoq resurslariga ega bо’lish huquqini chegaralashni amalga oshirish xamda boshqarish juda qiyin bо’ladi.
Barcha bosqichlarning ximoyasini ishonchliligini muvozanati (kо‗p bosqichli himoya tizimi mavjud bо’lgan taqdirda). Agarda tarmoqda barcha
Hatto hech qachon bulutli xotirani olishga harakat qilmaganlar ham, turli serverlarda bir necha gigabaytga ega bo'lishlari mumkin. Masalan, Android operatsion tizimiga ega smartfon egalari (shuningdek, foydalanuvchilar Gmail pochtasi) sukut bo'yicha Google Drive-da 15 GB mavjud. Windows 8, 8.1 va 10 kompyuter egalari kamida 5 GB OneDrive’ga ega. Gigabayt bulutli saqlash va pochta foydalanuvchilari Mail.ru (8 GB) yoki Yandex.Mail (10 GB) mavjud. Va o'rtacha foydalanuvchi ushbu xizmatlarning deyarli barchasida hisob qaydnomalariga ega bo'lganligi sababli, bunday foydalanuvchi ko'p harakat qilmasdan 30 Gb dan ortiq bepul bulutli xotiraga ega. Agar so'ralsa, ushbu hajmni ikki yoki uch baravar oshirish oson, shuningdek, mutlaqo bepul - bir xil xizmatlarda qo'shimcha hisoblar yaratish yoki boshqa shunga o'xshash omborlarda ro'yxatdan o'tish orqali. Biroq, katta hajmdagi xotira kerak bo'lgan holatlar mavjud va bir nechta turli xizmatlarni almashtirish noqulay.
Aslida, juda ko'p saqlash joyiga ega bitta hisob qaydnomasiga ega bo'lish ko'p hollarda qulaydir. Bulutli saqlash arxivlar yoki muhim fayllarning zaxira nusxasini yaratish uchun juda yaxshi imkoniyatdir, chunki yirik IT-kompaniyalarning serverlari turli xil apparat nosozliklari va xakerliklaridan, shuningdek, o'zlarining tashqi manbalaridan yaxshi himoyalangan. qattiq disk yo'qolishi yoki muvaffaqiyatsiz bo'lishi mumkin. Bulutli saqlash ham bir-biridan uzoqda bo'lgan foydalanuvchilar fayllari bilan hamkorlikda almashtirib bo'lmaydi. Agar siz tez-tez fayllarni do'stlaringiz va tanishlaringiz bilan bo'lishishingiz kerak bo'lsa (yoki mijozlar bilan - masalan, fotograf), bulutda juda ko'p joy ham zarar qilmaydi. Va ba'zida bulutli saqlash jismoniy xotiradan ko'ra maxfiy ma'lumotlarni saqlash uchun ishonchli joydir (garchi har doim ham emas va faqat ehtiyotkorlik bilan shifrlangan shaklda).
Maqsadlar bor turli xil xususiyatlar, shuning uchun bitta vazifa uchun yaxshi ishlaydigan narsa (masalan, hamkorlik) boshqasi uchun yaxshi ishlamaydi (qimmatli ma'lumotlarni zaxiralash).