Подробнее


Axborot xavfsizligi vositalari



Yüklə 2,37 Mb.
səhifə8/9
tarix24.09.2023
ölçüsü2,37 Mb.
#147713
1   2   3   4   5   6   7   8   9
axborotlarni ximoyalash

Axborot xavfsizligi vositalari- davlat sirini tashkil etuvchi ma'lumotlarni himoya qilish uchun mo'ljallangan texnik, kriptografik, dasturiy ta'minot va boshqa vositalar, ularni amalga oshirish vositalari, shuningdek axborotni himoya qilish samaradorligini nazorat qilish vositalari ...
Axborot xavfsizligini ta'minlash uchun dasturiy ta'minot maxsus dasturlar CS dasturiga faqat himoya funktsiyalarini bajarish uchun kiritilgan.
Axborot xavfsizligini ta'minlash uchun asosiy dasturiy ta'minot quyidagilarni o'z ichiga oladi:

  • * CS foydalanuvchilarini identifikatsiya qilish va autentifikatsiya qilish dasturlari;

  • * foydalanuvchining CS resurslariga kirishini cheklash dasturlari;

  • * axborotni shifrlash dasturlari;

  • * axborot resurslarini himoya qilish dasturlari (tizimli va amaliy dasturlar, ma'lumotlar bazalari, kompyuter jihozlari ta'lim va boshqalar) ruxsatsiz o'zgartirish, foydalanish va nusxalashdan.

Shuni tushunish kerakki, CS ning axborot xavfsizligini ta'minlash bilan bog'liq holda identifikatsiyalash CS sub'ektining yagona nomini bir ma'noda tan olish deb tushuniladi. Autentifikatsiya deganda taqdim etilgan nomning berilgan mavzuga mos kelishini tasdiqlash tushuniladi (mavzu autentifikatsiyasi)5.
Axborot xavfsizligini ta'minlash dasturi shuningdek quyidagilarni o'z ichiga oladi:

  • * qoldiq ma'lumotlarni yo'q qilish dasturlari (RAM bloklarida, vaqtinchalik fayllar va boshqalarda);

  • * COP xavfsizligi bilan bog'liq hodisalarni tekshirish dasturlari (ro'yxatga olish jurnallari), tiklanish imkoniyatini va ushbu hodisalarning sodir bo'lganligini tasdiqlovchi dalillarni ta'minlash;

  • * huquqbuzar bilan ishlashga taqlid qilish dasturlari (uni maxfiy ma'lumotlarni olishga chalg'itish);

  • * CS xavfsizligini test nazorati uchun dasturlar va boshqalar.

Axborot xavfsizligi dasturining afzalliklari quyidagilardan iborat:

  • * takrorlash qulayligi;

  • * moslashuvchanlik (aniq CS axborot xavfsizligiga tahdidlarning o'ziga xosligini hisobga olgan holda turli xil foydalanish shartlariga moslashish qobiliyati);

  • * foydalanish qulayligi - ba'zi dasturiy vositalar, masalan, shifrlash, "shaffof" (foydalanuvchiga ko'rinmas) rejimda ishlaydi, boshqalari esa foydalanuvchidan yangi (boshqa dasturlarga nisbatan) ko'nikmalarga ega bo'lishni talab qilmaydi;

  • * axborot xavfsizligiga yangi tahdidlarni hisobga olgan holda o'zgartirishlar kiritish orqali ularni rivojlantirishning deyarli cheksiz imkoniyatlari.

Guruch. 4

Guruch. 5
Axborot xavfsizligi dasturining kamchiliklari quyidagilardan iborat:

  • * himoya dasturlarining ishlashi uchun zarur bo'lgan resurslarni iste'mol qilish hisobiga CS samaradorligining pasayishi;

  • * past ishlash (shifrlash kabi apparat himoyasining o'xshash funktsiyalarini bajarish bilan solishtirganda);

  • * ko'plab dasturiy ta'minotni himoya qilish vositalarining o'rnatilishi (ularning COP dasturiy ta'minotida joylashuvi emas, 4 va 5-rasm), bu tajovuzkorning ularni chetlab o'tishi uchun asosiy imkoniyat yaratadi;

  • * COPning ishlashi paytida dasturiy ta'minotni himoya qilish vositalarini zararli modifikatsiya qilish imkoniyati.

Operatsion tizim darajasida xavfsizlik
Operatsion tizim har qanday kompyuterning eng muhim dasturiy komponentidir, shuning uchun axborot tizimining umumiy xavfsizligi ko'p jihatdan har bir aniq OTda xavfsizlik siyosatini amalga oshirish darajasiga bog'liq.
Operatsiya xonasi oilasi Windows tizimlari 2000, Millenium klonlar bo'lib, dastlab uy kompyuterlarida ishlashga yo'naltirilgan. Ushbu operatsion tizimlar Himoyalangan rejim imtiyoz darajalaridan foydalanadi, ammo hech qanday ishlamaydi qo'shimcha tekshiruvlar va xavfsizlik deskriptor tizimlarini qo'llab-quvvatlamaydi. Natijada, har qanday dastur o'qish va yozish huquqiga ega bo'lgan barcha mavjud RAM hajmiga kirishi mumkin. Chora-tadbirlar tarmoq xavfsizligi mavjud, ammo ularning amalga oshirilishi talab darajasida emas. Bundan tashqari, in Windows versiyalari XP fundamental xatolikka yo'l qo'yildi, bu esa masofadan turib bir necha paketlar uchun kompyuterning "muzlatib qo'yilishi" ga olib kelishi mumkin edi, bu esa OT obro'sini sezilarli darajada pasaytirdi, keyingi versiyalarda ushbu klonning tarmoq xavfsizligini yaxshilash uchun ko'plab qadamlar qo'yildi6 .
Operatsion tizimlarni yaratish Windows Vista, 7 allaqachon MicroSoft tomonidan ancha ishonchli ishlanma hisoblanadi. Ular qattiq diskdagi turli foydalanuvchilarning fayllarini ishonchli himoya qiladigan haqiqatan ham ko'p foydalanuvchili tizimlardir (ammo, ma'lumotlarni shifrlash hali ham amalga oshirilmaydi va fayllarni boshqa operatsion tizim diskidan yuklash orqali muammosiz o'qish mumkin - masalan, MS-DOS. ). Ushbu operatsion tizimlar himoyalangan rejim xususiyatlaridan faol foydalanadi Intel protsessorlari, va jarayonning ma'lumotlari va kodini boshqa dasturlardan ishonchli himoya qilishi mumkin, agar u o'zi jarayondan tashqaridan ularga qo'shimcha kirishni xohlamasa.
Rivojlanishning uzoq davrida ko'plab turli xil tarmoq hujumlari va xavfsizlik xatolari hisobga olindi. Ularga tuzatishlar yangilanishlar bloklari ko'rinishida chiqdi (inglizcha xizmat to'plami).
Klonlarning yana bir tarmog'i UNIX operatsion tizimidan o'sadi. Ushbu OT dastlab tarmoq va ko'p foydalanuvchi sifatida ishlab chiqilgan va shuning uchun darhol axborot xavfsizligi vositalarini o'z ichiga olgan. Deyarli barcha keng tarqalgan UNIX klonlari rivojlanishda uzoq yo'lni bosib o'tdi va ular o'zgartirilganidek, bu vaqt davomida kashf etilgan barcha hujum usullarini hisobga oldi. O'zini yetarlicha isbotladi: LINUX (S.U.S.E.), OpenBSD, FreeBSD, Sun Solaris. Tabiiyki, yuqorida aytilganlarning barchasi tegishli oxirgi versiyalari bu operatsion tizimlar. Ushbu tizimlardagi asosiy xatolar endi benuqson ishlaydigan yadro bilan emas, balki tizim va dastur utilitlari bilan bog'liq. Ulardagi xatolarning mavjudligi ko'pincha tizimning butun xavfsizlik chegarasini yo'qotishiga olib keladi.
Asosiy komponentlar:
Mahalliy xavfsizlik ma'muri - mas'ul ruxsatsiz kirish, foydalanuvchining kirish ma'lumotlarini tekshiradi, qo'llab-quvvatlaydi:
Audit - foydalanuvchi harakatlarining to'g'riligini tekshirish
Hisob menejeri - foydalanuvchilarning harakatlari va tizim bilan o'zaro aloqalari ma'lumotlar bazasini qo'llab-quvvatlash.
Xavfsizlik monitori - foydalanuvchi ob'ektga kirish huquqiga ega yoki yo'qligini tekshiradi
Audit jurnali - foydalanuvchi loginlari haqidagi ma'lumotlarni o'z ichiga oladi, fayllar, papkalar bilan ishlashni tuzatadi.
Autentifikatsiya to'plami - tizim fayllari almashtirilganligini tekshirish uchun tahlil qiladi. MSV10 standart paket hisoblanadi.
Windows XP qo'shildi:
arxivlangan nusxalar uchun parollar belgilashingiz mumkin
faylni almashtirishdan himoya qilish
farqlash tizimi ... parolni kiritish va foydalanuvchi hisobini yaratish orqali. Arxivlash bunday huquqlarga ega bo'lgan foydalanuvchi tomonidan amalga oshirilishi mumkin.
NTFS: Fayl va papkaga kirishni boshqarish
XP va 2000 da - foydalanuvchining kirish huquqlarini yanada to'liq va chuqur farqlash.
EFS - ma'lumotlarga kirishni cheklash uchun ma'lumotlarni (fayllar va papkalar) shifrlash va shifrlashni ta'minlaydi.
Kriptografik himoya usullari
Kriptografiya ma'lumotlarni himoya qilish fanidir. U xavfsizlikning to‘rtta muhim muammosiga yechim izlamoqda – konfidensiallik, autentifikatsiya, yaxlitlik va o‘zaro aloqa ishtirokchilari nazorati. Shifrlash - bu shifrlash-dekodlash kalitlari yordamida ma'lumotlarni o'qib bo'lmaydigan shaklga aylantirish. Shifrlash ma'lumotni kimgadir mo'ljallanmaganlardan sir saqlash orqali maxfiylikni saqlashga imkon beradi.
Kriptografiya axborotni o'zgartirishning matematik usullarini izlash va o'rganish bilan shug'ullanadi (7).
Zamonaviy kriptografiya to'rtta asosiy bo'limni o'z ichiga oladi:
simmetrik kriptotizimlar;
ochiq kalitli kriptotizimlar;
tizimlari elektron imzo;
kalit boshqaruvi.
Kriptografik usullardan foydalanishning asosiy yo'nalishlari maxfiy ma'lumotlarni aloqa kanallari orqali uzatishdir (masalan, Elektron pochta), uzatilgan xabarlarning autentifikatsiyasi, axborotni (hujjatlar, ma'lumotlar bazalari) tashuvchilarda shifrlangan shaklda saqlash.
Drive shifrlash
Shifrlangan disk har qanday boshqa fayl yoki dasturlarni o'z ichiga olishi mumkin bo'lgan konteyner faylidir (ular to'g'ridan-to'g'ri ushbu shifrlangan fayldan o'rnatilishi va ishga tushirilishi mumkin). Ushbu disk faqat konteyner fayli uchun parol kiritilgandan so'ng mavjud bo'ladi - keyin kompyuterda tizim tomonidan mantiqiy deb tan olingan va u bilan ishlash boshqa disk bilan ishlashdan farq qilmaydigan boshqa disk paydo bo'ladi. Drayvni ajratgandan so'ng, mantiqiy disk yo'qoladi, u faqat "ko'rinmas" bo'ladi.
AD•16+

Yandex Games



16+
Эволюция Капибары: Кликер





16+
Hill Racing 2.0





16+
CS 1.7





16+
Девушка Нубика!





16+
Ограбление банка 3





16+
Кейсы Standoff 2: Симулятор





16+
Head Soccer 2022





16+
Head Soccer 2022 Rus





16+
Порыв ниндзя





16+
Эволюция Капибары: Кликер





16+
Hill Racing 2.0





16+
CS 1.7
Bugungi kunga kelib shifrlangan disklarni yaratish uchun eng keng tarqalgan dasturlar DriveCrypt, BestCrypt va PGPdisk hisoblanadi. Ularning har biri uzoqdan xakerlikdan ishonchli himoyalangan.
Dasturlarning umumiy xususiyatlari: (8)

  • - konteyner faylidagi ma'lumotlarning barcha o'zgarishlari birinchi navbatda RAMda sodir bo'ladi, ya'ni. qattiq disk har doim shifrlangan holda qoladi. Kompyuter muzlab qolsa ham, maxfiy ma'lumotlar shifrlangan bo'lib qoladi;

  • - dasturlar ma'lum vaqtdan keyin yashirin mantiqiy diskni bloklashi mumkin;

  • - ularning barchasi vaqtinchalik fayllarga (almashtirish fayllariga) ishonmaydi. Swap fayliga kirishi mumkin bo'lgan barcha maxfiy ma'lumotlarni shifrlash mumkin. Swap faylida saqlangan ma'lumotlarni yashirishning juda samarali usuli - uni ko'paytirishni unutmasdan, butunlay o'chirish. Ram kompyuter;

  • - fizika qattiq disk shunday bo'ladiki, agar siz ba'zi ma'lumotlarni boshqalar bilan qayta yozsangiz ham, oldingi yozuv butunlay o'chirilmaydi. Zamonaviy magnit mikroskopiya (Magnit quvvat mikroskopiyasi - MFM) yordamida ularni hali ham tiklash mumkin. Ushbu dasturlar yordamida siz qattiq diskingizdagi fayllarni ularning mavjudligidan hech qanday iz qoldirmasdan xavfsiz tarzda o'chirib tashlashingiz mumkin;

  • - har uchta dastur maxfiy ma'lumotlarni qattiq diskda xavfsiz shifrlangan shaklda saqlaydi va har qanday amaliy dasturdan ushbu ma'lumotlarga shaffof kirishni ta'minlaydi;

  • - ular shifrlangan konteyner fayllarini tasodifiy o'chirishdan himoya qiladi;

  • - troyanlar va viruslar bilan yaxshi ish qiling.

Foydalanuvchilarni identifikatsiya qilish usullari
VS ga kirishdan oldin foydalanuvchi o'zini identifikatsiya qilishi kerak, keyin tarmoq xavfsizligi mexanizmlari foydalanuvchini autentifikatsiya qiladi, ya'ni foydalanuvchi haqiqatan ham u o'zi da'vo qilgan shaxs ekanligini tekshiradi. Himoya mexanizmining mantiqiy modeliga muvofiq, samolyot ishlaydigan kompyuterda joylashgan bo'lib, foydalanuvchi o'z terminali orqali yoki boshqa yo'l bilan ulanadi. Shuning uchun identifikatsiya qilish, autentifikatsiya qilish va vakolat berish jarayonlari mahalliy ish stantsiyasida sessiya boshida amalga oshiriladi.
Keyinchalik, har xil bo'lganda tarmoq protokollari va kirishdan oldin tarmoq resurslari, identifikatsiya qilish, autentifikatsiya qilish va vakolat berish tartib-qoidalari zarur resurslar yoki tarmoq xizmatlarini joylashtirish uchun ba'zi uzoq ish stantsiyalarida qayta faollashtirilishi mumkin.
Foydalanuvchi terminal yordamida kompyuter tizimiga kirganda, tizim ularning nomi va identifikatsiya raqamini so'raydi. Foydalanuvchining javoblariga muvofiq kompyuter tizimi foydalanuvchini aniqlaydi. Tarmoqda o'zaro aloqa o'rnatadigan ob'ektlar bir-birini identifikatsiyalashi tabiiyroq.
Parollar autentifikatsiya qilishning bir usuli. Boshqa usullar mavjud:

  • 1. Foydalanuvchi ixtiyorida bo'lgan oldindan belgilangan ma'lumotlar: parol, shaxsiy identifikatsiya raqami, maxsus kodlangan iboralarni ishlatish bo'yicha kelishuv.

  • 2. Elementlar apparat foydalanuvchi ixtiyorida: kalitlar, magnit kartalar, mikrosxemalar va boshqalar.

  • 3. Foydalanuvchining xarakterli shaxsiy xususiyatlari: barmoq izlari, retinal naqsh, tana hajmi, ovoz tembri va boshqa murakkabroq tibbiy va biokimyoviy xususiyatlar.

  • 4. Haqiqiy vaqtda foydalanuvchi xatti-harakatlarining xarakterli texnikasi va xususiyatlari: dinamikaning xususiyatlari, klaviaturada ishlash uslubi, o'qish tezligi, manipulyatorlardan foydalanish qobiliyati va boshqalar.

  • 5. Odatlar: maxsus kompyuter blankalaridan foydalanish.

  • 6. Ta'lim, madaniyat, ta'lim, kelib chiqishi, tarbiyasi, odatlari va boshqalar tufayli foydalanuvchining ko'nikma va bilimlari.

Agar kimdir terminal orqali hisoblash tizimiga kirishni yoki ommaviy ishni bajarishni xohlasa, hisoblash tizimi foydalanuvchini autentifikatsiya qilishi kerak. Foydalanuvchining o'zi, qoida tariqasida, hisoblash tizimining haqiqiyligini tekshirmaydi. Agar autentifikatsiya protsedurasi bir tomonlama bo'lsa, bunday protsedura bir tomonlama ob'ektni autentifikatsiya qilish deb ataladi (9).
Axborotni himoya qilish uchun maxsus dasturiy ta'minot.
Ma'lumotni ruxsatsiz kirishdan himoya qilish uchun maxsus dasturiy vositalar, odatda, o'rnatilgan tarmoq operatsion tizimi vositalariga qaraganda yaxshiroq imkoniyatlar va xususiyatlarga ega. Shifrlash dasturlariga qo'shimcha ravishda, boshqa ko'plab tashqi axborot xavfsizligi vositalari mavjud. Eng tez-tez aytib o'tilganlardan, axborot oqimini cheklash imkonini beruvchi quyidagi ikkita tizimni ta'kidlash kerak.
Faervollar - xavfsizlik devorlari (so'zma-so'z xavfsizlik devori - olovli devor). Mahalliy va global tarmoqlar o'rtasida maxsus oraliq serverlar yaratiladi, ular orqali o'tadigan barcha tarmoq / transport qatlami trafigini tekshiradi va filtrlaydi. Bu korporativ tarmoqlarga tashqaridan ruxsatsiz kirish xavfini keskin kamaytirish imkonini beradi, lekin bu xavfni to'liq bartaraf etmaydi. Usulning xavfsizroq versiyasi maskarad usuli bo'lib, mahalliy tarmoqdan chiquvchi barcha trafik xavfsizlik devori serveri nomidan yuboriladi va bu mahalliy tarmoqni deyarli ko'rinmas holga keltiradi.
Proksi-serverlar (proksi - ishonchnoma, vakolatli shaxs). Mahalliy va global tarmoqlar o'rtasidagi barcha tarmoq/transport qatlami trafigiga to'liq yo'l qo'yilgan - bu kabi marshrutlash yo'q va mahalliy tarmoqdan global tarmoqqa qo'ng'iroqlar maxsus vositachi serverlar orqali amalga oshiriladi. Shubhasiz, ushbu usul bilan global tarmoqdan mahalliy tarmoqqa kirish printsipial jihatdan imkonsiz bo'lib qoladi. Bundan tashqari, bu usul yuqori darajadagi - masalan, dastur darajasida (viruslar, Java va JavaScript kodlari) hujumlardan etarli darajada himoya qilmasligi aniq.
Keling, xavfsizlik devori qanday ishlashini batafsil ko'rib chiqaylik. Bu apparat va dasturiy ta'minot orqali tarmoqqa kirishni markazlashtirish va nazorat qilish orqali tarmoqni boshqa tizimlar va tarmoqlarning xavfsizlik tahdidlaridan himoya qilish usulidir. Xavfsizlik devori bir nechta komponentlardan (masalan, yo'riqnoma yoki xavfsizlik devori dasturini boshqaradigan shlyuzdan) iborat xavfsizlik to'sig'idir. Xavfsizlik devori tashkilotning kirishni boshqarish siyosatiga muvofiq sozlangan. ichki tarmoq. Barcha kiruvchi va chiquvchi paketlar faqat ruxsat berilgan paketlar o'tishiga imkon beruvchi xavfsizlik devori orqali o'tishi kerak.
Paket filtrlovchi xavfsizlik devori - bu kiruvchi va chiquvchi paketlarning ma'lum turlarini rad etish uchun tuzilgan router yoki kompyuterda ishlaydigan dasturiy ta'minot. Paketlarni filtrlash TCP va IP paket sarlavhalaridagi ma'lumotlarga (jo'natuvchi va maqsad manzillari, ularning port raqamlari va boshqalar) asoslanadi.
Ekspert darajasidagi xavfsizlik devori - qabul qilingan paketlar tarkibini OSI modelining uchta darajasida - tarmoq, sessiya va dasturda tekshiradi. Ushbu vazifani bajarish uchun har bir paketni ma'lum ruxsat etilgan paketlar namunasi bilan solishtirish uchun maxsus paketlarni filtrlash algoritmlari qo'llaniladi.
Xavfsizlik devorini yaratish ekranlash muammosini hal qilishni anglatadi. Skrining muammosining rasmiy bayonoti quyidagicha. Axborot tizimlarining ikkita to'plami bo'lsin. Ekran - bu mijozlarning bir to'plamdan boshqa to'plamdagi serverlarga kirishini cheklash vositasi. Ekran o'z vazifalarini ikkita tizim to'plami orasidagi barcha axborot oqimlarini boshqarish orqali bajaradi (6-rasm). Oqimni boshqarish ularni filtrlashdan iborat, ehtimol ba'zi o'zgarishlar bilan.
Tafsilotning keyingi darajasida ekran (yarim o'tkazuvchan membrana) filtrlar seriyasi sifatida qulay tarzda taqdim etilishi mumkin. Filtrlarning har biri ma'lumotlarni tahlil qilgandan so'ng ularni kechiktirishi (o'tkazib yubormasligi) yoki darhol ekrandan "tashlashi" mumkin. Bundan tashqari, ma'lumotlarni o'zgartirish, keyingi tahlil qilish uchun ma'lumotlarning bir qismini keyingi filtrga o'tkazish yoki ma'lumotlarni qabul qiluvchi nomidan qayta ishlash va natijani jo'natuvchiga qaytarish mumkin (7-rasm).


Guruch. 7
Kirishni boshqarish funktsiyalariga qo'shimcha ravishda, ekranlar ma'lumotlar almashinuvini qayd qiladi.
Odatda ekran nosimmetrik emas, u uchun "ichki" va "tashqi" tushunchalari aniqlanadi. Bunday holda, ekranlash vazifasi ichki hududni potentsial dushman tashqi tomondan himoya qilish sifatida tuzilgan. Shunday qilib, xavfsizlik devorlari (ME) ko'pincha Internetga kirish imkoniga ega bo'lgan tashkilotning korporativ tarmog'ini himoya qilish uchun o'rnatiladi.
Himoyalash tashqi faoliyat tufayli yuzaga keladigan ortiqcha xarajatlarni kamaytirish yoki yo'q qilish orqali ichki hududda xizmatlar mavjudligini saqlashga yordam beradi. Ichki xavfsizlik xizmatlarining zaifligi kamayadi, chunki tajovuzkor birinchi navbatda himoya mexanizmlari ayniqsa ehtiyotkorlik bilan sozlangan ekrandan o'tishi kerak. Bundan tashqari, himoya qilish tizimi universal tizimdan farqli o'laroq, oddiyroq va shuning uchun xavfsizroq tarzda tartibga solinishi mumkin.
Himoyalash, shuningdek, tashqi hududga yo'naltirilgan axborot oqimlarini nazorat qilish imkonini beradi, bu esa tashkilot ISda maxfiylik rejimini saqlashga yordam beradi.
Himoya qisman bo'lishi mumkin, ba'zi ma'lumotlar xizmatlarini himoya qiladi (masalan, elektron pochtani himoya qilish).
Chegaraviy interfeysni qochishning bir turi sifatida ham ko'rish mumkin. Ko'rinmas ob'ektga hujum qilish qiyin, ayniqsa qattiq vositalar to'plami bilan. Shu ma'noda, veb-interfeys tabiiy ravishda xavfsizdir, ayniqsa gipermatnli hujjatlar dinamik ravishda yaratilganda. Har bir foydalanuvchi faqat o'zi ko'rishi kerak bo'lgan narsani ko'radi. Dinamik ravishda yaratilgan gipermatnli hujjatlar va relyatsion ma'lumotlar bazalaridagi ko'rinishlar o'rtasida o'xshashlikni chizish mumkin, bunda muhim ogohlantirish shundaki, Internetda imkoniyatlar ancha kengroq.
Veb-xizmatning skrining roli, shuningdek, ushbu xizmat boshqa resurslarga, masalan, ma'lumotlar bazasi jadvallariga kirishda vositachilik (aniqrog'i, integratsiya) funktsiyalarni bajarganda aniq namoyon bo'ladi. U nafaqat so'rovlar oqimini nazorat qiladi, balki ma'lumotlarning haqiqiy tashkil etilishini ham yashiradi.
Xavfsizlikning arxitektura jihatlari
Universal operatsion tizimlar yordamida tarmoq muhitiga xos bo'lgan tahdidlarga qarshi kurashish mumkin emas. Universal OS - bu aniq xatolardan tashqari, noqonuniy ravishda imtiyozlarni olish uchun ishlatilishi mumkin bo'lgan ba'zi xususiyatlarni o'z ichiga olgan ulkan dasturiy ta'minot. Zamonaviy dasturlash texnologiyasi bunga yo'l qo'ymaydi katta dasturlar xavfsiz. Bundan tashqari, murakkab tizim bilan shug'ullanadigan ma'mur har doim ham kiritilgan o'zgarishlarning barcha oqibatlarini hisobga olishga qodir emas. Nihoyat, universal ko'p foydalanuvchili tizimda xavfsizlik teshiklari doimiy ravishda foydalanuvchilarning o'zlari tomonidan yaratiladi (zaif va/yoki kamdan-kam o'zgartirilgan parollar, muvaffaqiyatsiz belgilangan huquqlar kirish, qarovsiz terminal va boshqalar). Yagona istiqbolli yo'l ixtisoslashtirilgan xavfsizlik xizmatlarini rivojlantirish bilan bog'liq bo'lib, ular soddaligi tufayli rasmiy yoki norasmiy tekshirish imkonini beradi. Xavfsizlik devori - bu turli xil tarmoq protokollariga xizmat ko'rsatish bilan bog'liq bo'lgan keyingi parchalanish imkonini beruvchi vositadir.
Xavfsizlik devori himoyalangan (ichki) tarmoq va tashqi muhit (tashqi tarmoqlar yoki korporativ tarmoqning boshqa segmentlari) o'rtasida joylashgan. Birinchi holda, biri tashqi ME haqida gapiradi, ikkinchisida, ichki. Insonning nuqtai nazariga qarab, tashqi xavfsizlik devori birinchi yoki oxirgi (lekin yagona emas) himoya chizig'i deb hisoblanishi mumkin. Birinchisi - agar siz dunyoga tashqi tajovuzkorning ko'zi bilan qarasangiz. Oxirgi - agar siz korporativ tarmoqning barcha komponentlarini himoya qilishga va ichki foydalanuvchilarning noqonuniy harakatlarining oldini olishga intilsangiz.
Xavfsizlik devori faol audit vositalarini joylashtirish uchun ideal joy. Bir tomondan, birinchi va oxirgi mudofaa chizig'ida shubhali faoliyatni aniqlash o'ziga xos tarzda muhimdir. Boshqa tomondan, ME tashqi muhit bilan aloqani uzishgacha shubhali faoliyatga o'zboshimchalik bilan kuchli reaktsiyani amalga oshirishga qodir. To'g'ri, shuni bilish kerakki, ikkita xavfsizlik xizmatining ulanishi, qoida tariqasida, kirish imkoniyatlariga hujumlarni osonlashtiradigan bo'shliqni yaratishi mumkin.
Xavfsizlik devoriga korporativ resurslarga kirishga muhtoj bo'lgan tashqi foydalanuvchilarning identifikatsiyasini / autentifikatsiyasini belgilash tavsiya etiladi (tarmoqqa yagona kirish kontseptsiyasini qo'llab-quvvatlagan holda).
Himoyani ajratish tamoyillari tufayli, himoya qilish tashqi ulanishlar odatda ikki komponentli ekranlash ishlatiladi (8-rasmga qarang). Birlamchi filtrlash (masalan, foydalanish imkoniyatiga hujumlar uchun xavfli bo'lgan SNMP boshqaruv protokoli paketlarini yoki "qora ro'yxat" ga kiritilgan ma'lum IP manzillari bo'lgan paketlarni blokirovka qilish) chegara routeri tomonidan amalga oshiriladi (keyingi bo'limga qarang), uning ortida demilitarizatsiya zonasi (tashkilotning tashqi ma'lumotlar xizmatlari (veb, elektron pochta va boshqalar) joylashtirilgan o'rtacha xavfsizlik ishonchli tarmoq) va korporativ tarmoqning ichki qismini himoya qiluvchi asosiy xavfsizlik devori.
Nazariy jihatdan, xavfsizlik devori (ayniqsa, ichki) ko'p protokolli bo'lishi kerak, ammo amalda TCP/IP protokollari oilasi shu qadar ustunlik qiladiki, boshqa protokollarni qo'llab-quvvatlash xavfsizlikka zarar etkazuvchi haddan tashqari yuk bo'lib ko'rinadi (xizmat qanchalik murakkab bo'lsa). u yanada zaifroq).


Guruch. 8
Umuman olganda, tashqi va ichki xavfsizlik devori muammoga aylanishi mumkin, chunki tarmoq trafigining miqdori tez sur'atlar bilan o'sib boradi. Ushbu muammoni hal qilishning yondashuvlaridan biri MEni bir nechta apparat qismlariga bo'lish va maxsus vositachi serverlarni tashkil qilishni o'z ichiga oladi. Asosiy xavfsizlik devori kiruvchi trafikni turi bo'yicha taxminan tasniflashi va filtrlashni tegishli vositachilarga topshirishi mumkin (masalan, HTTP trafigini tahlil qiluvchi vositachi). Chiquvchi trafik birinchi navbatda vositachi server tomonidan qayta ishlanadi, u tashqi Web-serverlarning sahifalarini keshlash kabi funksional foydali amallarni ham bajarishi mumkin, bu esa umuman tarmoqqa va xususan asosiy xavfsizlik devoriga yukni kamaytiradi.
Korporativ tarmoq faqat bitta tashqi kanalni o'z ichiga olgan holatlar qoida emas, balki istisno hisoblanadi. Aksincha, korporativ tarmoq har biri Internetga ulangan bir necha geografik jihatdan tarqoq segmentlardan iborat bo'lganda odatiy holat. Bunday holda, har bir ulanish o'z qalqoni bilan himoyalangan bo'lishi kerak. Aniqrog'i, korporativ tashqi xavfsizlik devori kompozitsion bo'lib, barcha tarkibiy qismlarni muvofiqlashtirilgan boshqarish (boshqaruv va audit) muammosini hal qilish talab etiladi.
Kompozit korporativ xavfsizlik devorlarining (yoki ularning tarkibiy qismlarining) qarama-qarshi tomoni shaxsiy himoya devorlari va shaxsiy himoya qurilmalaridir. Birinchisi o'rnatilgan dasturiy mahsulotlar shaxsiy kompyuterlar va faqat ularni himoya qiling. Ikkinchisi alohida qurilmalarda amalga oshiriladi va uy ofis tarmog'i kabi kichik mahalliy tarmoqni himoya qiladi.
Xavfsizlik devorlarini o'rnatishda siz avvalroq muhokama qilgan me'moriy xavfsizlik tamoyillariga amal qilishingiz kerak, birinchi navbatda soddaligi va boshqarilishi, chuqur mudofaa, shuningdek, xavfli holatga o'tishning mumkin emasligi haqida g'amxo'rlik qiling. Bundan tashqari, nafaqat tashqi, balki ichki tahdidlarni ham hisobga olish kerak.
Axborotni arxivlash va takrorlash tizimlari
Ishonchli va samarali ma'lumotlarni arxivlash tizimini tashkil etish tarmoqdagi axborot xavfsizligini ta'minlashning eng muhim vazifalaridan biridir. IN kichik tarmoqlar, bir yoki ikkita server o'rnatilgan bo'lsa, arxivlash tizimini to'g'ridan-to'g'ri serverlarning bo'sh joylariga o'rnatish ko'pincha qo'llaniladi. Katta hajmda korporativ tarmoqlar maxsus ixtisoslashtirilgan arxivlash serverini tashkil qilish afzalroqdir.
Bunday server ma'lumotlarni avtomatik ravishda arxivlaydi qattiq disklar serverlar va ish stantsiyalarini mahalliy tarmoq ma'muri tomonidan belgilangan vaqtda zaxiralash to'g'risida hisobot berish.
Muayyan qiymatga ega bo'lgan arxiv ma'lumotlarini saqlash maxsus himoyalangan xonada tashkil etilishi kerak. Mutaxassislar yong'in yoki tabiiy ofat sodir bo'lgan taqdirda eng qimmatli ma'lumotlarning ikki nusxadagi arxivini boshqa binoda saqlashni tavsiya qiladi. Magnit diskdagi nosozliklar yuz berganda ma'lumotlarni qayta tiklashni ta'minlash uchun so'nggi paytlarda disk massiv tizimlari ko'pincha ishlatiladi - ular sifatida ishlaydigan disklar guruhlari. yagona qurilma, RAID (Arzon disklarning ortiqcha massivlari) standartiga mos keladi. Ushbu massivlar ma'lumotlarni yozish/o'qishning eng yuqori tezligini, ma'lumotlarni to'liq tiklash va ishlamay qolgan disklarni "issiq" rejimda (massivdagi qolgan disklarni o'chirmasdan) almashtirish qobiliyatini ta'minlaydi.
Disk massivlarini tashkil qilish bir necha darajalarda amalga oshiriladigan turli xil texnik echimlarni ta'minlaydi:
RAID darajasi 0 ma'lumotlar oqimini ikki yoki undan ortiq drayverlarga ajratadi. Ushbu yechimning afzalligi shundaki, kiritish/chiqarish tezligi massivda ishlatiladigan disklar soniga mutanosib ravishda ortadi.
RAID 1-darajasi "oyna" deb ataladigan disklarni tashkil qilishdan iborat. Ma'lumotlarni yozib olish jarayonida tizimning asosiy diskidagi ma'lumotlar oyna diskida takrorlanadi va agar asosiy disk ishlamay qolsa, "oyna" darhol yoqiladi.
RAID 2 va 3 darajalari parallel disk massivlarini yaratishni ta'minlaydi, ular yozilganda ma'lumotlar disklar bo'ylab bit darajasida taqsimlanadi.
RAID 4 va 5 darajalari modifikatsiyadir nol daraja, bunda ma'lumotlar oqimi massivning disklari bo'ylab taqsimlanadi. Farqi shundaki, 4-darajada ortiqcha ma’lumotlarni saqlash uchun maxsus disk ajratiladi, 5-darajada esa massivning barcha disklari bo‘ylab ortiqcha ma’lumotlar taqsimlanadi.
Ortiqcha ma'lumotlardan foydalanishga asoslangan tarmoqdagi ishonchlilik va ma'lumotlarni himoya qilishni oshirish faqat tarmoqning alohida elementlari, masalan, disk massivlari darajasida emas, balki tarmoq operatsion tizimlari darajasida ham amalga oshiriladi. Masalan, Novell Netware operatsion tizimining xatoga chidamli versiyalarini qo'llaydi - SFT (System Fault Tolerance):

  • - SFT I darajasi. Birinchi daraja FAT va katalog yozuvlari jadvallarining qo'shimcha nusxalarini yaratishni, har bir yangi ro'yxatga olinganlarni darhol tekshirishni nazarda tutadi. fayl serveri ma'lumotlar bloki, shuningdek, disk hajmining taxminan 2% har bir qattiq diskda ortiqcha.

  • - SFT II darajasi qo'shimcha ravishda "oyna" disklarni yaratish qobiliyatini, shuningdek, disk kontrollerlari, quvvat manbalari va interfeys kabellarini takrorlashni o'z ichiga oladi.

  • - SFT Level III versiyasi mahalliy tarmoqda ikki nusxadagi serverlardan foydalanishga imkon beradi, ulardan biri "asosiy" bo'lib, ikkinchisi esa barcha ma'lumotlarning nusxasini o'z ichiga oladi, "" ishlamay qolganda ishga tushadi. asosiy "server.

Xavfsizlik tahlili
Xavfsizlikni tahlil qilish xizmati zaifliklarni tezda bartaraf etish uchun ularni aniqlashga mo'ljallangan. O'z-o'zidan bu xizmat hech narsadan himoya qilmaydi, lekin tajovuzkor ulardan foydalanishidan oldin xavfsizlik bo'shliqlarini aniqlashga (va tuzatishga) yordam beradi. Birinchidan, bu arxitektura emas (ularni yo'q qilish qiyin), balki ma'muriy xatolar natijasida yoki dasturiy ta'minot versiyalarini yangilashga e'tibor bermaslik natijasida paydo bo'lgan "operatsion" bo'shliqlar.
Yuqorida muhokama qilingan faol audit vositalari kabi xavfsizlikni tahlil qilish tizimlari (xavfsizlik skanerlari deb ham ataladi) bilimlarni to'plash va ulardan foydalanishga asoslangan. IN bu holat bu xavfsizlik bo'shliqlari haqidagi bilimlarga ishora qiladi: ularni qanday izlash, qanchalik jiddiyligi va ularni qanday tuzatish kerak.
Shunga ko'ra, bunday tizimlarning yadrosi zaifliklar bazasi bo'lib, u mavjud imkoniyatlar doirasini belgilaydi va deyarli doimiy yangilanishni talab qiladi.
Aslida, juda boshqacha xarakterdagi bo'shliqlarni aniqlash mumkin: zararli dasturlarning mavjudligi (xususan, viruslar), zaif foydalanuvchi parollari, yomon sozlangan operatsion tizimlar, xavfsiz tarmoq xizmatlari, o'chirilgan yamalar, ilovalardagi zaifliklar va boshqalar. Biroq, eng samarali hisoblanadi tarmoq skanerlari(shubhasiz, TCP / IP protokollari oilasining ustunligi tufayli), shuningdek, virusga qarshi vositalar (10). Antivirus himoyasi biz uni alohida xavfsizlik xizmati deb hisoblamasdan, xavfsizlikni tahlil qilish vositasi sifatida tasniflaymiz.
Skanerlar zaifliklarni passiv tahlil, ya'ni o'rganish orqali ham aniqlashlari mumkin konfiguratsiya fayllari, jalb qilingan portlar va boshqalar va tajovuzkorning harakatlarini taqlid qilish orqali. Topilgan ba'zi zaifliklar avtomatik tarzda tuzatilishi mumkin (masalan, zararlangan fayllarni zararsizlantirish), boshqalari haqida administratorga xabar beriladi.
AD•16+

Yandex Games



16+
Эволюция Капибары: Кликер





16+
Hill Racing 2.0





16+
Ограбление банка 3





16+
CS 1.7





16+
Девушка Нубика!





16+
Кейсы Standoff 2: Симулятор





16+
Head Soccer 2022





16+
Head Soccer 2022 Rus





16+
Шашки по городу: Россия





16+
Эволюция Капибары: Кликер





16+
Hill Racing 2.0





16+
Ограбление банка 3
Xavfsizlikni tahlil qilish tizimlari tomonidan ta'minlangan nazorat reaktiv, kechiktirilgan, yangi hujumlardan himoya qilmaydi, ammo shuni yodda tutish kerakki, mudofaa qatlamli bo'lishi kerak va xavfsizlikni nazorat qilish chegaralardan biri sifatida juda mos keladi. Ma'lumki, hujumlarning aksariyati muntazamdir; ular faqat ma'lum xavfsizlik teshiklari yillar davomida tuzatilmaganligi sababli mumkin.
Axborotni himoya qilish dasturiy ta'minoti - axborot tizimidagi ma'lumotlarni himoya qilish uchun mo'ljallangan maxsus dasturlar va dasturiy ta'minot tizimlari.
Dasturiy vositalarga foydalanuvchini identifikatsiya qilish, kirishni boshqarish, vaqtinchalik fayllar kabi qoldiq (ishchi) ma'lumotlarni o'chirish, himoya tizimini test nazorati va boshqalar uchun dasturlar kiradi. Dasturiy ta'minot vositalarining afzalliklari - ko'p qirralilik, moslashuvchanlik, ishonchlilik, o'rnatish qulayligi, o'zgartirish va rivojlantirish qobiliyati.
Kamchiliklari - fayl serveri va ish stantsiyalari resurslarining bir qismidan foydalanish, tasodifiy yoki qasddan o'zgarishlarga yuqori sezuvchanlik, kompyuter turlariga (ularning texnik vositalariga) bog'liqlik.

Yüklə 2,37 Mb.

Dostları ilə paylaş:
1   2   3   4   5   6   7   8   9



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət
gir | qeydiyyatdan keç
    Ana səhifə
Stomatologiya
Anesteziologiya
Cərrahlıq
Ginekologiya
Tibb

yükləyin