Д. 1 Бағдарламалық жасақтама түрлері және олардың қауіпсіздігін қамтамасыз етудің негізгі тәсілдері
Д.-9 Spring Security - қолданушыны тіркеуде қолдану
жүктеу/скачать 82,43 Kb.
|
| Д.-9 Spring Security - қолданушыны тіркеуде қолдану.
Қосымша деңгейдегі инфрақұрылымды қорғаныс. СНАР протоколы Дәріс мақсаты: аутентификациялау, пайдаланушы авторизациясы, мақсаттылығын қамтамасыз ету, берілгендерді конфиденциалдығын қамтамасыз етеді, электронды цифрлық жазбаларды жүзеге асыруды, пайдаланушы логикалық жүйеге ену үшін қажетті серверге сұраныс жібереді, аутентификациядан өтеді, авторазацияланады және нәтижесінде рұқсат алады да өзіне қажетті операцияны үйретеді. Негізгі қарастырылатын сөздер: Web cайт, аутентификациялау, кіру мүмкіндігін басқару, жойылу мүмкіндігі, протокол, қателерді табу. Дәріс сұрақтары: 1. Желіні басқару мүмкіндігі 2. Жойылу мүмкіндіктерін құру 3. СНАР және S/ Key протoколдары 4. Жойылу мүмкіндігін орталықтан басқару Дәрістің негізгі мазмұны Ақпараттық техниканың дамуы компанияның деңгейін көтереді. Сонымен қатар потенциялды клиенттермен қарым – қатынас жасауға, интернет жүйесімен жұмыс жасауға жаңа мүмкіндіктер береді. Web cайт құру Интернет жүйесімен кәсіпорын байланысының алғашқы қадамы болып табылады. Коммерциялық операцияларды желіде жиі өткізген және пайдаланушыларға Web сайтқа кіру мүмкіндігін беру миллиондаған желі пайдаланушыларын кәсіпорын клиенттері ретінде алуға мүмкіндік береді. Корпоративті желіде Internet қосымшаларын қосу AT - инфрақұрылымды зиян келтіріп, желіге қауіп келтіруі мүмкін. Сондағы ақпаратты қорғаныс мына мәселелерді шешуі қажет, яғни Web- сервер және Web қосымшаларды қорғау, аутентификациялау, пайдаланушы авторизациясы, мақсаттылығын қамтамасыз ету, берілгендерді конфиденциалдығын қамтамасыз етеді, электронды цифрлық жазбаларды жүзеге асыру және т.с.с. Сенімді, қауіпті әдістерді және ақпараттарды ашық қолданатын топтарға – қызметкерлер, әріптестер, клиенттер, жабдықтаушылар жатады. Мұндағы басты мәселе, яғни қиындықты авторизацияланған пайдаланушылар тудырады. Идентификацияны және кіру мүмкіндігін басқару. Электронды бизнеспен шұғылдану үшін алдымен on line жүйесінде сенімді орта құру қажет. Электронды бизнесті құруға мүмкіндік беретін технология мына төрт негіздегі функцияны ұсынады: • Аутентификация, яғни пайдаланушының берілгендерін тексеру; • Кіру мүмкіндіктерін басқару, яғни авторизацияланған пайдаланушылар талаптарын қамтамасыз етеді; • Шифрлеу, яғни пайдаланушылар арасында келісім орнату және инфрақұрылым қорын қорғау; • Бас тартпау, яғни пайдаланушылар транзакциядан бас тарта алмайды. Осы төрт функцияны қанағаттандыратын шешім ғана сенімді ортаны құра алады, яғни бизнес үшін шынында сенімді қорғаныс орнатады. Кіру мүмкіндігін басқару жалпы жүйе қауіпсіздігінің критикалық компоненті болып табылады. Жүйені басқару мүмкіндігі авторизацияланған пайдаланушыларға ғана беріледі. Кіру мүмкіндігін басқару ерекшеліктері корпаративті желіде әдетте кіру мүмкіндігін басқару жуйесінің екі әдісі ұсынылады: • Желіге кіру мүмкіндігін басқару ( ішкі жүйе ұйымдастырып оның ресурстарына кіру мүмкіндігін баптау ); • Web кіру мүмкіндігін басқару ( серверге және оның ресурстарына кіру мүмкіндігін баптау ); • Ресурстарға кіру сұраныстарының барлығы бір немесе бірнеше ASL ( Access control List ) арқылы кіру мүмкіндігін бақылаушы тізімдерімен жүреді ASL. Ережелер жиынтығына кіру мүмкіндіктерін береді. Ол қорғалатын ресурстар жиыны болып табылады. ASL қауіпсіздік саясатыымен анықталады. Желілік ресурстарға кіруге мүмкіндік алу үшін алдымен Login ASL бақылаушы тізімін құру қажет. Ол ішкі жүйемен жұмыс жасауға мүмкіндік береді. Бақылау құралдары және Web кіру мүмкіндігін басқару. Кіру саясатын құрып, оның орындалуына мүмкіндік береді. Web кіру бақылаушысының Web ASL тізімін құрып, серверіне кіру мүмкіндігін, қауіпсіздікті администратор қамтамасыз етеді. Сонымен қатар делигациялық администрциялау жүйесін ұсынады. Яғни пайдаланушы ақпаратты жіберу функцияларын басқара алады. Кәсіпорындардағы жүйе қауіпсіздігін қолдап, жүргізілу әдістерін жеңілдеу үшін, пайдаладаланушылар мен саясаткерлерді тез табу үшін 2 DAP каталогтары және берілгендер қорының реляциялық моделі қолданылады. Кіру мүмкіндіктерінің жүйесін функцияналдау. Көру мүмкіндігін басқару үшін алдымен жүйе орталығында Secure C, RSA S,B және т.б компаниялар арқылы жүзеге асырылады. Premier Access жүйесін мысалға алуымызға болады. Бұл жүйе пайдаланушыларға Web басқаруға және желіге өту мүмкіндігін береді. Қауіпсіздік саясатымен бағаланады. Пайдаланушылар берілген жүйенің ресурстарына енуді, Web ережелерін пайдалануға, RADIUS серверлері бойынша жұмыс жасауға мүмкіндік береді. RADIUS жүйесінде каталогтар процестерін аутентификациялауға, авторизациялауға, администрациялауға мүмкіндік береді. Жүйе аутентификация типтерімен қолданады. Бұл жүйенің пайдаланушылары көп. Сервердің тіркеу орталығы пайдаланушыларға желіге тіркелуге, Web - браузерлері арқылы стандартты функцияларын қолдауға мүмкіндік береді. Тіркеу процесінде пайдаланушыларға рөлдер беріледі. Рөлдер ярлыктар болып табылады, яғни топ пайдаланушыларына идентификациялануға мүмкіндік береді. Рөлдер әдетте пернелер жиынтығынан тұрады. Желіні басқару мүмкіндігі Жүйені басқаруға агенттер арнайы қолданылады. Жүйе агенті - бұл корпоративті желіде серверлерді белгілеп, клиенттермен қызмет атқаратын программалық модель. Мұндай агенттердің мысалына VPN агенттерін, RADIUS серверінің агенттерін, RAS, Citrix және т.б алуға болады. Ішкі желіге кіру үшін жүйе агенттерін жүйеге ену сұранысына берілгенді енгізеді. Пайдаланушылардың аутентификациялық нүктесі ретінде UAPS(User Authentication Points ) алуымызға болады. Агент сұранысын жібереді, сол сұраныстарға жауап беруші пайдаланушы өз берілгендерін енгізеді. Мұндай берілгендерді жіберу үшін ААА - серверлері ( Authentication,Authorization,Accounting ) қолданылады. ААА сервері пайдаланушының ID идентификаторының немесе берілгендер артификаторын, 2DАР каталогтарын салыстырады. Егер ID идентификаторының берілгендері сақталған карталармен, рөлдермен, берілгендер қорымен сәйкес келсе, олар авторизацияланады. аутентификация үшін паролдер, аппараты қолданылады. Web – ке көру мүмкіндігін басқару. Premier Access жүйесі арнайы Web агенттердің VWA (Universal Web agent ) түрін пайдаланады. Әрбір пайдаланушы мысалы ретінде бизнес - әріптестерді, компания қызметкерлерін алуымызға болады. Web –ке кіру мүмкіндігі екі этаппен жүзеге асырылады; 1 ) Пайдаланушы WLS ( Web Login Server) серверін қолдана отырып жүйеге енеді. WLS сервері аутентификация нәтижесін ААА серверіне сұраныс жібергеннен кейін ала алады. Аутентификация WLS серверінде өңделсе, cookie сеанстық пайдаланушылар идентификаторларын пайдаланады. 2 ) Web - ресурстарға пайдаланушылар ену мүмкіндігін алады. WLS сервері cookie сеанстық идентификаторларын ААА - серверін пайдаланушылар туралы сұраныс алу үшін қолданады. VWA агенті арқылы ID сеанысын қабылдап, содан соң ААА серверлері берілгендері қабылдайды. Жойылу мүмкіндіктерін құру Жойылу мүмкіндігі корпоративті желіде қорғалмаған жүйе арқылы ашық желі құру негізінде қолданылады. Сондықтан да корпаративті желідегі қорғаныс компьютердің желіге қосылған уақытынан бастап орындалуы тиіс. Жойылу мүмкіндігі корпоративті желіде жобалауды компьютерлік желілер арқылы немесе телефон желісі арқылы құруға мүмкіндік береді. Глобалды желісі арқылы немесе телефон желілері арқылы Internet - ке ену мүмкіндіктері әлдеқайда тиімді болып табылады. Протоколдар арасында локалді желімен жойылу мүмкіндігін «нүкте –нүкте» РРР ( Point- to-Point Protocol) протоколы жүзеге асырады. РРР протоколы байланыс орнатып, ақпарат алмасуға, РРР кадрларын инкапсуляциялауға қолданылады. РРР әдісі бір уақытта бірнеше кадрлармен қызмет атқаруға және желілік деңгейде арналар құруға мүмкіндік береді. - Жойылушы пайдаланушы идентификаторынан және жойылушы серверінен тұрады; - Берілгендерді шифрлеуден және кондексациялаудан тұрады; - Қателерді табу мен жөндеу мүмкіндіктерін береді; - Арналар байланысын тексеріп, қосымша мүмкіндік береді; - IP адрестерін динамикалық жүйемен құрылым, оларды басқаруға мүмкіндік береді. РРР протоколдары негізінде көбнесе PPTP, L2F және L2TP протоколдары қолданылады. жүктеу/скачать 82,43 Kb. Достарыңызбен бөлісу:
|