Көп тараған рұқсатсыз қол жеткізудің технологиялары.
Қаскүнемдер қаупсіздік жүйесіне кіріп алу алдында оларды ұқыпты оқиды. Көп жағдайларда олар құрастырушылар байқамаған айқын және қарапайым бұзу әдістерін табады. Компьютерлік қауіпсіздік туралы әнгімелегенде әрқашанда келесі ереже еске салынады: шынжырдың беріктігі оның ең әлсіз түйінінің беріктігінен жоғары емес. Мысалы, өте берікті қорғау жүйесінде оған қол жеткізу паролі мәтіндік файлда орталық каталогта сақталса немесе монитор экранында жазылса, бұл конфиденциалды жүйе бола алмайды. Ақпараттық желіге пайдаланушының кіру орындары терминалдар деп аталады. Егер де оларға бірнеше немесе кез келген адамның қолы жететін болса, онда оларды жобалағанда және пайдаланғанда бірсыпыра қауіпсіздік шараларын ұқыпты орындау керек.Физикалық қол жеткізуі бар терминалдарды қолданғанда келесі талаптарды орындау керек: терминалдың қорғалуы орналасу жерінің қорғалуына сәйкес болуы керек; орналасу орынға қол жеткізуді бақылау жүйесі дұрыс жұмыс істеуі және де ақпаратқа қол жектізудің жалпы сұлбасына сәйкес болуы керек.Алыстағы терминалдарды қолданғанда келесі ережелер орындалауы керек: кез келген алыстағы терминал тіркеу атымен паролді сұрауы керек; ағынды уақытта қажетті емес немесе бақыланбайтын модемдердің барлығын уақытысында өшіру керек; терминалдың log-in сұранысынан фирма атын, оның реквизиттарын, т.с. алып тастау керек.. Ең көп тараған паролдерді тауып алудың техникасы сөздік бойынша паролдерді сұрыптау болып табылған. Қазіргі кезде ақпараттық қауіпсіздіктің пропагандасының нәтижесінде ол көп қолданылмайды.Кейбір кезде бағдарламалық қамтамасыздандырудың әкімі өңдеушіден жаңа бағдарламалық өнімді алып, оның қауіпсіздік жүйесін тексермейді. Нәтижесінде, өңдеу фирмасында келісім бойынша орнатылған пароль жүйенің негізгі паролі болып қалады. Өңдеушілердің бағдарламалық қамтамасыздандыруларының барлық версияларына келісім бойынша орнататын паролдерінің тізімдерін Интернет желісінен табуға болады. Сондықтан, паролді ұқыпты таңдау керек, оның ақпараттық сыйымдылығы паролдерді толығымен сұрыптауға қажетті уақытқа сәйкес болуы керек; жүйені жұмысқа қосқан алдында келісім бойынша паролдерді өзгерту керек. Осыларды әсіресе желілік бағдарламалық қамтамасыздандыруға ұқыпты жасау керек.Паролдерді табудың екі негізгі мүмкіншіліктері келесі: оларды орнатылған тасымалдаушысына рұқсатсыз қол жеткізу жолымен немесе жүйенің іске асырылуының қателіктері мен құжатталмаған мүмкіндіктерін пайдалану болып табылады..Паролдерді алудың келесі әдісі тек қана желілік бағдарламалық қамтамасыздандыруда қолданылады.
35.Электронды пошта және оны дискредитациялау. Электронды пошта – технология және оның қайта сілтеу бойынша ұсынылған қызметтері және компьютерлік желінің үлестірілуі бойынша алынған электрондық хабарламалар (соның ішінде ғаламдық). Хабарлама жіберудің басқа жүйелерден айырмашылығы (мысалы, әбсәтте келетін хабарламалар қызметі) болып, кейінге қалдырылған жеткізулер мүмкіндігі және дамыған жүйемен тәуелсіз пошталық серверарасындағы қарым-қатынастар табылады.Электронды поштаның жалпы дамуы көпқолданушылық жүйелердегі қолданушылардың локальді ара-қатынысының дамуы арқылы жүрді. Қолданушылар mail бағдарламасын қолдану арқылы бір мейнфрейм (үлкен компьютер) шегінде бір-біріне хабарлама жібере алады. Келесі қадам басқа машинадағы қолданушыға хабарлама жіберу мүкіндігі болды – ол үшін машина атының көрсеткіші және машинадағы қолданушы аты қолданылады. Мекен-жай(адрес) foo!joe түрінде жазылады. Электронды поштаның үшінші қадамы үшінші компьютер арқылы хаттарды жіберудің құрылуы кезінде шықты. UUCP-адрес қолданған жағдайда қолданушы бірнеше аралықтағы машиналардан кейінгі қолданушыға дейін өзіне бағдар қосады (мысалы, gate1! Gate2! Foo!joe - арналған хат, gate1! Gate2! машиналары арқылы foo машинасына). Мұндай адресаттың кемшілігі болып, қолданушыға машина адресатының нақ жолын білуі керектігі табылады.
36.ISO/IEC 15408:1999 стандарты. Құрылымы және тағайындалуы.Соответствующий международный стандарт ISO/IEC 15408-1999 - введен в действие с 1 декабря 1999 года. Таким образом, фактически стандарт ISO/IEC 15408-1999 и версия 2.1 ОК совпадают, а если пренебречь описываемыми ниже нюансами, их названия могут считаться взаимозаменяемыми. Однако, строго говоря, "Критерии оценки безопасностиинформационных технологий " и " Общие критерии оценки безопасности информационных технологий " - разные документы, поскольку выпущены под эгидой разных организаций, руководствующихся разными правилами распространения и обновления.Стандарт содержит два основных вида требований безопасности: функциональные, предъявляемые к функциям безопасности и реализующим их механизмам, и требования доверия, предъявляемые к технологии и процессу разработки и эксплуатации.Чтобы структурировать пространство требований, в стандарте используется иерархия класс-семейство-компонент-элемент: классы определяют наиболее общую, «предметную» группировку требований, семейства в пределах класса различаются по строгости и другим нюансам требований, компонент — минимальный набор требований, фигурирующий как целое, элемент — неделимое требование.
37. Идентификация мен аутентификация.Ақпараттық жүйенің әр объектісімен оны бір мағыналы идентификациялайтын кейбір ақпарат байланысқан. Бұл көрсетілген объектті анықтайтын сан, символдар жолы, алгоритм болуы мүмкін. Осы ақпаратты объектінің идентификаторы деп атайды.Қорғау жүйенің бір функциясы объектті идентификациялау болып табылады. Объект желіге кіруге ынталанған кезде осы функция біріншіден орындалады. Егер де идентификациялау процедурасы ойдағыдай аяқталса осы желіге осы объект заңды болып есептеледі. Әдетте жүйе пайдаланушының аты мен идентификациялық нөмірін сұрайды. Келесі қадам – ақиқаттықты тексеру яғни объекттің аутентификациясы. Аутентификация немесе ақиқаттықты дәлелдеу байланыс желі арқылы бір бірімен байланысқан объектілердің өзара ақиқаттығын қолдау болып табылады. Бұл процедураның мақсаты – байланыс заңды объектімен орнатылғанының және ақпарат қажетті жерге жететінінің сенімділігін қамтамасыздандыру.Объект идентификацияланып, оның ақиқаттығы дәлелденгеннен кейін оның әрекеттер аймағы мен оған қол жеткізуге рұқсат етілген ақпараттық жүйенің ресурстарын орнатуға болады. Осындай процедураны уәкілдікті беру немесе авторизация деп атайды. Идентификация субъектіге (пайдаланушыға, анықталған пайдаланушы атынан әрекеттесетін процеске немесе басқа жабдықты-программалық компонентке) өзін атауға мүмкіндік береді (өзінің атын хабарлауға). Екінші жақ аутентификациялау жолымен субъект дәл сол өзін атаған субъект болатынын дәлелдейді. Аутентификация бір жақты (әдетте клиент өзінің ақиқаттығын серверге дәлелдейді) немесе екі жақты (өзара) болуы мүмкін. Бір жақты аутентификацияның мысалы – пайдаланушының жүйеге кіру процедурасы. Қазіргі кезде аутентификацияның келесідей үш есебі қарастырылады: пайдаланушыны аутентификациялау – қорғалатын ақпараттқа қол жеткізу қажет болған немесе желіге қосылғысы келген пайдаланушының ақиқаттығын дәлелдеу; мәліметтерді аутентификациялау – бақылаудан тыс кезде болған уақытта мәліметтер массиві өзгерілмегенін тексеру; хабарды аутентификациялау – байланыстың ашық каналы бойынша бір абонент басқа абонентке жіберген хабарының ақиқаттығын дәлелдеу.
38.Ақпараттық жүйелердің ресурстары.АЖ-ің қауіпсіздігіне негізгі қауіп-қатерлер. Мекеменің жұмысын қамтамасыздандыру және қауіп-қатерлері бар оқиғалардан пайда болатын зияндарын минимумдау ақпараттық қауіпсіздіктің мақсаты болып табылады. Қауіпсіздік жүйенің есептерін анықтау алдында ақпараттық ресурстары түгелденеді: әр ресурспен оның қожасы идентификацияланып, құжатталынуы керек. Ақпараттық жүйелермен байланысты келесідей ресурстарды атауға болады: а) ақпараттық ресурстар: мәліметтер қорлары мен мәліметтер файлдары, жүйелік құжаттар, пайдаланушылардың нұсқаулары, оқулық материалдар, операциялық және сүйемелдеу процедуралары, мекеменің тоқтаусыз жұмысын қамтамасыздандыру жоспарлары, апаттық режімге көшудің процедуралары; б) бағдарламалық ресурстар: қолданбалы бағдарламалық қамтамасыздандыру, жүйелік бағдарламалық қамтамасыздандыру, аспаптық құралдар мен утилиталар;
в) физикалық ресурстар: компьютерлер және коммуникациялық жабдықтар, байланыс каналдар, магнитты мәліметтерді сақтаушылар (ленталар және дискілер), басқа техникалық жабдықтар (көректену блогы, кондиционерлер), жиһаз, ғимараттар. Ақпаратты қорғау көзқарасы жағынан компьютерлік жүйе функционалдық қызметтер жиыны ретінде қарастырылады. Әр қызмет белгілі қауіп-қатерлерге қарсы тұралатын функциялар жиыны болып табылады. Әсерлер мақсаты жағынан АЖ-нің қауіпсіздігіне негізгі 3 типті қауіп бар: ақпараттың құпиялығын бұзу қауіп-қатері; ақпараттың бүтіндігін бұзу қауіп-қатері; жүйенің жұмыс қабілеттілігін бұзу қауіп-қатері (қызмет жасамау).Қауіп-қатерлердің келесідей түрлерін қарастыруға болады; а) табиғи қауіп-қатерлер: стихиялық апаттар (тасқын, дауыл, жер сілкіну, өрт); б) техникалық қауіп-қатерлер: авариялар, жабдықтардың, компьютерлердің, байланыс құралдарының жаңылуы және қызмет жасамауы; в) адам факторы: АЖ-ің компоненттерінің жобалау және өңделінуінің қателері; пайдаланудың қателері (пайдаланушылардың, операторлардың, қызмет жасау персоналының); пайдаланушылар мен қызмет жасайтын персоналдың абайсыз әрекеттері (әуестік); бұзушылардың әдейі әрекеттері; технологиялардың дамуы (вирустарды жазу технологияларының жетілденуі, бұзу құралдарының жасалынуы). Бұзушының типтерін келесідей белгілеуге болады: профессонал, әуесқой, дилетант, мекеме қызметкері. Қауіпсіздік моделі келесі талаптардың орындалуын талап етеді: қорғау жүйесіне қойылатын талаптарды анықтау; қорғау құралдары мен олардың сипаттамаларын таңдау;таңдалынған қорғау құралдарын, әдістерін ендіру; қорғау жүйесін басқару мен бүтіндікті бақылауды орындау.
39.Пайдаланушының ақиқаттығын тексеру.Пайдаланушылардың ақиқаттығын дәлелдеудің мүмкін болатын әдістері: пайдаланушы тек қана ресми пайдаланушы білетін ақпаратты (парольді) біледі; пайдаланушының сипатты индивидуалды ерекшеліктері бар болады (саусақтарының ізі, көз торының суреті); жабдықтық қамтамасыздандырудың элементтері (кілттер, магнитті карточкалар, микросхемалар); пайдаланушының жүріс-тұрысының сипатты амалдары мен ерекшеліктері (клавиатурадағы жұмыс істеу ерекшеліктері, манипулятормен жұмыс істеу амалдары); пайдаланушының дағдылары мен білімдері. Осы әдістердің көбісі пайдаланушыны бастапқы тексеруге, кейбіреулері оны жұмыс кезінде ағынды тексеруге жарайды. Парольдік аутентификациялау. Парольдік аутентификациялаудың негізгі артықшылығы қарапайымдылық пен үйреншіктік болып табылады. Парольдер операциялық жүйелер мен басқа сервистерге баяғыдан бері ендірілген. Дұрыс пайдаланған кезде парольдер қауіпсіздіктің көптеген мекемелерге жарамды деңгейін қамтамасыздандыралады. Бірақта сипаттарының жиыны бойынша парольдерді ақиқаттықты тексерудің ең әлсіз құралы деуге болады: жиі жағдайда парольді ұмытпас үшін, оны қарапайым таңдайды; кейбір кезде парольдер басынан құпия сақталмайды, себебі оларда құжаттарда көрсетілген стандартты мәндері болады, жүйені орнатқанда оларды өзгерте қоймайды; парольді енгізген кезде оны қарап алуға болады, кейбір кезде ол үшін оптикалық аспаптар қолданылуы мүмкін; Сонда да келесі шаралар парольдік қорғаудың сенімділігін едәуір жоғарлатуға мүмкіндік береді: техникалық шектеулерді қолдану (пароль өте қысқа болмауы керек, оның құрамында әріптер, цифрлар, тыныс белгілері, т.с. болуы керек); паролдерді қолдану мерзімін басқару, оларды уақытысында алмастыру; пайдаланушыларды оқыту; Дәстүрлі парольдік жүйелердің келесідей кемшілігі бар: аутентификация бір жақтан орындалады, басқа сөзбен айтқанда, тек қана пайдаланушы жүйеге өзінің құқықтарын дәлелдеуге тырысады. Осындай жағдай кәзіргі кездегі криптожүйелерге жарамайды, себебі алмасу процесіне қаскүнемнің кіріп кету мүмкіндігі бар болады. Сондықтан оларда өзара аутентификациялау немесе мәліметтерді бермей аутентификациялау хаттамаларын қолдану керек. Пайдаланушыларды аутентификациялаудың кейбір процедураларын қарастырайық. Пайдаланушының ақиқаттығын дәлелдеуге парольді қолдану. Пайдаланушының ақиқаттығын пароль көмегімен дәлелдеудің қарапайым әдісі пайдаланушы ұсынған РА парольді компьютерлік орталықта сақталатын парольдің бастапқы Р’A мәнімен салыстыруда негізделген. Кейбір кезде пайдаланушы парольдің бастапқы ашық түрін ашпауы керек. Ол кезде жіберуші парольдің ашық түрінің орнына парольге қолданылатын бір бағыттағы функция көмегімен оның бейнесін жібереді, мысалы, осындай функцияны келесідей анықтауға болады: мұнда P – жіберушінің паролі, ID – жіберушінің идентификаторы, EP – кілт ретінде P парольді қолданып орындалатын шифрлеу процедурасы. α(P) мәні алдын ала есептеліп, алушының идентификациялық кестесінде сақталады.
40. Кілттерді ашық тарату Диффи-Хеллман алгоритмі.Ашық кілті бар бірінші криптожүйені Диффи мен Хелман құрастырған. Олар желі абоненттерінің арасында алдын-ала келіспей ашық канал бойынша ақпаратпен алмасып жасырын кілтті өндіру әдісін ұсынды (1976 ж.). Бір бағыттағы функция ретінде олар дискретті дәрежесін табу функцияны ұсынды.Түрлендірудің кері айналмайтыны келесіде негізделген: р элементтерден тұратын шекті өрісте көрсеткіш y(x)=axmodp функциясын есептеу жеткілікті жеңіл, ал осындай өрістерде логарифмдерді есептеу (дискретті логарифмдеу) көп еңбекті талап ететін операция.Мысалы, екі А және В пайдаланушы қорғалған коммуникациялық каналды ұйымдастырғылары келеді. Алгоритм келесідей бейнеленеді:1) екі жақта модуль n (n жәй сан болуы керек) мен Zn жиынтығынан таңдалынған жәй g элемент туралы келіседі. Осы екі бүтін n және g сандары құпия сақталмауларына да болады. Әдетте, осы мәндер жүйе пайдаланушылардың барлығына жалпы болып табылады;2) содан кейін А және В пайдаланушылар бір бірінен тәуелсіз өздерінің жеке жасырын kA және kB кілттерін таңдайды (kA,, kB – кездейсоқ өте үлкен бүтін сандар болып табылады және де А мен В пайдаланушылармен құпия сақталады);З) содан кейін А пайдаланушы өзінің yA=gkAmodn ашық кілтін, ал В пайдаланушы өзінің yB=gkBmodn ашық кілтін есептейді;4) А мен В пайдаланушылары ашық yА және yB кілттерінің есептелген мәндерімен қорғалмаған канал бойынша алмасады. Қорғалмаған байланыс каналымен жіберілетін мәліметтердің барлығын қаскүнем ұстап алуы мүмкін деп есептеледі; 5) содан кейін А мен В пайдаланушылар төмендегі формулаларды қолданып, жалпы жасырын кілтті есептейді: А пайдаланушы:K=(yB)kA=(gkB)kAmodn;B пайдаланушы: K’=(yA)kB=(gkA)kBmodn; (gkB)kA=(gkA)kB болғандықтан K=K’ болады. Симметриялық криптожүйеде К кілтті жалпы жасырын кілт ретінде қолдануға болады (кілттерді шифрлеу кілт).Қаскүнем n, g, yA, yB мәндерін ұстап қалып К кілтті анықтағысы келеді. Бұл есепті шешу үшін N, g, yA бойынша gkAmodn=yAтеңдеуді қанағаттандыратындай kА мәнін есептеу керек (себебі осы кезде, kА-ны есептеп K=(yB)KAmodn табуға болады). Бірақ n, g, yA бойынша kА табу – шекті өрістегі дискретті логарифмді табу есебі, бұл есеп қазіргі кезде шешілмейтін есеп болып табылады.n және g мәндерін таңдау осы жүйенің қауіпсіздігіне маңызды әсер етеді. n модулі өте үлкен және жәй сан болуы керек, g саны Zn жиынтығының жәй элементі болуы керек.Нәтижесінде әр жақ келесі байланыс сеансында қолданатын шифралмасудың жасырын кілтіне ие боды. А мен В пайдаланушылардың өзара байланысу хаттамасын келесі сандық мысалда көрсетейік:1) А мен В пайдаланушылар: байланыс сеансының ашық параметрлері ретінде қолданылатын екі алдын-ала анықталған жәй сандар, мысалы, n = 13, g = 7 туралы келіседі, оларды жалпы қол жету жерде орнатады;2) А пайдаланушы: 1… n-1 диапазонынан кездейсоқ ретімен жасырын параметр ретінде жәй x =5 санын таңдайды; 3) В пайдаланушы: 1… n-1 диапазонынан кездейсоқ ретімен жасырын параметр ретінде жәй y =11 санын таңдайды;4) А пайдаланушы: gxmodn=7513=11есептеп, нәтижесін ашық канал бойынша В пайдаланушыға жібереді, x құпия сақталады.5) В пайдаланушы: gymodn=71113=2 есептеп, нәтижесін ашық канал бойынша А пайдаланушыға жібереді, y құпия сақталады;А пайдаланушы: В пайдаланушыдан gymodn=2 мәнін алып,(gymodn)xmodn=(25mod13)=6 мәнді есептейді, және осы мәнді шифрлеу мен шифрды ашудың жасырын кілті ретінде қолданады;7) В пайдаланушы: А пайдаланушыдан gxmodn=11 мәнін алып, (gxmodn)ymodn=(1111mod13)=6 мәнді есептейді, және осы мәнді шифрлеу мен шифрды ашудың жасырын кілті ретінде қолданады.Байланыстың ашық каналында барлық хабарларды тыңдап отырған қаскүнемге барлық операциялар мен тасымалдау нәтижесінде n=13,g=7,( gxmodn)=7xmod13=11, ,( gymodn)= 7ymod13=2 белгілі. x, y немесе (gxmodn)ymodn қалпына келтіру үшін қаскүнем дискретті логарифмдеу есебін шешуі керек.Диффи-Хеллмана алгоритмі кілттерді жіберуге қорғалмаған байланыс каналын қолдануға мүмкіндік береді. Бірақ, осы алгоритмді қолданғанда А пайдаланушысы ашық кілтті дәл В пайдаланушыдан алғанының кепілі болуы керек. Бұл мәселе ашық кілт туралы хабарға электронды қол таңбаны қою жолымен шешіледі.
Желіні қорғау құралдары.Жергілікті желі мен ауқымды желі арасында желілік қауіпсіздікті қамтамасыз ету үшін,брандмауэр қолданылады. Желілер арасында мәліметтерді рұқсатсыз орналыстыруға кедергі жасайтын арнайы компьютер немесе компьютерлік бағдарлама брандмауэр деп аталады. Желіаралық экран (firewall, брандмауэр) - немесе трафикті өзі арқылы өткізетін, немесе күнбұрын анықталған ережелерге негізделе отырып оны оқшаулайды . Желіаралық экрандарды әртүрлі белгілері бойынша топтарға бөлуге болады.Орналасуы бойынша: Дербес брандмауэр (personal firewall) – желідегі әрбір жұмыс станциясына орнатылатын және сол немесе басқа қосымшаны орнатуға тырысатын жалғасуды бақылайтын бағдарлама.Бөлінген желіаралық экран (distributed firewall) әдетте ішкі желі мен Интернеттің арасында «ажырауға» орнатылады және ол арқылы өтетін бүкіл трафикті тексереді. Жеткілікті үлкен желі бар болған кезде бірнеше желіаралық экрандарды орнатумағынасына ие: әрбір бөлім немесе жұмыс топтары үшін – компанияның ішкі желісі шабуылдарынан қорғау құралы есебінде.Жұмыс қағидасы бойынша:Пакеттік сүзгілер (packet filter, screening filter).Таза түрдегі пакеттік сүзгі – бұл негіз бен алушының порттары және желілік адрестері туралы алдын ала анықталған деректер негізінде желілік пакеттерді сүзгілейтін құрылғы. Алайда тәуелсіз бағдарламалы-аппараттық кешендер түріндегі осы типтік желіаралық экрандар жеткіліксіз функционалдық себебі бойынша бұрыннан-ақ кездеспейді. Пакеттік сүзгіні, мысалға, өз ІР-адресіңді (IP spoofing) ауыстыра отырып оңау айналып өтуге болады, оған қоса пакеттік сүзгілер әдетте маршрутизаторларға жапсыра орнатылады.Прокси-серверлер (proxy, application layer gateway)Прокси-сервер технологиясы ішкі желідегі хостар мен сыртқы желідегі хостардың өз арасында тікелей емес, керісінше ауани «делдал» - жеке сервис арқылы жалғасуды орнатады, ол клиентпен сервердің атынан, ал сервермен - клиенттің атынан қатынас жасайды. Осылай, желіаралық экран жалғасудың бөлігі ретінде шығады, және тиісінше жалғасқан кезде болып жатқан барлық оқиғаларды, оның ішінде мүмкін болатын шабуылдарды таба отырып талдауы мүмкін.Негізінен қолданбалы деңгейдегі бірнеше өте танымал хаттамалар: HTTP, FTP және басқалары үшін прокси-серверлер бар. Сонымен қатар SOCKS5 (RFC 1928) меншікті хаттамамалар үшін прокси-серверлер құрудың жалпыәлемдік стандарттары бар. Одан басқа, оларда көбінесе пакетік сүзгілеу мүмкіндігі болады.Жай-күйді бақылауымен желіаралық экрандар (stateful inspection)Осы санаттағы желіаралық экрандар өтіп жатқан трафиктің өте жұқа талдауын жүргізеді, атап айтқанда нақты жалғасуға оның тиістілігі контекстінде, оның ішінде жалғасудың кіммен, қашан және қалай орнатылғаны және пакетті алар алдында осы жалғасу шеңберінде қандай белсенділігін әрбір пакет қарайды. Дегенмен, бірқатар хаттамалардың (мысалы UDP) жалғасу орнатылмай-ақ жұмыс жасайтынын ескере отырып, желіаралық экран «ауани» жалғасу деп аталатын – ағын шеңберіндегі пакетермен жұмысты жүргізеді. Бұл жағдайда мұндай пакеттер бірыңғай контексте қаралады. Бұл ретте желіаралық экрандардың осы типі ағымдағы жалғасу туралы ғана емес, сонымен бірге бұрынғы қосылыстар туралы да ақпаратты пайдалана алады. Брандмауэр – бұл сіздің компьютеріңізге ғаламтор арқылы ұмтылған хакерлерді, вирустарды, құрттарды сейілтетін көмекші құрал немесе бағдарлама. Windows XP және Windows Vista жүйелері бұлармен қамтылған.
42. RC4.RC4 — потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях.Шифр разработан компанией RSA Security и для его использования требуется лицензия.Алгоритм RC4, как и любой потоковый шифр, строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением. Длина ключа может составлять от 40 до 2048 бит.Основные преимущества шифра — высокая скорость работы и переменный размер ключа. RC4 довольно уязвим, если используются не случайные или связанные ключи, один ключевой поток используется дважды. Эти факторы, а также способ использования могут сделать криптосистему небезопасной.Ядро алгоритма поточных шифров состоит из генератора гаммы, который выдаёт ключевой поток (гамму). Функция генерирует последовательность битов,которая затем объединяется с открытым текстом посредством суммирования по модулю два.Расшифровка заключается в регенерации ключевого потока и сложении с шифрограммой по модулю два. В силу свойств суммирования по модулю два на выходе мы получим исходный незашифрованный текст:RC4 — фактически класс алгоритмов, определяемых размером блока (в дальнейшем S-блока). Параметр n является размером слова для алгоритма и определяет длину S-блока. Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для повышения безопасности необходимо увеличить эту величину. В алгоритме нет противоречий на увеличение размера S-блока . При увеличении n, допустим, до 16 бит , элементов в S-блоке становится 65536 и соответственно время начальной итерации будет увеличено. Однако, скорость шифрования возрастет.Внутреннее состояние RC4 представляется в виде массива размером 2n и двух счётчиков. Массив известен как S-блок, и далее будет обозначаться как S. Он всегда содержит перестановку 2n возможных значений слова. Два счётчика обозначены через i и j.
43.Электронды цифрлық қолтаңба түсініктемесі.Қолтаңба мен мөр арқылы ақиқаттықты дәлелдеудің дәстүрлі әдістері электронды құжаттарды өңдеген кезде жарамайды. Принципиалды жаңа шешім электронды цифрлық қолтаңба болып табылады.Электронды цифрлық қолтаңбателекоммуникациялық каналдар бойынша тасымалданатын электронды мәтіндерді аутентификациялау үшін қолданылады. Ол кәдімгі қолтаңбаға ұқсас және оның қасиеттеріне ие:қолтаңба қойылған мәтін шынында да қолтаңбаны қойған адам жібергенін дәлелдейді;қолтаңбаны қойған адамға қолтаңба қойылған мәтіндегі міндеттемелерінен бас тартуға мүмкіндігін бермейді;қолтаңба қойылған мәтіннің бүтіндігін кепілдейді.Электронды цифрлық қолтаңбамәтінмен бірге жіберілетін қосымша цифрлық ақпарат болып табылады. Электронды цифрлық қолтаңбажүйесі екі процедурадан тұрады: 1) қолтаңбаны қою процедурасы; 2) қолтаңбаны тексеру процедурасы.Әр қолтаңбада келесідей ақпарат болады: қолтаңба қойылған мерзімі, осы қолтаңба кілтінің жұмысының аяқталу мерзімі, файлға қолтаңбаны қойған адам туралы ақпарат (аты-жөні, қызметі, жұмыс орнының аты), қолтаңбаны қойған адамның идентификаторы (ашық кілтінің аты), цифрлық қолтаңбаның өзі.Электронды қолтаңба технологиясында электронды пошта желісінің әр абонентінде екі кілт бар деп есептеледі: жасырын және ашық кілттер. А абонентінің жасырын кілті тек қана цифрлық қолтаңбаны жасауға қолданылады, ал ашық кілт басқа абоненттермен А-дан алынған хабардың ақиқаттығын тексеруге қолданылады. Электронды цифрлық қолтаңба алгоритмдерінде жиі жағдайда бір бағытты функцияларды пайдалануда негізделген әртүрлі математикалық принциптер қолданылады. Электронды цифрлық қолтаңба механизмін тікелей қолданғанда оны тек қана шектелген ұзындығы бар хабарларға қоюға болады. Сондықтан цифрлық қолтаңба құжаттың өзіне емес, оның хэштеу деп аталатын криптографиялық процедуралар көмегімен алынған кейбір кішкене өлшемді цифрлық бейнесіне қойылады. Хэштеу алгоритмі келесі шартты қанағаттандыруы керек: екі хабардың цифрлық бейнелері (хабардың хэш-функциясының мәні) бірдей болмауы керек.
44.Internet желісі арқылы алыстағы шабуылдардан қорғау әдістері мен құралдары.Желіаралық экран дегеніміз иелердің ресурстарын орнатып оларды сыртқы желіден қорғайтын компьютерде орнатылған өзара байланысқан программалар жиыны. Қорғалатын ресурстарға қол жеткізу ережелері келесі принциптердің біреуіне негізделуі керек:
- анық түрде рұқсат етілмегеннің барлығына рұқсат беру;
- анық түрде рұқсат етілмегеннің барлығына рұқсат бермеу.
Желіаралық экрандардың компоненттерінің көбісін келесі үш категориялардың біреуіне қатыстыруға болады: фильтрлеу маршрутизаторлар, желілік деңгейдегі шлюздар, қолданбалы деңгейдегі шлюздар. Бұл категорияларды нақты желіаралық экрандардың базалық компоненттері ретінде қарастыруға болады. Internet-ке модемдік шығуы бар компьютерлерге қаскүнемдердің шабуыл жасаудың үлкен мүмкіншілігі бар, және де олардан бастап басқа компьютерлерге шабуылдар орнатуларына болады. Желіаларық экрандаудың жүйелерін қолдану қауіптердің бірсыпырасынан қорғалуға мүмкіндік бергенімен, олардың бірсыпыра кемшіліктері бар, сонымен бірге, олар қарсы тұралмайтын қауіптер де бар.Желіаралық экрандар мен модемдерді қолданудың әртүрлі сұлбалары компьютерлерді анықталған қауіптерден қорғауға негізделген. Internet желісінен әртүрлі қауіптерге табысты қарсы тұру үшін модемдік байланыстардың орнын тиімді басатын желіаралық экрандардың негізгі типтерінің үйлестіруін қолдану керек.
45. Кілттерді басқару. Криптожүйе қандай күрделі және сенімді болғанымен, ол кілттерді қолдануға негізделген. Белгілі ақпараттық жүйеге жарамды криптографиялық жүйені таңдаудан басқа тағы бір мәселе - кілттерді басқару саясаты болып табылады.Ақпараттық жүйеде жұмыс істейтін барлық кілттер жиынтығы кілттік ақпарат деп аталады. Егер де кілттік ақпаратты жеткілікті сенімді басқару қамтамасыздандырылмаған болса, онда оны біліп алып, қаскүнем ақпаратқа шексіз қол жеткізуді орната алады. Келесідей негізгі: кілттерді генерациялау, кілттерді жинастыру, кілттерді тарату функцияларын іске асыруды орындайтын ақпараттық процесс кілттерді басқару болып табылады. Кілттерді генерациялау. Ақпараттық жүйенің қанағатты криптоберіктігін қамтамсыздандыру үшін жеңіл есте сақталатын кездейсоқ емес кілттерді қолдануға болмайды. Әдетте кездейсоқ кілттерді генерациялауға арнайы жабдықтық және программалық әдістері қолданылады. Жиі жағдайда жалған кездейсоқ сандар датчиктері қолданылады. Олардың генерациялану кездейсоқтық дәрежесі жеткілікті жоғары болуы керек. Кілттің үнемі өзгеріп тұруын кілттерді модификациялау процедурасын орындап орнатуға болады. Кілтті модификациялау – бір бағыты функция көмегімен жаңа кілтті оның алдындағы мәнінен генерациялау. Ақпараттық алмасуға қатысатындар осы функцияның көмегімен кілтті түрлендіру нәтижесін алып, кілттің жаңа мәнін жасау үшін осы нәтиженің белгілі биттарын қолданады. Бірақ та жаңа кілттің қауіпсіздігі бұрынғы кілттің қауіпсіздігімен бірдей екенін есте сақтау керек. Егер де қаскүнем бұрынғы кілтті ала алса, ол модификациялау процедурасын жасай алуы мүмкін. Кілттерді жинастыру. Кілттердің сақталуын, есепке алуын және жоюын ұйымдастыру кілттерді жинастыру деп аталады. Жасырын кілттер оқуға немесе көшірмелеуге мүмкіндігі бар тасымалдаушыларға ешқашанда ашық түрде жазылмауы керек. Күрделі ақпараттық жүйеде бір пайдаланушы кілттік ақпараттың үлкен көлемімен жұмыс істеуі мүмкін, сондықтан кейбір кезде кілттік ақпараттың миниқорын ұйымдастыру қажет болады. Қолданылатын кілттер туралы әр ақпарат шифрленген түрде сақталуы керек. Кілттерді тарату. Кілттерді басқару процесінде бұл ең жауапты қадам. Соңғы кезде көбінесе ашық кілті бар асимметриялық криптожүйелер қолданылады, оларда кілттерді тарату мәселесі жоқ. Кілттерді таратуға келесідей талаптар қойылады: таратудың дәлдігі мен оперативтілігі; таратылатын кілттердің құпиялығы.Кілттерді тарату кілттермен тікелей алмасу жолымен немесе кілттерді тарату орталығын құрумен орындалуы мүмкін.Кілттермен тікелей алмасуды орындау үшін екі әдісті қолдануға болады: симметриялық криптожүйенің жасырын кілтін шифрлеп, тасымалдау үшін ашық кілті бар криптожүйені қолдану; кілттерді ашық таратудың Диффи—Хеллман жүйесін қолдану.
46. Желіаралық экрандардың негізгі компоненттеріЖеліаралық экрандардың компоненттерінің көбісін келесі үш категориялардың біреуіне қатыстыруға болады: фильтрлеу маршрутизаторлар, желілік деңгейдегі шлюздар, қолданбалы деңгейдегі шлюздар. Бұл категорияларды нақты желіаралық экрандардың базалық компоненттері ретінде қарастыруға болады. Аталған категориялардың тек қана біреуінен тұратын желіаралық экрандардың саны аз. Сонда да, бұл категориялар желіаралық экрандардың бір-бірінен айыратын маңызды мүмкіншіліктерін көрсетеді. Фильтрулеу маршрутизаторлар кірудегі және шығудағы пакеттерді тіркеу мақсатымен конфигурацияланған серверде жұмыс жасайтын программа немесе маршрутизаторболып табылады. Пакеттердің TCP- және IP-бас жолдарында орнатылған ақпарат негізінде олардың фильтрлеуі орындалады. Фильтрлеу маршрутизатор әдетте IP-пакеттерді фильтрлеуін пакет бас жолының өрістерінің келесідей топтар негізінде орындайды: жіберушінің IP-адресі (пакетті жіберген жүйенің адресі); алушының IP-адресі (пакетті қабылдайтын жүйенің адресі); жіберушінің порты (жіберуші жүйедегі қосылу порты); қабылдаушы порты (қабылдаушы жүйедегі қосылу порты). Фильтрлеу маршрутизаторлардың кемшіліктері: ішкі желі Internet желісінен көрінеді (маршрутизацияланады);пакеттерді фильтрлеу ережелерінің бейнеленуі күрделі және TCP, UDP технологияларын жақсы білуді талап етеді; пакеттердің фильтрациясын орындайтын желіаралық экранның жұмыс қабілеті бұзылған кезде одан кейін орналасқан компьютерлердің барлығына қол жету рұқсатсыз немесе қорғалмаған болып қалады;IP-адрес көмегімен өткізілетін аутентификацияны IP-адрестің орын басып алдауға болады; пайдаланушылар деңгейіндегі аутентификация жоқ.Артықшылықтары: төмен баға; фильтрлеу ережелерін анықтағанның иілгіштігі, пакеттер өткен кезде кідіру уақыты кішкене.Желілік деңгейдегі шлюздер. Оларды кей-кезде желілік адрестерді аудару жүйелер немесе OSI моделінің сеанстық денгейіндегі шлюздер деп атайды. Осындай шлюзда клиент пен сыртқы хост-компьютердің тікелей өзара байланысу болмайды.Желілік деңгейдегі шлюз сенімді клиенттің белгілі қызметтерге сұранысын қабылдап, сұранған сеанстың рұқсат етілгенін тексергеннен кейін сыртқы хост-компьютермен байланысты орнатады. Содан кейін шлюз екі бағыттағы да пакеттерді олардың мазмұнына қарамай фильтрлемей көшірмелейді.Жалпы айтқанда желілік деңгейдегі шлюздердің көбісі өзіндік өнім болып табылмайды, олар қолданбалы деңгейдегі шлюздермен бірге қамсыздандырылады.Қолданбалы деңгейдегі шлюздер. Қолданбалы деңгейдегі шлюздер клиентпен сыртқы хост-компьютердің арасындағы тікелей өзара байланысуын болғызбайды. Шлюз барлық кірудегі және шығудағы пакеттерді қолданбалы деңгейде фильтрлейді. Қолданбалылармен байланысқан сарапшы-серверлер шлюздер арқылы белгілі серверлермен генарцияланатын ақпаратты қайта бағыттайды. Қауіпсіздіктің жоғарылау деңгейіне және иілгіштікке жету үшін қолданбалы деңгейдегі шлюздер мен фильтрлеу маршрутизаторларды бір желіаралық экранда бірлестіруге болады.
47.Дәстүрлі шифрлеу әдістері. Кейбір дәстүрлі шифрлеу әдістерін қарастырайық. Орын ауыстыру шифрлеудің мағынасы – бір блок шектерінде анықталған ереже бойынша шифрленетін мәтіннің символдарының орны ауыстырылады. Символдарының орыны ауыстырылатын блок ұзындығы жеткілікті болса және орын ауыстырудың күрделі қайталанбайтын реті болса, қарапайым практикалық қолдануларға шифрдың жеткілікті беріктігіне жетуге болады. Бұлар ең қарапайым және ежелгі шифрлер, олардың ішінде келесілерді атап кетуге болады: «скитала» орын ауыстыру шифры (цилиндрлік формасы бар стерженьге (скиталаға) спираль бойынша пергаментті орап, стержень бойынша мәтінді жазады. Пергаментті стерженнен алғанда әріптер тәртіпсіздік ретімен орналасады. Шифрды ашу үшін шифрлеу ережесі мен кілт ретінде қолданатын белгілі диаметрі бар стерженді білу керек; шифрлеу кестелері; олар хабардағы әріптердің орын ауыстыру ережелерін анықтайды; кілт ретінде мұнда кесте өлшемі, орын ауыстыруды белгілейтін сөз немесе фраза, кесте құрылымының ерекшеліктері қолданылады; кілт бойынша жеке орын ауыстыру: кестенің тік жолдары кілттік сөз, кесте жолының ұзындығындай фраза немесе сандар жиыны бойынша орын ауыстырылады; қос орын ауыстыру: қосымша жасырындықты қамтамасыздандыру үшін орын ауыстыру бойынша шифрленген мәтінді қайта шифрлеуге болады; қос орын ауыстыру кілті ретінде бастапқы кестенің жолдары мен бағандарының нөмірлері қолданылады; сызықты емес заң бойынша кестелік орын ауыстыру: хабар NxM өлшемі бар кестеге жатық жол бойынша тізбектеліп жазылады, ал оқу шиыршық немесе басқа ирек жолмен орындалады; сиқырлы квадраттарды яғни тік жолдары, жатық жолдары және диагоналдары бойынша сандар қосындысы тең болатын квадраттарды қолдану. Мәтін кестеге клеткалардың нөмірлері бойынша жазылады. Осындай квадраттардың сиқырлы қасиеттері бар деп есептелетін еді. Квадрат өлшемі өскен сайын сиқырлы квадраттардың саны тез өседі. Жәй орын басу шифрлері:жалғыз алфавиттік орын басу. Мәтіннің әр әрпі алфавиттің басқа әрпімен келесі ереже бойынша орын басады: орын басатын әріп бастапқы әріптен К әріпке ығысу жолымен анықталады (Цезарь шифры); кілттік сөзі бар Цезарь жүйесі: алфавитте символдардың ығысуын анықтау үшін кілттік сөз қолданылады. Күрделі орын басу шифрлер. Бұл қолданатын алфавиттерді тізбектеп және циклдык өзгертіп отыратын көпалфавиттік орын басулар. Бастапқы тілдің табиғи статистикасын жасыруды қамтамасыздандыру көпалфавитті орын басуды қолданудың эффектісі болып табылады. Белгілі көпалфавитті жүйелердің бірі – Вижинер шифрлеу жүйесі. Оның алгоритмінің мағынасы келесіде. Бастапқы алфавиттің әріптерін циклдык ығыстыру жолымен, мысалы, 26 алфавиттердің жиыны (ағылшын алфавиттің әріптерінің саны бойынша) құрастырылады. Барлық алфавиттер жиыны Вижинер кестесін құрастырады. Шифрлеген кезде хабардың сәйкес әрпін алмастыруға қолданатын белгілі ығысқан алфавиттің жиынын кілттік сөздің әріптері анықтайды. Ашық мәтін мен кілттік сөздің сәйкес әріптерлерінің нөмірлерін 26 модулі бойынша қосу шифрлеу процесін бейнелейді. Алфавиттің әр A-Z әрібі үшін 0-25 цифрлардың біреуі сәйкестіріледі.Кілттік сөзі k анықталған әріптердің d санымен беріледі және қайталанып шифрленетін mi хабар астында жазылады. Келешекте i-ші бағанда mi хабардың әрпі оның астында тұрған ki кілттік сөздің әріпімен 26 модулі бойынша келесі түрдегідей қосылады: gi = mi mod 26, мұндағы gi – алынған криптограмманың әріптері. Криптограмманы ашу одан кілттік сөзді 26 модулі бойынша алумен орындалады.
48. RC4 шифрлеу алгоритмі.RC4 — потоковый шифр, широко применяющийся в различных системах защиты информации в компьютерных сетях.Шифр разработан компанией RSA Security и для его использования требуется лицензия.Алгоритм RC4, как и любой потоковый шифр, строится на основе параметризованного ключом генератора псевдослучайных битов с равномерным распределением. Длина ключа может составлять от 40 до 2048 бит.Основные преимущества шифра — высокая скорость работы и переменный размер ключа. RC4 довольно уязвим, если используются не случайные или связанные ключи, один ключевой поток используется дважды. Эти факторы, а также способ использования могут сделать криптосистему небезопасной.Ядро алгоритма поточных шифров состоит из генератора гаммы, который выдаёт ключевой поток (гамму). Функция генерирует последовательность битов,которая затем объединяется с открытым текстом посредством суммирования по модулю два.Расшифровка заключается в регенерации ключевого потока и сложении с шифрограммой по модулю два. В силу свойств суммирования по модулю два на выходе мы получим исходный незашифрованный текст:RC4 — фактически класс алгоритмов, определяемых размером блока (в дальнейшем S-блока). Параметр n является размером слова для алгоритма и определяет длину S-блока. Обычно, n = 8, но в целях анализа можно уменьшить его. Однако для повышения безопасности необходимо увеличить эту величину. В алгоритме нет противоречий на увеличение размера S-блока . При увеличении n, допустим, до 16 бит , элементов в S-блоке становится 65536 и соответственно время начальной итерации будет увеличено. Однако, скорость шифрования возрастет.Внутреннее состояние RC4 представляется в виде массива размером 2n и двух счётчиков. Массив известен как S-блок, и далее будет обозначаться как S. Он всегда содержит перестановку 2n возможных значений слова. Два счётчика обозначены через i и j.