MÖvzu informasiyanin təHLÜKƏSİZLİYİ problemləRİ
Yüklə 18,48 Mb.
|
|
|
|
İNFORMASİYA TƏHLÜKƏSİZLİYİ HƏDƏLƏRİNİN TƏHLİLİ |
Təhlükə (və ya hədə) dedikdə (ümumi mənada) adətən kiminsə marağına ziyan vura biləcək potensial mümkün hadisələr (təsirlər, proseslər və ya qəziyyələr) başa düşülür. İnformasiyanın təhlil edilməsi üçün istifadə olunan avtomatlaşdırılmış sistemlərin təhlükəsizliyinə edilən hədələr dedikdə avtomatlaşdırılmış sistemlərə edilən mümkün təsirlər başa düşülür. Bu hədələr informasiyanın təhlil edilməsi üçün istifadə olunan avtomatlaşdırılmış sistemlərin təhlükəsizliyinə birbaşa və ya bilavasitə ziyan vura bilirlər.
İndiki zamanda avtomatlaşdırılmış sistemlərin informasiya təhlükəsizliyinə edilən hədələrin yüzlərlə mövqedən ibarət olan geniş siyahısı mövcuddur. İnformasiya təhlükəsizliyinin araşdırılan mümkün hədələri yaradılmış müdafiə sisteminə edilən tələblərin tam şəkildə müəyyən olunması məqsədilə həyata keçirilir.
Hədələrin siyahısı, onların realizə olunma ehtimalının qiymətləndirilməsi, həmçinin pozucunun modeli mahiyyət etibarı ilə hədələrin realizə edilmə riskinin təhlilinə və avtomatlaşdırılmış sistemlərin müdafiə sisteminin formalaşmasına qoyulan tələblərə qulluq edir. Aydınlaşdırılmış mümkün hədələrdən başqa yaranma səbəblərinə görə təsnif olunan hədələrin də təhlil edilməsi məqsədəuyğundur. Təsnifatın hər bir əlaməti müdafiə sisteminə edilən ümumiləşdirilmiş tələblərin istənilən birini əks etdirir. Təsnifatın istənilən əlamətinə uyğun olan hədələr bu əlamətlərə qoyulan tələblərin təfsilatı ilə göstərilməsinə imkan yaradır.
Avtomatlaşdırılmış sistemlərin informasiya təhlükəsizliyinə edilən hədələrin təsnif edilməsi onunla bağlıdır ki, müasir avtomatlaşdırılmış sistemlərdə yaddaşda saxlanılan və təhlil olunan informasiya son dərəcə çoxlu sayda təsirlərə meyllidir. Nəticədə hədələr çoxluğunu formalaşdırmaq çətinlik yaradır.
Avtomatlaşdırılmış sistemlərdə informasiya təhlükəsizliyinə edilən mümkün hədələr aşağıdakı kimi təsnif olunur:
1.Yaranma təbiətinə görə:
Təbii hədələr – obyektiv fiziki proseslər və ya qarşısı alınmaz təbii hadisələrin avtomatlaşdırılmış sistemlərə təsiri nəticəsində baş verənlər;
Sini hədələr – avtomatlaşdırılmış sistemlərin təhlükəsizliyinə insanın fəaliyyəti nəticəsində edilən hədələr.
2.Qəsdən edilmiş hədələrin aydınlaşma dərəcəsinə görə:
Personalın səhlənkarlığı və ya səhvi üzündən baş verən hədələr – müdafiə sistemindən istifadə edən şəxsin bu işə səriştəsizliyi üzündən və ya verilənlərin səhvən daxil edilməsi səbəbindən və s. baş verənlər;
Qəsdən edilmiş hədələrin fəaliyyəti – pisniyyətli insanların fəaliyyəti və s.
3.Hədələrin bilavasitə mənbəyinə görə:
Təbiət hadisələri – təbii fəlakətlər, maqnit fırtınaları və buna bənzərlər;
İnsan faktoru – personalın pulla ələ alınması, verilənlərin məxfiliyinin açıqlanması və i.a.;
Proqram-aparat vasitələrindən istifadəyə icazənin verilməsi - iş prosesində əməliyyat sisteminin imtina etməsi, verilənlərin kanarlaşdırılması və s.;
Proqram-aparat vasitələrindən istifadəyə icazənin verilməməsi – istifadə olunan kompüterin dağıtma xüsusiyyətinə malik olan virusa yoluxması.
4.Hədələr mənbəyinin mövqeyinə görə:
Avtomatlaşdırılmış sistemlərin nəzarət zonasından kanar – rabitə kanalları ilə ötürülən verilənlərin tutulması, kanarda işləyən elektromaqnit, akustik və digər şüalandırıcı qurğuların təsirinin “yaxalanması”;
Avtomatlaşdırılmış sistemlərin nəzarət zonasına daxil olan – qulaq asıcı qurğuların istifadə olunması, möhürlənmiş məlumatların, yazıların, qeydlərin, informasiya daşıyıcılarının oğurlanması və buna bənzərlər;
Bilavasitə avtomatlaşdırılmış sistemlərdən istifadə - avtomatlaşdırılmış sistemlərin resurslarından kobud şəkildə istifadə edilməsi.
5.Avtomatlaşdırılmış sistemlərin aktivliyindən asılılıq dərəcəsinə görə:
Avtomatlaşdırılmış sistemlərin aktivliyindən asılı olmayan – informasiyanın kriptomüdafiə şriftlərinin aşkara çıxarılması;
Ancaq verilənlərin təhlil olunma prosesində - proqram viruslarının yayılması və hədələrin həyata keçirilməsi;
6.Avtomatlaşdırılmış sistemlərə təsirin asılılıq dərəcəsinə görə;
Passiv hədələr – realizə edilən zaman belə hədələr avtomatlaşdırılmış sistemlərdə heç bir dəyişiklik apara bilmir (məsələn, məxfi sənədlərin surətinin alınması zamanı edilən hədələr);
Aktiv hədələr – avtomatlaşdırılmış sistemlərə təsir göstərən zaman onun məzmununu və strukturunu dəyişir (məsələn, virusların və “Troya atı”nın sistemə daxil edilməsi).
7.Avtomatlaşdırılmış sistemlərin resurslarına (ehtiyat hissələrinə) proqramların və ya istifadəçilərin əlçatanlıq mərhələləri:
Avtomatlaşdırılmış sistemlərə əlçatanlıq mərhələlərində təzahür edən hədələr – avtomatlaşdırılmış sistemlərə daxil olmasına icazə verilməyən hədələr;
Avtomatlaşdırılmış sistemlərin resurslarına daxil olmasına icazə verildikdən sonra özünü təzahür edən hədələr – icazə verilməmiş və ya təshih edilməmiş hədələr.
8.Avtomatlaşdırılmış sistemlərin resurslarına daxil olma üsullarına görə:
Avtomatlaşdırılmış sistemlərin resurslarına daxil olmaq üçün standart yollardan istifadə etməklə həyata keçirilən hədələr – qeydiyyatdan keçmiş istifadəçinin qeyri-qanuni yolla parolunu (və ya informasiyanın əldə olunmasına qoyulmuş digər rekvizitlərin) əldə etmək üçün maskalanması;
Avtomatlaşdırılmış sistemlərin resurslarına daxil olmaq üçün gizli və qeyristandart yollardan istifadə etməklə həyata keçirilən hədələr – icazə verilməmiş yollardan istifadə etməklə avtomatlaşdırılmış sistemin resurslarına daxil olmaq üçün əməliyyat sisteminin sənədləşdirilməmiş imkanlarından istifadə edilməsi;
9.Avtomatlaşdırılmış sistemlərdə saxlanılan və təhlil olunan informasiyanın cari yerləşmə yerindən istifadə olunmasına görə:
Xarici yaddaş qurğularında saxlanılan informasiyaya daxil olmağa cəhd göstərməklə edilən hədələr – sərt diskdəki məxfi informasiyanın icazə verilmədikdə belə surətinin alınması;
Operativ yaddaşda (Əməli yaddaşda) saxlanılan informasiyaya daxil olmağa cəhd göstərməklə edilən hədələr – operativ yaddaşdan qalıq informasiyanın oxunması, tətbiqi proqramlardan bəhrələnməklə operativ yaddaşın sistem sahələrinə daxil olma;
Rabitə xətlərində dövr edən informasiyaya əlyetənliyi həyata keçirməklə yerinə yetirilən hədələr – rabitə xətlərinə qeyri-qanuni yolla qoşulmaqla yalan (səhv) informasiyaları rabitə xəttinə daxil etmək və ya ötürülən informasiyanı modifikasiya etmək, rabitə xəttinə qeyri-qanuni yolla qoşulmaqla rabitə xəttindən qanuni yolla istifadə edən istifadəçini aldatmaq, lazım gəldikdə onun adından (parolundan) istifadə etmək, istifadəçini çaşdırmaq məqsədi ilə yalan informasiyaları ona göndərmək;
Terminallarda və ya printerdə çap edilən informasiyaya daxil olmaqla yerinə yetirilən hədələr – gizli kameralardan alınmış informasiyaların yazılması.
Öndə qeyd edildi ki, avtomatlaşdırılmış sistemlərə təsir göstərən təhlükəli (xətərli) hədələri təsadüfi və düşünülmüş hədələrə bölürlər. Avtomatlaşdırılmış sistemlərin layihələndirilməsi, hazırlanması və istismarı göstərir ki, onların istifadə olunduğu bütün dövr ərzində onlarda istifadə olunan informasiya müxtəlif xarakterli təsadüfi təsirlərə məruz qalır.
Avtomatlaşdırılmış sistemlərin istismarı zamanı əmələ gələn təsadüfi hədələrin yaranmasına aşağıdakılar səbəb ola bilər:
Baş vermiş təbii hadisə və elektrik gərginliyinin təsadüfən kəsilməsi nəticəsində baş vermiş qəza vəziyyəti;
İstifadə edilən aparatların işdən çıxması və işləməkdən imtina etməsi;
Proqram təminatında yaranmış nasazlıqlar;
Sistemə xidmət göstərən xidmət personalının və sistem istifadəçilərinin səhvlərə yol verməsi;
Xarici mühitdən rabitə xətlərinə təsir göstərən maniələrin yaranması.
Proqram təminatında yaranmış səhvlər kompüter pozuntularının ən çox yayılmış növüdür. Serverlərin, işçi stansiyaların, marşrutlaşdırıcıların və buna bənzərlərin proqram təminatı insanlar tərəfindən yazılır (hazırlanır), odur ki, proqram təminatının hazırlanmasında mütləq müəyyən səhvlərin buraxılması labüddür. Proqram təminatı nə qədər mürəkkəb olarsa, bir o qədər də proqramda çox ehtimalla səhvlərin olması mümkündür. Bəzən belə səhvlər proqram təminatı üçün bir o qədər də qorxulu olmur, heç bir təhlükə yaratmır. Bəzi hallrda isə yaranmış səhvlərdən istifadə edən bədniyyətli insanlar sistemə tutarlı səviyyədə ziyan vura bilirlər (məsələn, server üzərində nəzarətə nail olurlar, icazəsiz sistemin resurslarından istifadə edirlər, istifadəçinin kompüterindən hücum aləti kimi bəhrələnirlər və s.). Adətən yaranmış səhvləri yeniləmə paketlərindən istifadə etməklə aradan qaldırılar (belə paketlər proqram təminatçıları tərəfindən mütamadi istehsal olunur). Odur ki, avtomatlaşdırılmış sistemlərə belə paketlərin vaxtında qurulması informasiyanın təhlükəsizliyini lazımı səviyyədə təmin etmiş olur.
Qərəzlə edilən (qabaqcadan düşünülmüş) hədələr pozucunun məqsədyönlü fəaliyyəti ilə bağlıdır. Pozucu kimi müəssisə işçisi, müəssisəyə gələn qonaq, müəssisənin rəqibi, pulla ələ alınmış insan və buna bənzərlər ola bilər. Pozucunun işi müxtəlif motivlərə əsaslana bilər: öz karyerasından narazılıq, məvacibinin az olması nəticəsində ona rüşvət almağa imkanın verilməməsi, hər işlə maraqlandığına görə, kiməsə xoşu gəlmədiyi üçün ona qarşı həmişə rəqib münasibətlə yanaşılmasına görə, özünü bacarıqlı və hər şeyi bilən işçi kimi göstərməsi və s. ola bilər.
Baş verə biləcək bu hallardan asılı olaraq yaranmış təhlükəli vəziyyət, pozucunun müəssisəyə vurduğu ziyan, həmçinin digər xoşagəlməz hallar pozucunun hipotezə əsaslanmaqla onun potensial modelini qurmağa imkan verir. Bura aşağıdakılar daxildir:
Pozucunun təsnif edilməsi, sistemi yaradan şəxs səviyyəsində ola bilər;
Pozucu həm kanar şəxs, həm də ki, sistem istifadəçisi ola bilər;
Pozucuya sistemin iş prinsipi məlum ola bilər;
Pozucu sistemdə hədələrə zəif olan düyünləri (qovşaqları) seçə bilər;
Pozucu sistemdə müdafiəsi pis təşkil olunmuş hissələr haqqında məlumatlı ola bilər.
Aşağıda banklarda istifadə olunan avtomatlaşdırılmış sistemlər üçün xarakterik olan, düşünülmüş şəkildə həyata keçirilən hədələr verilmişdir:
Bank işçisi olmayan qulluqçunun sistemə əlçatanlığı olmadığı halda lazımı yerdə məxfi qorunan informasiya ilə tanış olma imkanının olması;
Bank işçisi üçün əlyetən olmayan informasiya ilə tanış olması;
Sistemin proqramlarına və verilənlərə icazəsiz daxil olmaqla onların surətinin əldə edilməsi;
Məxfi informasiya saxlanılan informasiya daşıyıcılarının oğurlanması;
Möhürü qopardılmış bank sənədlərinin oğurlanması;
Düşünülmüş şəkildə informasiyanın məhv edilməsi;
Bank işçilərinin maliyyə sənədlərinə icazəsiz baxış keçirməsi;
Rabitə kanalı vasitəsilə göndərilən informasiyaların saxtalaşdırılması;
Rabitə kanalı vasitəsilə ötürülən informasiyadan müəllif kimi imtina edilməsi;
İnformasiyanın əldə edilmə faktından imtina edilməsi;
Əvvəllər rabitə kanalı vasitəsilə ötürülən informasiyaya zorla bağlanmaqla (sahib çıxmaqla) ondan xoşagəlməz hallar üçün istifadə edilməsi;
Viruslardan istifadə etməklə informasiyanın dağılmasını həyata keçirilməsi;
İnformasiya daşıyıcılarında (məsələn, maqnit daşıyıcıları, fləşlər və s.) saxlanılan, həmçinin bankla bağlı arxivdə saxlanılmış informasiyaya əlyetənlik etməklə onun dağıdılmasına nail olunması;
Bankda istifadə olunan bank avadanlıqlarının oğurlanmasının həyata keçirilməsi.
İnformasiyaya icazə verilməmiş əlyetənlik - ən çox yayılmış və müxtəlif xarakterli pozulmalar hesab edilir. İcazə verilməmiş əlyetənliyin mahiyyəti ondan ibarətdir ki, istifadəçi (pozucu) müəssisənin təhlükəsizlik siyasətinə uyğun olaraq əlyetənliyinə məhdudiyyət qoyulmuş obyektə daxil olma imkanı əldə edir. İcazə verilməmiş əlyetənlikdən istifadə edən pisniyyətli şəxs sistemdə baş verən istənilən səhvdən və düzgün yerinə yetirilməmiş sazlamalardan istifadə etməklə sistemin işinə maneçilik edir. İcazə verilməmiş əlyetənlik (əlçatanlıq) avtomatlaşdırılmış sistem vasitələrinin ştatda olan işçiləri, həmçinin proqram və aparat vasitələrindən istifadə edənlər tərəfindən həyata keçirilə bilər.
Avtomatlaşdırılmış sistemlərin təşkiledicilərinə daxil olmaq istəyən pozucu icazə verilməmiş əlyetənliyin əsas kanallarından istifadə etməklə yanaşı informasiyanın oğurlanmasını həyata keçirir, bununlada informasiyanın dağıdılmasına nali olur.
Bu kanallara aşağıdakıları aid etmək mümkündür:
İnformasiyaya əlyetənliyin ştat kanalından (istifadəçi, operator, sistem inzibatçısı, informasiyanın sənədləşdirilməsi və əks edilməsi üçün avadanlıqlar terminalı; rabitə kanalları) istifadə edən pozucunu, həmçinin bu işə məsulluyyət daşıyan və müəsssisədən kanar ərazidə səlahiyyəti olan şəxsi aid etmək mümkündür;
Sistemdə texnoloji idarəetmə pultundan istifadə edənləri;
Avtomatlaşdırılmış sistemlərin avadanlıqları arasında rabitə əlaqələrindən bəhrələnənləri;
İstifadə olunan aparatlardan istifadə zamanı yaranmış elektromaqnit şüalanmasını, rabitə xətlərində baş vermiş xoşagəlməz hadisələri, elektrik şəbəkəsindən qidalanan şəbəkələri və torpağa birləşdirilmişləri və s. aid etmək mümkündür.
İcazə veriməmiş əlçatanlığın müxtəlif qayda və üsullarını araşdırmaq üçün geniş yayılmış və bir-biri ilə pozuculuq baxımından əlaqəsi olanlara nəzər salaq:
Parolun “tutulması”;
“Maskarad”;
Üstünlükdən qeyri-qanuni istifadə etmək.
Parolun “tutulması” xüsusi hazırlanmış proqramın köməyilə həyata keçirilir. Əgər qanuni istifadəçi sistemə daxil olmaq istəyirsə, bu zaman proqram-yaxalayıcı kompüterin ekranında istifadəçinin parolunu və adını imitasiya edir. İmitasiya edilmiş ad və parol o dəqiqə proqram-yaxalayıcının sahibinə göndərilir. Sonrakı mərhələdə kompüterin ekranına yaranmış səhv barəsində məlumat çıxır və idarəetmə əməliyyat sisteminə ötürülür. Belə olan halda istifadəçi parolu daxil edən zaman səhvə yol verdiyinə əmin olur. Onda istifadəçi daxil etməni təkrarlayır və sistemə daxil olur. Proqram-yaxalayıcının sahibi qanuni istifadəçinin adını və parolunu alan kimi onları öz məqsədi üçün istifadə edir. Parolun tutulmasının digər üsulları da mövcuddur.
“Maskarad” – bu istənilən əməliyyatın səlahiyyətli bir istifadəçinin başqa bir istifadəçinin adından istifadə etməklə yerinə yetirilməsidir. “Maskarad”ın məqsədi müəyyən səlahiyyətə malik istifadəçinin istənilən əməliyyatı başqa bir istifadəçinin adına mənimsətmək və ya onun üstünlüklərindən istifadə etməkdir. Maskaradın yerinə yetirilməsinə nümunə kimi aşağıdakıları göstərmək olar:
Sistemə başqa bir istifadəçinin adından və parolundan istifadə etməklə daxil olmaq;
İnformasiyanı başqasının adı ilə şəbəkə vasitəsilə ötrülmək.
“Maskarad” əsasən bank sistemlərində elektron ödəmələr zamanı təhlükəlidir, çünki pisniyyətli insan “maskarad”a görə düzgün identifikasiya edilməyən müştərinin bankın həqiqi müştərisi olduğunu təsdiqləmir və nəticədə həqiqi müştəri bankda böyük ziyana düşmüş olur.
Üstünlüklərdən qeyri-qanuni istifadə etmək. Əksər mühafizə sistemləri üstünlüklərin müəyyən toplumundan istifadə etməklə verilmiş funksiyaların yerinə yetirilməsinə imkan verir. Hər bir istifadəçi özünəməxsus üstünlüklər toplumu əldə edir: adi istifadəçilər – minimal, administratorlar isə - maksimal. Üstünlüklərin icazə verilmədən “tutulması” (məsələn, “maskarad”ın) pisniyyətli insana müəyyən əməliyyatları yerinə yetirməklə sistemə daxil olmağa imkan verir. Qeyd etmək lazımdır ki, üstünlüklərin “tutulması” ya müdafiə sistemində baş vermiş səhvlərin nəticəsində, ya da ki, administratorun sənlənkarlığı üzündən sistemin idarə edilməsində və üstünlüklərin təyin olunmasında yaranan səhvlərdən baş verə bilir.
Belə hesab edilir ki, hədələrin konkret növlərindən və ya avtomatlaşdırılmış sistemlərin təsnifatından asılı olmayaraq sistemləri istismar edən şəxslərin tələbatını ödəmək üçün informasiyanın əhəmiyyət kəsb edən xüsusiyyətləri və təhlil olunma sistemi aşağıda verilənləri təmin etməlidir:
Konfidensiallıq;
Tamlıq;
Əlyetənlik.
Başqa sözlə, avtomatlaşdırılmış sistemlərin informasiya təhlükəsizliyi o zaman təmin edilir ki, sistemdə informasiya resursları üçün müəyyən səviyyələr dəstəklənir:
Konfidensiallıq (mümkün olmadığı təqdirdə hər hansı bir informasiyanın əldə edilməsi);
Tamlıq (mümkün olmadığı təqdirdə informasiyanın modifikasiya edilməsi);
Əlyetənlik (lazım olan vaxt ərzində tələb olunan informasiyanın əldə edilməsi).
Bu baxımdan avtomatlaşdırılmış sistemlər üçün hədələrin üç əsas növünə baxılır.
Konfidensiallığın pozulmasına edilən hədələr. Belə hədələr gizli və ya konfidensial informasiyanın hamıya məlum olunmasına istiqamətlənmişdir. Bu zaman həyata keçirilən hədələr nəticəsində informasiya ona əlyetənliyi olmayan insanlara belə məlum olur. Kompüter sistemlərində saxlanılan və ya bir sistemdən digərinə ötürülən informasiyanın təhlükəsizliyini pozan hədələr gizli informasiyaya icazə verilməmiş əlyetənlik nəticəsində baş verir.
İnformasiyanın tamlığını pozan hədələr. Belə hədələr kompüter sistemində saxlanılan və ya rabitə kanalları vasitəsilə ötürülən informasiyaya istiqamətlənir, nəticədə ötürülən və ya saxlanılan informasiya ya tamamilə dəyişir, ya da ki, məhv olur. İnformasiyanın tamlığı bəzən düşünülmüş şəkildə pozulur. Belə hədələr əsasən informasiyanın kompüter şəbəkələrində və telekommunikasiya sistemlərində ötürülməsində aktualdır. Düşünülmüş şəkildə informasiyanın tamlığının pozulmasını icazə verildikdən sonra informasiyanın pozulması ilə səhv salmaq düzgün deyil. İnformasiyanın icazə verildikdən sonra səlahiyyətli şəxs tərəfindən tamlığının pozulması müəyyən məqsədlərin həyata keçirilməsi ilə bağlı olur (məsələn, verilənlər bazasının mütamadi olaraq korreksiya edilməsini nümunə göstərmək olar).
İş qabiliyyətinin pozulmasına edilən hədələr (xidmətdən imtina edilməsi). Belə hədələr avtomatlaşdırılmış sistemlərə yönəldilərək ya onun iş qabiliyyətini aşağı salır, ya da ki, sistemin bəzi resurlarına müraciəti bloklayır (qıfıllayır). Məsələn, əgər bir istifadəçi sistemdən müəyyən məqsəd ilə istifadə etmək istəyirsə, bu zaman digər istifadəçi onun sistemə müraciətini bloklayırsa, onda müraciət edən istifadəçinin etdiyi müraciət cavabsız qalır. Sistemin resurslarına müraciət daimi və ya müvəqqəti ola bilər.
Öndə adları çəkilən hədələri təhlükəsizlik texnikasında ilkin və ya bilavasitə hədələr adlandırırlar, çünki belə hədələrin informasiyanın mühafizə edilməsinə təsiri bilavasitə baş vermiş olur.
Müasir informasiya texnologiyalarının altsistemləri üçün müdafiənin həyata keçirilməsi avtomatlaşdırılmış sistemlərdə informasiyanın təhlil olunmasının ayrılmaz hissəsi hesab edilir. Hücuma keçən əks tərəf konfidensiallığı pozmaq üçün altsistemdən üstün olmalıdır. Nəzərə almaq lazımdır ki, sistem üçün mütləq dayanıqlı müdafiə qurmaq mümkün deyil, əsas məsələ sistemdə istifadə olunan avadanlıqların zamana görə onlara olunan hədələrə davam gətirmələridir. Bütün bunları nəzərə alaraq dərs vəsaitində aşağıdakı model araşdırılır: əgər araşdırmaların aparılması zamanı sistemin avadanlıqları arasında bütün əlaqələr tədqiq olunursa, onda informasiya sisteminin müdafiə olunması aradan qaldırıla bilər.
Müdafiənin aradan qaldırılması sistem üçün təhlükə yaratdığına görə dərs vəsaitində hədələrin dördüncü növünə - altsistemi müdafiə olunan avtomatlaşdırılmış sistemin parametrlərinin hədələr nəticəsində agah olunması (üstünün açılması) növünə baxılır. Təcrübədə yerinə yetirilən bütün tədbirlər axtarış mərhələsində, yəni sistemin bütün parametrləri, xarakteristikaları və i.a. müəyyən edildikdən sonra yerinə yetirilir. Mərhələnin nəticəsi qoyulmuş məsələnin dəqiqləşdirilməsi və texniki avadanlıqların optimal seçilməsi ilə həyata keçirilir.
Avtomatlaşdırılmış sistemin parametrlərinin müəyyən olunmasına yönəlmiş hədələri vasitə ilə ifadə olunmuş (vasitəli) hədələr sayırlar. Belə hədələrin həyata keçirilməsinin (realizə edilməsinin) nəticəsi odur ki, onlar təhlil olunan informasiyaya heç bir ziyan vurmur, amma adları öndə çəkilən hədələrin (ilkin və ya bilavasitə hədələr nəzərdə tutulur) sistemə ziyan vurmasına imkan yaradır.
Avtomatlaşdırılmış sistemlərin müdafiə olunma məsələlərinə baxılan zaman saxlanılan, təhlil edilən və müdafiə olunan informasiyanın dördsəviyyəli əlyetənliyin qradasiyasından (dərəcələrə bölməsindən) istifadə etmək məqsədəmüvafiqdir. Əlyetənliyin bu şəkildə dərəcələrə bölünməsi mümkün hədələrin sistemləşdirilməsinə kömək etməklə yanaşı informasiya təhlükəsizliyinin təmin edilməsi üsullarının bütün spekterini araşdırmağa imkan verir. Əlyetənliyin aşağıdakı səviyyələrindən istifadə olunur:
İnfomasiya daşıyıcıları səviyyəsi;
Daşıyıcılarla əlaqəsi olan vasitələrin səviyyəsi;
İnformasiyanın təqdim olunma səviyyəsi;
İnformasiyanın təminatı səviyyəsi.
Bu səviyyələrin həyata keçirilməsi aşağıdakı mülahizələr ilə bağlıdır.
Birincisi, informasiya əlverişli şəkildə istifadə olunmaq üçün manipulyasiya olunaraq bəzi informasiya daşıyıcılarında qeyd olunur (məsələn, disklərdə, fləşlərdə və s.).
İkincisi, əgər təqdim olunan informasiya insan tərəfindən qəbul edilirsə, onda həmin informasiyanın insan üçün əlverişli şəkilə salınması vacibdir. Məsələn, informasiyanın disketdən oxunması üçün kompüter mütləq disk sürücüsü ilə təmin edilməlidir.
Üçüncüsü, informasiyanı təqdim etmək üçün xüsusi simvollardan, müxtəlif hərəkətlərdən və s. istifadə edilməlidir.
Dördüncüsü, insana təqdim edilən informasiyanın mənası, semantikası insan üçün əlyetən olmalıdır.
Pisniyyətli insan tərəfindən həyata keçirilən informasiya hədələrinə aşağıdakıları aid etmək olar:
Əlçatanlıq obyektinə bilavasitə müraciətin edilməsi;
Müdafiə vasitələrindən yan keçməklə əlyetənlik obyektlərinə müraciət etmək üçün proqram və texniki vasitələrin yaradılması;
İnformasiya təhlükəsizliyi hədələrini realizə etməyə imkan verən müdafiə vasitələrinin modifikasiya edilməsi;
Avtomatlaşdırılmış sistemlərin güman edilən funksiyasını və strukturunu pozan texniki vasitələrin və proqram (və ya texniki) mexanizmlərinin tətbiq olunması.
Avtomatlaşdırılmış sistemlərin tələb olunan informasiya təhlükəsizliyi səviyyəsinin əldə edilməsi üçün müxtəlif texniki vasitələrin müqavimət qabiliyyətini təmin etməklə yanaşı bu sahəyə təsir göstərə biləcək “insan faktoru”nu da minimuma endirmək lazımdır.
Dostları ilə paylaş: