Автор работы: Пользователь скрыл имя, 20 Февраля 2012 в 00:28, лекция
Ақпараттық қауіпсіздіктің негізгі құрауыштары. Келесі ұғымдарға тоқталайық: қолжетімділік, бүтіндік, конфиденциалдық.
Қолжетімділік – бұл белгілі уақыт ішінде талап етілген ақпаратқа қол жеткізу.
ДӘРІСТІК КЕШЕН
Тақырып №1. Курстың негізгі ұғымдарына кіріспе.
Негізгі сұрақтар: Пән терминологиясының ерекшелігі.
қорғау рәсімдер нысаналы криптография
құралы
қатынау
түрлері
Сурет1. Негізгі түсініктердің логикалық сұлбасы
Ақпараттық қауіпсіздіктің негізгі құрауыштары. Келесі ұғымдарға тоқталайық: қолжетімділік, бүтіндік, конфиденциалдық.
Қолжетімділік – бұл белгілі уақыт ішінде талап етілген ақпаратқа қол жеткізу.
Бүтіндік – ақпаратты әр түрлі өзгерістерден, бүлінуден сақтайтын қасиет. Бүтіндікті статикалық және динамикалық бөлімдерге жіктеуге болады.
Конфиденциалдық – ақпараттың құпиялылық деңгейін көрсете алатын қасиет. Көптеген ақпараттық жүйені қолданатын мекемелер үшін бірінші орында қолжетімділік, екінші орында бүтіндік, себебі бүлінген ақпаратты қолданудан еш пайда жоқ және үшініші орында конфиденциалдық (көптеген оқу институттары қызметкерлердің жалақысын айтпауға тырысады).
Ақпараттық жүйелер белгілі ақпараттық қызметтер үшін құрылады. Осы және басқа да жағдайларға байланысты бұл қызметтерді пайдаланушыға ұсыну мүмкін емес, бұл барлық ақпараттық қатынастардың субъектілеріне зиян келтіреді. Біз ақпаратты қорғау деп ақпаратты кездейсоқ бүлінуден қорғау деп түсінеміз. Ақпаратты қорғау – бұл ақпаратты қорғауға бағытталған шаралар кешені. Өкінішке орай қазіргі бағдарламалық технологиялар қатесіз бағдарлама құруға мүмкіндік бермейді, соған орай ақпараттық қауіпсіздікті қамтамасыз ету әдістері де қарқынды, тез дами алмайды.
Ақпараттық ресурстарға рұқсат етілмеген қатынас жасаудан қорғау, ақпараттық жүйенің қауіпсіздігін қамтамасыз ету әр мемлекеттің маңызды ақпараттық қауіпсіздік кешендерінің бірі болып табылады.
Тақырып №2. Компьютерлік жүйелердегі ақпаратты қорғау мәселелерінің өзектілігі.
Негізгі сұрақтар: Қорғаныс жүйесін құру концепциясы. Мәселенің қазіргі күнгі жағдайы.
Ақпаратты қорғау аймағы және ақпараттық қауіпсіздік информатикамен замандас және тез дамып келе жатқан бұтағы. Ақпараттың әртүрлі салада (коммерциялық, жеке және тағы басқа) электронды түрде жинақталуы оны қорғау мәселесін тудырады. Соған байланысты әлемде ақпаратты қорғау мәселесінің актуалдығын тудыратын обьективті процестер болып жатыр.Бұлар:
Интернет және желілік технологияларды жиі қолдану;
Қолданушылар санының өсуі;
Ақпараттық технологияларды адам өмірінің әртүрлі салаларында үлкен көлемде қолдануы;
Ақпаратты қорғау амалдарының жетіспеуі және шектеулігі;
Ақпаратты қорғау деп- ақпаратты жойылып кету қауіпінен сақтауға арналған нысаналы әрекет, құндылық ететін ақпаратқа бекітілмеген және әдейі емес әсер ету. Қауіпсіздік- қорғану күйі. Қауіпсіздікті жеткілікті деңгейде бағалаудың екі амалы болады:
1. Құндылық жақындығы қаскүнем ақпаратты алу жолында үлкен
көлемде шығындалса, сонша ол ұтады деген көзқарасқа негізделген.
2. Уақыт жақындығы ақпаратты жою фактісіне негізделген.
Тақырып №3. Ақпаратты қорғау құралдарына жалпы шолу
Негізгі сұрақтар: Аппараттық, ұйымдастырушылық, программалық қорғау құралдары.
Ақпараттық қауіптер. Ақпараттық қауіпсіздіктің бұзылуына мүмкіндік тудыратын жағдайды қауіп деп атаймыз. Ақпараттың қауіпсіздігіне төнетін қауіптер ақпараттық жүйелердің өмірлік циклінің әртүрлі кезеңдерінде және әртүрлі көздерден туындауы мүмкін. Қауіпті жүзеге асыру талпыныстар ақпараттық шабуылдар немесе жай шабуылдар деп атайды. Белгілі ақпараттық қауіп - қатерлерді бірнеше сипаттары бойынша жіктеуге болады.
Ақпараттық жүйелер мен өңделіп жатқан ақпаратқа адамның еркінен тыс стихиялық табиғи құбылыстардың физикалық әсерінен келген қауіптерді кездейсоқ қауіптер деп атайды. Ақпараттық жүйелердің элементтеріне әсер ететін кездейсоқ қауіптердің себептеріне қолдану кезіндегі аппараттардың істен шығуы, қызмет көрсетуші мамандардың кездейсоқ қателіктері, сыртқы орта әсерінен мәліметтерді жіберу каналдарындағы кедергілер, ақпараттық жүйелердің аппараттық және бағдарламалық сегменттерін жасаушылардың қателіктері, апаттық жағдайлар жатады.
Аппаратураның істен шығу жиілігі, жобалау қателігінің мүмкіндігі сияқты, жүйелердің күрделенуі кезінде артады. Адам автоматтандырылған жүйенің элементі ретінде техникалық құралдармен салыстырғанда бірқатар артықшылықтарға (ең алдымен, жұмыс барысында туындайтын жағдайларға бейімделу қабілеті, т.б.) ие болғанымен, оның да бірқатар кемшіліктер бар. Негізгі кемшіліктері - бұл шаршауы, психикалық параметрлердің физикалық және эмоционалды күйлерге тәуелділігі, қоршаған ортаның өзгерістеріне сезімталдығы.
Адам - оператордың қауіптері логикалық (дұрыс қабылданбаған шешімдері), сенсорлық (оператордың ақпаратты дұрыс қабылдамауы) және оперативті (жедел) немесе моторлы (шешімді дұрыс жүзеге асырмау) болуы мүмкін. Адамның қауіптерінің интенсивтігі ақпаратты өңдеу үрдісіне қызмет көрсету кезінде орындалған операциялардың (амалдардың) жалпы санының бірнеше пайыздарының шегінде ауысып отыруы мүмкін.
Кездейсоқ қауіптерге автоматтандырылған жүйе орналасқан объектіде болуы мүмкін апаттық жағдайлар да жатады. Апаттық жағдайлар - бұл ақпараттық жүйе аппаратурасының істен шығуы, стихиялық қиыншылықтар (өрт, су тасқыны, жер сілкінісі, дауылдар, найзағай және т.б.). Мұндай жағдайлардың ықтималдығы, ақпараттық жүйені жобалау үрдісінде техникалық шешімдерді таңдаумен жүйенің қызмет көрсету үрдісін ұйымдастыруымен анықталады.
Кездейсоқ қауіптермен салыстырғанда, жасанды немесе қасақана жасалған қатерлер шеңбері анағұрлым кең және қауіпті. Қасақана жасалған қатердің әрекеті ақпараттық жүйені құрайтын барлық элементтер мен ішкі жүйелер жиынтығына қарсы бағытталады. Қасақана жасалатын қатерлердің келесі түрлері басқалардан жиі жүзеге асырылады:
- ақпаратқа заңды тұлғалар қатарына жатпайтын адамдардың қатынауы;
- ақпараттық жүйелердің заңды қолданушыларының өз өкілеттілігіне жатпайтын ақпараттарға қол сұғуы;
- бағдарламалар мен мәліметтерді заңсыз көшіру;
- ақпараттың жойылуына әкелетін физикалық тасымалдаушылар мен құрылғылардың ұрлануы;
- ақпаратты қасақана жою;
- құжаттар мен мәліметтер қорын заңсыз модификациялау;
- байланыс арналары арқылы берілетін хабарламаларды фальсификациялау (бұрмалау, өзгерту);
- байланыс арналары арқылы тасымалданған хабарламалардың авторлығынан бас тарту;
- жалған хабарламалар тарату;
- ақпараттарға зиянды бағдарламалар көмегімен, соның ішінде компьютерлік вирустармен әсер ету.
Ақпараттық шабуылдар. Рұқсатсыз қатынау (РҚ) - ақпараттық шабуылдардың неғұрлым көп тараған түрі. Мұнда заңсыз қолданушы қандай да бір мекеменің ақпарат қауіпсіздігін қамтамасыз етуге бағытталған саясатына сәйкес ережелерін бұзып, ақпараттық жүйеге әрекет ету мүмкіндігіне заңсыз ие болады. Бұл жағдайда заңсыз қолданушылар ақпараттық жүйені құру барысында жіберілген қателіктерді, қорғау құралдарының дұрыс таңдалып, орнатылмағандығын пайдаланады. Мұндай шабуылдар ақпараттық шабуылдар үшін арнайы әзірленген аппараттық және программалық құралдар қолданылуы мүмкін.
Ақпараттың қауіпсіздігіне келетін қауіптер ақпараттық жүйенің элементтерінің арасында да, жүйеден тыс та орналасуы мүмкін. Қасақана қауіп төндіруші жүйенің заңды қолданушысы да, бөтен адамдар да болуы мүмкін. Бірінші жағдайда ақпаратты қорғауға байланысты қатал шаралардың көмегімен шабуылды тоқтату мүмкіндігі болса, екінші жағдайды залалсыздандыру үшін үлкен күш пен құралдарды қолдану қажет.
Соңғы кездегі глобальды ақпараттық - есептеу жүйелерінің кең таралуына байланысты ақпараттық шабуылдар жүйеден тыс адамдар жасайтын жағдайларға жиі тап болуға болады. Қауіптің мұндай түрін ұйымдастыру алыстатылған шабуылдар деп аталады. Әсер етуіне байланысты алыстатылған шабуылдарды белсенділігі төмен (пассивті) және белсенді (активті) деп бөлуге болады.
Пассивті шабуыл ақпараттық жүйенің жұмысына тікелей әсер етпейді, ал белсенді (активті) шабуыл құпиялылықты бұзу арқылы ақпараттың тұтастығы мен құпиялылығына нұсқан келтіреді. Ол сондай-ақ ақпаратты қолданушыға немесе ақпараттық жүйені қолданушыларға кері психологиялық әсер ету арқылы да ақпаратқа шабуыл жасауы мүмкін. Шартты-пассивті ақпараттық шабуылды бөлек топ ретінде қарастыруға болады, мұнда компьютерлік барлау жүргізіліп, белсенді шабуылға дайындық жасалады.
Кез келген шабуылдың негізгі, мақсаты - ақпаратқа заңсыз қатынауға қол жеткізу. Мұндай шабуылдардың нәтижесінде ақпарат басқа қолға өтеді немесе өзгереді. Ақпараттың басқа қолға өтуі ол ақпаратқа қатынауға мүмкіндік береді, бірақ оны модификациялау мүмкіндігі жоқ. Кейде бұл заңсыз қатынау ақпараттың жариялануына әкеледі, бұл жағдайда ақпараттық құпиялылығы бұзылады. Ақпараттық шабуылдың, тағы бір мақсаты ақпараттық жүйе элементтерінің жұмыс қабілетіне нұқсан келтіру. Бұл жағдайда әрекет етуші ақпаратқа, заңсыз қатынауды көздемейді, оның негізгі мақсаты - ақпараттық жүйенің аппараттық және программалық жабдықтарының қалыпты жұмысын бұзу, шабуылданған объектінің ресурстарына қатынауға шектеу қою [1].
Қауіпсіздік механизмі түсінігі. «Тоқсары (оранжевая) кітапта» айтылғандай, қауіпсіздікке келесі элементтер кіреді:
- туындалған қатынаудың басқарылуы;
- қайта қолданылатын объектінің қауіпсіздігі;
- қатынаудың күштеп басқарылуы;
- қауіпсіздіктің көзделуі.
Қатынаудың туындалған басқарылуы – бұл субъект кіретін топтарға немесе жеке субъектілер есебінде негізделген объектілерге шектеулі қатынау жасау әдісі.
Қайта қолданылатын объектінің қауіпсіздігі – қатынауды басқаруды маңызды тәсілдермен толықтыру. Ол – дискілі блоктар және магнит тасушылар үшін, оперативті жад облысы үшін кепіл беруі тиіс. Қатынаудың күштеп басқарылуы – субъект және объектінің қауіпсіздігін көздеуге негізделген.
Қауіпсіздікті көздеу – «Тоқсары кітапқа» сәйкес екі бөлікке бөлінеді: құпиялық дәреже және дәреже тізімі. Субъект ақпаратты объектіден оқи алады, егер субъектінің құпиялық дәрежесі объектіден қарағанда төмен болмаса. Ал объектінің барлық категориялары субъектінің көздеу қауіпсіздігінде тізімделген. Бұл айтылған қатынауды басқару әдісі - күштеп қатынау деп аталады. Себебі ол субъектілердің еркінен тәуелсіз.
Ақпаратты қорғауға бағытталған іс - әрекеттер мынадай процедуралар арқылы жүзеге асырылады:
- аутентификация және идентификация;
- сенімді жолдардың ұсынылуы;
- тіркелген ақпараттың талдануы.
Идентификацияның қарапайым әдісі – жүйеге кіру үшін пайдаланушының атының енгізілуі. Пайдаланушының шынайылығын тексерудің қалыпты әдісі – пароль. Сенімді жолды берудің мақсаты – пайдаланушының қолданған жүйесінің шынайылығына көз жеткізу. Тіркелген ақпараттың талдануы жүйенің қауіпсіздігін қозғайтын жағдайлармен байланысты. Белсенді емес қорғанысқа келетін болсақ, «Тоқсары кітапта» көрсетілгендей екі түрлі кепілділік қарастырылады – операциялық және технологиялық. Операциялық кепілділік архитектуралық жүйе аспектісіне жатады, ал технологиялық – жетекшілік ету тәсілдеріне жатады. Операциялық кепілділікке мынандай элементтер кіреді:
- жүйе архитектурасы;
- жүйе бүтіндігі;
- ақпаратты тасымалдаудығы жасырын каналдардың тексерілуі;
- үзілістен кейінгі сенімді қалыпқа келтіру.
Технологиялық кепілділік жүйенеің өмірлік айналымын қамтиды.
Қауіпсіздік кластары. «Тоқсары кітапта» төрт сенімді дәреже анықталады – Д, С, В және А. Д дәрежесі қанағаттандырылмаған жүйе үшін арналған. С және В сенім дәрежелері біртіндеп өсетін кластарға (С1, С2, В1, В2, В3) бөлінеді. 6 негізгі қауіпсіздік кластары бар - С1, С2, В1, В2, В3, А1.
Сурет 15 Қауіпсіздік кластарының жіктелуі
С1 класы:
- сенімді есептеуіш қоры пайдаланушы объектілеріне қатынауды басқарады;
- аутентификация үшін қандай да бір қорғаныс механизмі қолданылуы керек, мысалы парольдер.
- аутентификациялық ақпарат рұқсат етілмеген қатынаудан қорғалуы керек.
- қорғаныс механизмдері сай келу деңгейіне байланысты тестіленіп отыруы керек.
С2 класы:
- сенімді есептеуіш қоры бақылау қоры арқылы тіркеу ақпараттар журналын қолдап, қорғау арқылы құру керек;
- қатынау құқығы жоғары дәлдікпен пайдаланушыға беріліп және барлық объектілер бақылауға алынуы керек;
- тестілеу оқшауланған ресурстар механизмінде нақты кемшіліктердің жоқ екендігін айқындайды.
В1 класы:
- сенімді есептеуіш қоры қауіпсіздік белгілерін басқаруы тиіс;
- сенімді есептеуіш қорының қолдауымен қауіпсіздік саясатының формальді және формальді емес моделі болуы тиіс;
- сенімді есептеуіш қоры барлық субъектілерге еріксіз қатынауды қамтамасыз етуі тиіс.