Дәріс. Информациялық қауіпсіздік. Негізгі анықтамалар
Жоспар:
1. Информациялық қауіпсіздік
2. Информациялық қауіпсіздіктің қауіптері
Әр түрлі ғылымдар «информация» терминіне түрлі анықтама береді. Мысалы, философияда информация түрлі заттық-энергетикалық формаларда бір объектіден екінші объектіге берілетін, материялдық объектілер мен процесстердің белгілі бір күйін сақтайтын және туындататын қасиеті ретінде қарастырылады.
Кибернетикада информация анықталмағандықтың жойылу өлшемі деп түсінуге келіскен.
Бұл курста информация деп ақырлы (мысалы, бинарлық) алфавиттің символдарында көрсетіле алынатынның бәрін түсінеді.
Мұндай анықтама үйреншікті емес, демек жат болып көрінуі мүмкін.Дегенмен, қазіргі заманның есептеуіш техникасының негізгі архитектуралық қағ идаларынан бұл анықтама кәдімгі қалпымен түсінікті болып шығады. Шынында да біз бұл курста автоматтандырылған жүйелердің ақпараттық қауіпсіздігіне көп көңіл бөлеміз, ал қазіргі есептеуіш техниканың көмегімен өңделетін ақпарат екілік санау жүйесінде беріледі.
Біз автоматтандырылған жүйелерді қарастырамыз. Информацияны өңдеудің автоматтандырылған жүйесі (АЖ) ретінде келесі объектер жиынтығын түсіну керек:
1) есептеуіш техника құралдарын;
2) программалық жасауды;
3) байланыс арналарын;
4) түрлі тасушылардағы информацияларды;
5) қызметшілер мен жүйені пайдаланушыларды.
АЖ-нің информациялық қауіпсіздігі жүйенің мына күйлерінде:
1) жүйенің сыртқы және ішкі қауіп-қатерлердің тұрақсыздандыру әсеріне қарсы тұра алу қабілеті бар кезіндегісі;
2) жүйенің жұмыс істеуі және жүйенің бар болуы сыртқы ортаға және оның өзінің элементтеріне қауіп келтірмеуі кезіндегісі қарастырылады.
Тәжірибе жүзінде информациялық қауіпсіздік қорғалатын информацияның келесі негізгі қасиеттерінің жиынтығы ретінде қарастырылады:
конфиденциалдылық (құпияла нғандық), яғни информацияға тек заңды пайдаланушылар қатынай алатындығы;
тұтастық, біріншіден, тек заңды және сәйкесті өкілдігі бар пайдаланушылар ғана өзгерте алатын информацияның қорғалуын, ал екіншіден информацияның ішкі қайшылықсыздығын және (егер бері лген қасиет қолданыла алатын болса) заттардың нақты жағдайын бейнелеуін қамтамасыз ететіндігі;
қатынау қолайлығы, қорғалатын информацияға заңды пайдаланушыларға бөгетсіз қатынаудың кепілі болуы.
Информациялық қауіпсіздікті қамтамасыз етуге бағытталған қызм ет информацияны қорғау деп аталып жүр.
Информациялық қауіпсіздікті қамтамасыз ету әдістері сан түрлі.
Желілік қауіпсіздік сервистері есептеуіш жүйелерде және желілерде өңделетін информацияның қорғау механизмдерін береді. Инженерлік-техникалық әдістер өзінің мақсаты ретінде техникалық арналар арқылы информацияның жайылып кетуінен информацияның қорғалуын қамтасыз етуді қарастырады (мысалы, электромагнит сәулеленуін немесе сөйлеу информациясын ұстап қалуды). Информацияны қорғаудың құқықтық және ұйымдастырушылық әдістері нормалар үлгілерін жетілдіру үшін информациялық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі қызметтерді ұйымдастырады.
Информациялық қауіпсіздікті қамтамасыз етудің теориялық әдістері өз кезегінде екі негізгі мәселені шешеді. Біріншіден, информациялық қауіпсіздікті қамтамасыз етуге байланысты әр түрлі процесстерді формализациялау. Мәселен қатынауды басқарудың формалды модельдері жүйедегі барлық мүмкін болатын информациялық ағындарды қатаң сипаттауға мүмкіндік береді – демек, қауіпсіздіктің қажетті қасиеттерінің орындалуына кепіл болады. Осыдан екінші мәселе туындайды – ол, қорғалу деңгейін талдағанда информациялық қауіпсіздікті қамтамасыз етудегі жүйелер қызметінің қисындылығы мен адекваттығының 3 қатаң негізделуі. Мысалы информация қауіпсіздігінің талаптары бойынша мұндай жағдай автоматтандырылған жүйелердің сертификаттауын жүргізу кезінде пайда болады.
Автоматтандырылған жүйе (АЖ) қауіпсіздігінің анықтамасын бергенде қауіп түсінігі туралы айтылған еді. Жалпы жағдайда, қауіп ретінде біреудің мүдделеріне зиян келтіретін жағдай немесе процесс ретінде түсінеміз.
Өз кезегінде автоматтандырылған жүйенің информациялық қауіпсіздігіне қауіп дегеніміз – бұл АЖ өңдейтін информацияның конфиденциалдығы, тұтастығы мен қатынау қолайлығының бұзылуына әкеліп соғатын әсерлердің жүзеге асырылуы және де АЖ құраушыларының жоғалуына, жойылуы мен қызмет етуін тоқтатуын а келтіретін мүмкіндігі.
Қауіптердің жіктелуі көптеген белгілері бойынша жүргізілуі мүмкін. Олардың ең көп таралғандарын келтіріп өтейік.
1. Пайда болу табиғатына қарай табиғи және жасанды болып бөлінеді. Табиғи –бұл адамға байланыссыз АЖ -ге физикалық процесстер мен табиғи апаттардың әсер ету нәтижесінде пайда болған қауіп. Өз кезегінде жасанды қауіп адамның әрекетінен туындайды.
Табиғи қауіптің мысалы ретінде өрт, тасқын, цунами, жер сілкінісі және т.б. айтса болады. Мұндай қауіптің жағымсыз жағы – оны болжаудың қиындығы және мүмкін еместігі.
2. Ниеттілік дәрежесіне сәйкес кездейсоқ және қасақана болып бөлінеді. Кездейсоқ қауіп қызметшілердің немқұрайдылығынан немесе әдейілеп жасалмаған қателіктерінен пайда болады. Қасақана қауіп әдетте бағытталып жасалған әрекет нәтижесінде пайда болады.
Кездейсоқ қауіптің мысалы ретінде байқаусыз деректердің қате енгізілуін, абайсыз жабдықтың бүлдірілуін келтіруге болады. Ал қаскүнемнің физикалық қатынаудың белгіленген ережелерін бұзып қорғалатын аймаққа рұқсатсыз кіру қасақана қауіптің мысалы болып табылады.
3. Қауіп көзіне тәуелді келесідей бөледі:
қауіп көзі – табиғи орта. Мысалы: өрт, тасқын және басқа да табиғи апаттар;
қауіп көзі – адам. Мысалы, бәсекелес ұйымның АЖ қызметкерлері қатарына өз агенттерін енгізу;
қауіп көзі – рұқсатты программалық-аппараттық құралдар. Мысалы,
жүйелік утилиттерді пайдалануды жете білмеушілік;
қауіп көзі – рұқсатсыз программалық-аппараттық құралдар. Мысалы,
жүйеге кейлоггерлерді *) енгізу;
4. Қауіп көзінің орналасуына байланысты былай бөлінеді:
қауіп көзінің бақылау аумағынан тыс орналасуынан пайда болатын қауіп.
Мысалы, жанама электромагнит сәулеленулерін (ЖЭМС) немесе байланыс арналарымен беріліп жатқан деректерді ұстап алу; қашықтан фото - және бейнетүсіру; бағытталған микрофон көмегімен акустикалы қ информацияны ұстап қалу;
қауіп көзінің бақылау аумағының шекарасында орналасуы. Мысалы, білдірмей тыңдау құрылғыларын қолдану немесе конфиденциялды информациясы бар деректерді тасушыларын ұрлау.
5. АЖ-ге әсер ету дәрежесі бойынша пассивті және активті қауіп тер деп бөледі. Пассивті қауіп іске асырылғанда АЖ құрамына және құрылымына ешқандай өзгеріс 4 енбейді, ал активті қауіп, керісінше, АЖ құрылымын бұзады. Пассивті қауіптің мысалы ретінде деректер файлдарын рұқсатсыз көшіруді келтіруге болады.
6. АЖ ресурстарына қатынау тәсілі бойынша былай бөлінеді:
стандартты қатынауды қолданатын қауіп. Мысалы, заңды иеге қатысты пара беру, шантаж, физикалық қауіп төндіру арқылы рұқсатсыз парольді алу;
стандартты емес қатынауды қолданатын қауіп. Мысалы, қорғау құралдарының ресми мәлімделмеген мүмкіндіктерін пайдалану.
Қауіптердің жіктелу критерийлерін жалғастыра беруге болады, дегенмен, әдетте жоғарыда айтылып кеткен қорғаланатын информацияның үш негізгі қасиеттеріне сүйеніп, қауіптердің келесі негізгі жіктелінуін пайдаланады:
1. Информацияның конфиденциялдығын (құпияланғандығын) бұзатын қауіптердің орындалу нәтижесінде құпия информациямен танысу үшін өкілдігі жоқ субъектіге информацияға қатынау мүмкіндігі туады.
2. Информацияның тұтастығын бұзатын қауіптерге, АЖ көмегімен өңделініп жатқан информацияны кез келген қаскүнемділікпен бұрмалау немесе құрту жатады.
3. Информацияның қатынау қолайлығын бұзатын қауіптерге, АЖ ресурсына рұқсаты бар пайдаланушының қатынауы бұғатталғанда туындайтын жағдайлар жатады.
Иллюстрациялық материал:слайд
Дәріс. Информация құпиялығын бұзу қаупінен қорғанудың жүйелерін құру. Қорғаныс жүйесінің моделі
Жоспар:
1. Физикалық қауіпсіздік және жалпы ұйымдастыру шаралары
2. Идентификация және аутентификация
3. Парольдік жүйелерді дайындау
Автоматтандырылған жүйелерде құрылатын информация құпиялығын бұзу қаупінен қорғаудың жүйелері комплексті болып келеді. Қорғаныстың дәстүрлі эшелондалған.
Қорғанысты қамтамасыз етуде пайдаланылатын ішкі жүйелердің жұмысын толығырақ қарастырайық.
Бұл механизм, жалпы, келесідей шараларды қарастырады:
Автоматтандырылған жүйеге физикалық қатынауды реттеу
Күзет қызметі және физикалық қауіпсіздік
Қызметкерлер мен әр түрлі келушілердің орын ауыстыруын бақылау жүйесін ұйымдастыру (оның ішінде видеобақылау, әр түрлі карталар және т.б.)
Түрлі регламент, қызметтік нұсқаулықтар жасап шығару әрі енгізу
Құпия информациясы бар тасымалдаушылармен жұмыс істеуге байланысты регламент дайындау
Автоматтандырылған жүйенің атқаратын қызметіне қарамай -ақ, жоғарыда келтірілген шаралардың дұрыс ұйымдастырылуы қауіпсіздіктің жалпы деңгейін көтерері сөзсіз екендігі көрініп тұр.
Идентификация – қатынасатын субъектке арнайы идентификатор (қайталанбайтын) тағайындау және оны мүмкін болатын идентификатор тізімімен салыстыру операциясы.
Аутентификация – қатынасатын субъект пен оның идентификаторының сәйкестігін тексеру әрі растау операциясы.
Қысқа түрде, идентификацияның мақсаты «бұл кім?» деген сұраққа жауап беру болса, аутентификацияның мақсаты «бұл расында да сол ма?» деген сұраққа жауап беру болып табылады.
Көрсетілген схема аутентификацияны орындау барысында оператордан кетуі мүмкін қатені ескереді: егер аутентификация өтілмеген болып әрі жүйеге ену саны көрсетілген реттен Қолданушы идентификаторын енгізу
Индентификатор дұрыс па?
Аутентификация процедурасын шақыру
Аутентификация сәтті өтті ме?
Қолданушы жүйеге кірді
Қайталап көруге бола ма?
Қате кеткендігі туралы хабарлау
Заңсыз қатынау туралы сигналдау
Уақытша құрсаулау (блокировка) 6 аспаса, қолданушы идентификация (аутентификация) операциясын тағы да орындап көруі мүмкін.
Бүгінгі таңда қолданылатын аутентификацияның әдістерін үлкен 4 топқа бөлуге болады:
1. Белгілі бір құпия информацияны білуге негізделген әдістер. Бұл әдістің бәрімізге таныс мысалы – парольдік қорғаныс. Қолданушы жүйеге кірер кезде пароль, яғни таңбалардың құпия тізбегін, енгізу керек болады. Аутентификацияның бұл әдісі ең кең таралған болып табылады.
2. Қайталанбайтын зат (нәрсе) қолдануға негізделген әдістер. Қайталанбайтын зат ретінде түрлі смарт карталар, токен, электрондық кілттерді айтуға болады.
3. Адамның биометриялық белгісіне негізделген әдістер. Іс жүзінде биометриялық белгілердің келесідей түрлері қолданылады:
Саусақтың ізі
Көздің торлы қабықшасы не мөлдір қабықшасының суреті
Қолдың жылулық суреті
Беттің фотосуреті не жылулық суреті
Жазу (қолтаңба)
Дауыс
Осы әдістердің кең таралғандары болып саусақ ізінің және көздің торлы қабықшасын сканерлеу болып табылады.
4. Қолданушымен байланысты ақпаратқа негізделген әдіст ер. Мұндай әдістердің мысалы ретінде қолданушының GPS арқылы алынған координаттарын айтуға болады. Әрине, бұл әдісті жалғыз пайдаланған сенімді болмас, дегенмен басқа әдістермен бірге комплексті түрде пайдалануға әбден болады.
Жоғарыда көрсетілген механизмдерді аралас пайдалануды көпфакторлық аутентификация деп атайды.
Аутентификацияның көптеген әдістерінің ішінде парольдік қорғаныстың ең кең таралған әдіс екендігін жоғарыда айтып өттік. Парольдік қорған ыстың жиі қолданылатындығының себептерінің кейбіреуін келтірейік:
Жүзеге асырудың салыстырмалы түрдегі жеңілдігі. Шынымен-ақ, парольдік қорғаныс механизмін ұйымдастыруға, көп жағдайда, ешқандай артық аппараттық құралдар керек емес.
Дәстүрлік. Парольдік қорғаныс механизмі қолданушылардың көпшілігіне таныс, сондықтан басқа құралдарға қарағанда (м: көздің мөлдір қабықшасының сканерлеу) психологиялық жатсыну тудырмайды.
Дегенмен, парольдік қорғаныстың нәтижелі жұмысына қиындататын бір парадокс тән:
шыдамды парольдер адам қолдануына қиын. Парольдің шыдамдылығы оның ұзындығына байланысты, бірақ пароль ұзын болған сайын оны жаттап алу қиын да, адам оны бір жерге жазып қойғысы келіп тұрады. Ал жазып алынған пароль өз кезегінде басқа адамға белгілі болып қалуы мүмкін.
Қауіпсіздіктің парольдік жүйелерінің негізгі қауіптеріне кеңірек тоқталайық. Жалпы, пароль қаскүнемге үш жолмен түсуі мүмкін:
1. Адами факторлардың әлсіздігін пайдалану жолы. Бұл жерде пароль алу әдістері әр түрлі: пароль енгізу кезінде көріп алу, тыңдап а лу, шантаж немесе біреудің тіркелгісін рұқсатпен пайдалану
2. Теріп тауып алу. Бұл жерде келесідей әдістер пайдаланылады:
Барлық вариантты теріп, тауып алу. Бұл әдіс бойынша парольді енгізіп көру кезінде барлық мүмкін комбинация тексеріледі. Қаскүнемнің жүйег е кіру уақыты 7 көп болу керек екендігі өз -өзінен-ақ түсінікті. Бұл әдіспен шыдамдығы кез -келген парольдер табылады.
Сөздік бойынша теріп, тауып алу. Іс жүзінде пайдаланылатын парольдер мағыналы сөз не сөз тіркесі болып табылады. Осындай көп пайдаланылатын парольдер тізімделіп, сөздік жасалады. Осы сөздіктің көмегімен парольді тез тауып алуға болады.
Қолданушы туралы мәлімет бойынша теріп, тауып алу. Бұл әдістің негізінде әр қолданушы өз паролін өздері ойлап табу фактісі жатыр. Көп жағдайда, адамдар пароль ойлап тапқан кезде, өздеріне байланысты мәлімет енгізеді. Мысалы: итінің аты, не әжесінің аты, туған күндер және т.с.с. Осындай мәліметтер негізінде парольді тауып алуға болады.
3. Парольдік жүйелердің кемшілігін пайдалану. Мұндай кемшіліктерге келесіні жатқызуға болады: пайдаланылатын желілік сервистердің кемшілігі, құжаттамада көрсетілмеген мүмкіндіктер.
Парольдік қорғаныс жүйесін құру кезінде автоматтандырылған жүйенің ерекшелігін, түрлі қауіптердің анализін есепке алу керек. Сонымен қатар, келесідей практикалық ұсыныстар айтуға болады:
Парольдің минимал ұзындығын көрсету. Бұл кезде қаскүнемнің парольді толық енгізіп тауып алуына үлкен кедергі қойылады.
Пароль алфавитінің қуатын арттыру. Қуатты арттыру үшін арнайы таңбалар (доллар белгісі, үтір, нүкте және т.с.с) енгізуді міндеттеу керек. Бұл кезде де парольді толық енгізіп тауып алу қиындатылады.
Пароль тағайындау кезінде оны дайын сөздікпен тексеру. Егер пароль сөздікте бар болса, басқасын енгізуді талап ету.
Парольдің максимал жарамдылық мерзімін орнату. Бұл кезде парольді енгізіп тауып алу мүмкіндігін күрт азайтады.
Парольдің минимал жарамдылық мерзімін орнату. Қолданушы ескірген паролін жаңаға ауыстырған жағдайда, қайтадан ескі пароліне тездетіп ауысып кетпес үшін керек.
Парольді журналы бойынша тыйып отыру. Кезінде енгізілген парольді қайтадан пайдалануға бермеу.
Пароль енгізіп көру санын шектеу. Бұл өз-өзінен-ақ түсінікті.
Жүйеге алғашқы кіру кезінде парольді ауыстыруға міндеттеу. Бұл жағдайда
алғашқы парольді әкімшілік дайындағанымен, нәтижелік парольді қолданушылар өздері анықтайды.
Қате енгізу кезінде кідіріс жасау. Бұл кезде парольді енгізіп тауып алуға қиындық туады.
Парольді қолдан емес, автоматты түрде генерациялау негізінде дайындау. Бұл кезде парольдің шыдамды болады, бірақ қолданушылар қиын парольді ұмытып қала беруі де мүмкін.
Парольдік жүйелердің негізгі параметрлері арасындағы элементар байланысты бағалап көрейік. Келесі белгілеулерді пайдаланамыз:
– Пароль алфавитінің қуаты 8
– Пароль ұзындығы
– Пароль кеңістігінің қуаты
– Парольді енгізіп тауып алу жылдамдығы
– Парольдің жарамдылық мерзімі
– Парольді мерзімінде енгізіп тауып алу ықтималдығы
Осы белгілеулердің арасындағы келесі ара қатынасты байқауға болады:
Көп жағдайда, парольді енгізіп тауып алу жылдамдығы мен парольдің жарамдылық мерзімі белгілі болады. Бұл жағдайда, керек мәніне байланысты кеңістікті есептеп алуға болады.
Ықтималдық пен жылдамдықтың тура пропорционалдығынан келесі жайт туындайды.
Парольді енгізіп тауып алу жылдамдығы төмен болса, оны тауып алу ықтималдығы да төмен болады. Демек, егер парольді енгізіп тауып алу кезінде, мысалы, хэш-функциялар пайдаланылатын болса, онда жай хэш-функция емес, баяу орындалатын хэш-функцияларды пайдаланған жөн.
АЖ жағдайында пароль сақтаудың келесідей үш түрлі әдісі бар:
1. Ашық түрде. Бұл әдіс, негізі, жақсы емес. Себебі, парольдің қолды болуының жолдары көбейеді. Неге қолданады десеңіз, жауабы былай: қорғанысты орнатқан кісінің білімсіздігі
2. Хэш-мәндер түрінде. Бұл әдістің ыңғайлылығы парольдерді хэш-функциялар
бойынша салыстыруында. Бұл функциялар парольмен байланысты болғанымен, хэш бойынша парольді кері есептеу қиын.
3. Шифрланған түрде. Пароль белгілі бір криптографиялық алгоритммен шифрланады.
Бұл жағдайда кілт келесі жерде сақталады:
Жүйенің тұрақты элементінде
Белгілі бір тасымалдаушыда (электрондық кілт, смарт карта және т.с.с). Тасымалдаушы жүйеге кіргенде керек болады.
Кілт сақталмайды, керек кезде генерацияланады. Генерация АЖ -нің басқа параметрлері негізінде жүзеге асырылады, м: жүйеге кіргенде кілт әкімшінің паролінен генерацияланады.
Парольді желі бойымен жіберудің келесідей варианттары бар:
1. Ашық түрде жіберу. Бұл әдіс қауіпті, себебі пароль байланыс арнасымен берілу кезінде қолды болуы мүмкін.
2. Хэш-мәндер түрінде жіберу. Бұл да сирек кездесетін әдіс. Хэш-функция қолды болып кетсе, жіберушіге тура сол функцияны қайтаруға болады.
3. Шифрланған түрде жіберу. Бұл әдіс ең дұрыс болып табылады. Шифрланған пароль кілтсіз ашылмағандықтан, қолды болса да, қаскүнем жүйеге кіре алмайды.
Иллюстрациялық материал:слайд