6. Құрал-жабдықтарды физикалық қорғау. Деректер қа-
уіпсіздігін қамтамасыз етуді құрал-жабдықтарды физикалық
қорғаудан бастау қажет. Физикалық қорғау дəрежесіне:
• компания мөлшері;
• ақпарат сипаты;
• қол жететін қорлар əсер етеді.
Біррангалық жүйелерде құрал-жабдықтарды қорғаудың ұйым-
дасқан саясаты көбінесе болмайды, өйткені пайдаланушылар
өз компьютерлері мен деректерінің қауіпсіздігіне өздері жаeап
береді.
193
7. Серверлерді қорғау. Жеке пайдаланушылары өте көп
үлкен орталықтандырылған жүйелерде, ал компания деректері-
нің маңызы зор болғанда, серверлер кездейсоқ немесе əдейі қол-
сұғудан физикалық қорғалуы қажет. Серверлерді қатынау шек-
телген арнайы жайға жауып қою оңай шешім болып табылады.
8. Кабельді қорғау. Кабель бойынша жіберілген деректер
туралы электромагниттік сəуле шығаратын мыс, мысалы, каок-
сиалдық кабельде ақпарат болады. Бұл ақпаратты арнайы құрал-
жабдықтың көмегімен жолдан жеңіл ұстап алуға болады. Соны-
мен қатар, мыс кабельге жалғасуға жəне тікелей желілік кабель-
ден ақпаратты ұрлауға болады. Сондықтан маңызды деректер
жіберілетін кабельдік жоларнаға қатынау санаулы адамдар ая-
сында шектелген немесе құрылыс құрылмасының ішіне салыну
керек.
Клиент-сервердің желіаралық өзара əрекетінің бөлінген мо-
дельдерін қандай да бір шекте пайдалану, кез келген қазіргі за-
манғы ақпараттық жүйе архитектурасының оның ішінде, қор-
ғаудың желілік жүйелерінің жалпы элементі болып саналады.
Əрі көпшілік жағдайларда, бұл өзара əрекет ТСР/ІР хаттамалық
стектеріне негізделеді.
Жалпы жағдайда жергілікті есептеу желілерінде қорғау жүйесі
архитектураларының:
• бөлінген архитектура;
• орталықтандырылған архитектура;
• орталықтандырылған –бөлінген архитектура нұсқалары
жүзеге асырылуы мүмкін.
Қорғау жүйелері архитектураларын негізді таңдау қажетті-
лігі туындайды, ал орталықтандырылған-бөлінген архитектура-
ларды таңдау жағдайында – функционалдық бөлу міндеті – архи-
тектуралық құраушылар арасындағы қорғау міндеттері болып
саналады.
Қорғау жүйелерінің бөлінген архитектурасы.
Бөлінген архитектура, қауіпсіздік əкімшісінің бөлінген жұмыс
орнымен, желілік бақылау мен басқарудың функцияларын қам-
тамасыз етпеген жүйенің алғашқы нұсқасын білдіреді (бұл атал-
ған архитектурада жоқ). Олардың əкімшілік ету функциялары мен
қорғаудың бүкіл тетіктері тікелей қорғалатын объектіде жүзеге
13–1525
194
асырылады. Бұл ретте жүйені орталықтандырудың біз айтқандай
қандай да бір элементі жоқ.
Осындай архитектураның талас тудырмайтын артықшы лық-
тарына:
• қорғау жүйесі сенімділігінің ең жоғары қамтамасыз етілетін
деңгейі, өйткені оның істен шығуы тұтастай алғанда бүкіл жү-
йенің істен шығуына əкелетін, қандай да бір құрылым түзетін
элемент жоқ;
• қорғалатын желілердің байланыс-қорының (ресурсының)
өткізу қабілетіне қорғау жүйесінің қандай да бір əсерінің болмау-
ын жатқызуға болады.
Архитектураның принципті кемшіліктеріне кіреді:
• тұтастай алғанда қорғаудың шоғырландырылмаған жүйесін
жедел басқаруды қамтамасыз етудің мүмкін еместігі. Яғни, өзге
қорғалатын объектілерге тіркелген оқиғалар кезінде бір объектіні
қорғауды басқару мүмкін емес. Жергілікті консольмен, қорғаудың
бір элементін ғана басқаруға болады;
• тіркеу ақпараттарын жедел өңдеудің мүмкін еместігі, сон-
дай-ақ қорғалатын желілік объектілерде пайдаланушылардың
əрекеттерін жедел бақылаудың мүмкін еместігі соның салдары-
нан, рұқсатсыз қатынау фактілері бойынша жедел тергеу жүргізу
мүмкін емес.
Қорғау жүйелерінің орталықтандырылған архитектурасы.
Қауіпсіздік əкімшісінің орталық консольдарымен объектілер-
ді қорғауды алыстан жүзеге асыру приципі архитектураның ор та-
лықтандырылған түрінің негізі етіп алынған. Қорғалатын объек-
тілердің ақпараттық қауіпсіздігін қамтамасыз ету бойынша бүкіл
функциялар қорғау жүйесінің бір құраушысына – қауіпсіздік
серверіне берілген. Осылай, деректерді берудің тірек желісіндегі
қорғаудың виртуалды желілік жүйесін құру, орталықтандырылған
жүйенің негізі болып қаланған.
Архитектураға диаметраль қарама-қарсы орналасқан, артық-
шылықтар мен кемшіліктер аталған архитектураға тəн екені, та-
биғи болып саналады.
Осындай архитектураның талас туғызбайтын кемшіліктеріне:
• қорғау жүйесі сенімділігінің ең аз қамтамасыз етілетін
деңгейін (Жүйеде бір құрылым түзетін элемент – оның істен
195
шығуы тұтастай алғанда бүкіл жүйенің істен шығуына əкелетін,
қауіпсіздік сервері қатысады);
• қорғалатын желілердің байланысқан қорының (ресурсының)
өткізу қабілетіне қорғау жүйелерінің ең жоғары əсерін жатқызуға
болады.
Архитектураның принципті артықшылығына:
• тұтастай алғанда, қорғаудың бытырап орналастырылған
жү йесін барынша жедел басқаруды қамтамасыз ету (өзге қорға-
ла тын объектілерге тіркелген оқиғалар кезінде бір объектіні қор-
ғауды басқару). Қауіпсіздік серверінің жергілікті консольдарымен
қорғаудың бүкіл элементтерін басқару мүмкіндігі;
• пайдаланушылардың үстінен бақылау жəне тіркелген ақпа-
раттарды жедел өңдеу бойынша ең жоғары мүмкіндіктер. Соның
салдары ретінде, рұқсатсыз қатынау фактілерін тергеу кезіндегі
ең жоғары жеделдікті бөліп көрсету кіреді.
Қорғау жүйесінің орталықтандырылған – бөлінген архитек-
турасы.
Артықшылықтары мен кемшіліктері.
Аталған архитектураны жүзеге асыру, ілгеріде қарастырылған
архитектуралық шешімдердің артықшылықтарын өзіне біріктіруге
(тиісінше, олардың кемшіліктерін жоюға) шақырылған.
Қорғау жүйелерінің бөлінген жəне орталықтандырылған архи-
тек тураларының артықшылықтары мен кемшіліктерін қарас ты-
руға тоқтала отырып, қорғаудың орталықтандырылған-бөлін ген
желілік жүйелері арасындағы функционалдық міндет
терді тө-
мендегідей бөлудің оңтайлылығы туралы ұйғарым жасау та биғи
(интуитивті түсінікті) болады:
• толық бөлу арқылы жергілікті есептеу желілері серверлері
мен жұмыс стансаларын қорғау міндеттері шешілуі тиіс. Бұл,
оған белгіленетін қорғау жүйесінің клиенттік бөлігімен жүзеге
асырылуы қажет;
• орталықтандырылған түрде мыналар шешілуі тиіс:
• қорғау жүйесінің клиенттік бөліктеріне əкімшілік ету;
• қорғау жүйесінің клиенттік бөліктері мен жиналатын тіркеу
ақпараттарын өңдеу;
• қорғалатын объектілерде пайдаланушылардың əрекеттерін
бақылау.
196
Осылардың барлығы қорғау жүйесінің серверлік бөлігінен –
қауіпсіздік серверінен жүргізілуі тиіс.
Қорғаудың орталықтандырылған – бөлінген жүйесі кезінде,
оған əкімшілік ету толықтай орталықтандырылған түрде жүзеге
асырылатынына назар аударамыз. Яғни, біз бұрын негіздеген,
принципті шарттар орындалады. Одан əрі сипатталатын əкім-
шілік функцияларды бөлу жəне масштабтау, қауіпсіздік серве-
рінің мүмкін істен шығуынан келтірілетін зиянды төмендете-
тін қорларды (ресурстарды) бөлуді ғана білдіреді. Бұл ретте
орталықтандырылған əкімшілік ету принципі сақталады, өйткені
қорғау жүйесінің шыңы қауіпсіздік сервері емес, қауіпсіздік əкім-
шісі болып саналады. Яғни, атап айтқанда, қауіпсіздік əкімшісі
орталықтандыратын буын болып табылады.
Сонымен, əкімшілік ету функциялары қауіпсіздік сервері
клиенттік бөліктерінің істен шығуы жағдайында, жүйенің жұ-
мыс істеуін қолдау үшін бөлінген түрде қосарлануы тиіс. Мұнан
өзге, желілік агенттерге (қорғау жүйесінің клиенттік бөліктеріне)
бақылау мен басқарудың жалпы міндеттерінің бөлігі бөлініп
берілуі тиіс. Бұл ретте клиенттік бөліктерді баптауды қауіпсіздік
əкімшісінің өзі жүргізеді, ал қауіпсіздік əкімшісінің деректер
қоры бөлінген болып шығады.
Аталған архитектуралар шеңберінде қамтамасыз етілетін қор-
ғау режимдері, аса өзекті болып саналады, өйткені желілік агент,
менеджерден тікелей сигналдың болуынсыз, төтенше шешім
қабылдау үшін қажет ақпараттарға ие болады. Бұл ретте желілер
бойынша берілетін ақпарат легі елеулі көлемде қысқарады.
Орталықтандырылған – бөлінген архитектура шеңберлерін-
дегі желілік қорғау жүйесінің құрылымы.
Желілік қорғау жүйесінің құрылымы құраушының төмендегі
жиынымен анықталады.
Қорғау жүйесінің клиенттік бөлігі – объектіде қорғау те-
тіктерін жүзеге асыруды қамтамасыз етеді. Ол жергілікті жұмыс
стансаларында жəне жергілікті есептеу желілерінің ақпараттық
желілерінде пайдаланушылардың əрекеттерін тіркеу жəне ба-
қылау тексерулерін жүргізу үшін пайдаланылады. Тиісті формат-
тағы жүйелік журналдар түзу жəне тиісті интерфейстік модуль-
ді іске қосу кезінде жергілікті консульдарда оларды бейнелеуді
қамтамасыз етеді.
197
Жергілікті есептеу желісі торабының жергілікті деректер ба-
засын басқару модулі – жергілікті жүйелік журналдардың (пай-
даланылатын платформалар мен қолданбалы бағдарламалық
қам тамасыздандырудың өзіндік жəне базалық журналдарын),
орта лық деректер қорынан синхрондау сигналдарын, сондай-ақ
жергілікті есептеу желілерінде тиісті қауіпсіздік саясатын баптау
жəне қамтамасыз ету бойынша əкімші сигналдарын жинау жəне
алдын ала өңдеу негізінде қауіпсіздік əкімшісінің жергілікті де-
ректер қорын қалыптастыруды қамтамасыз етеді.
Желілік агент – басқару сигналдарын бүркемелейтін шифрлау
мен беруді, жергілікті жəне алыс қорғау жүйелерінің модуль-
дері арасындағы синхрондау сигналдарын, сондай-ақ агент –
элемент – менеджер қосылыстарының тұтастығын қамтамасыз
ететін, бағдарламалық модуль.
Желілік менеджер – орталық дерек қоры мен жергілікті дерек
қоры арасында берілетін сигналдарды мультиплексирлеу/демуль-
типлексирлеу агентіне толықтыруды қамтамасыз етеді. Осылай,
оған ISO/OSI қаттамалары модульдерінің қолданбалы деңгейін-
де нүкте – көпнүкте байланысын береді. Мұнан өзге, желілік ме-
неджер оларды серверлік бөлікпен қосу кезінде қорғау жүйесінің
клиенттік бөліктерін сеанстық авторлауды жүзеге асырады.
Желілік ішкі жүйе – агент – элемент – менеджер желілік ин-
терфейс бойынша кері байланыс пен басқару сигналдарын беру-
мен, алыс стансалар консальдарының эмуляциясын қамтамасыз
етеді.
Орталық деректер қорының модулі – жергілікті деректер қоры
мен орталық деректер қоры деректерін сақтау мен синхрондауды
қамтамасыз етеді.
Интерфейстік модуль - қабылданған қауіпсіздікті қамтама-
сыз ету саясатына сəйкестікте орталық деректер қорын қарау-
ды жəне редакциялауды қамтамасыз етеді. Сондай-ақ ол алыс
тараптар дың кеңейтілген бақылау функцияларын (алыс консоль-
дерді сканирлеуді) жəне қауіпсіздік əкімшілігінің консоліне нə-
тижелерді шығаруды жүзеге асырады.
17- суретте, қарастырылатын архитектура негізінде бақылау
жүйесінің құраушы құрамы жəне басқару кезеңдерінің диаграм-
масы берілген.
198
Диаграммада тұтас стрелкалармен, алыстан қатынаудың кей-
бір желілік бағдарламаларын білдіретін, арнайы форматтағы
əкім шінің интерфейстік модулінен шығарылатын бағдарламалық
процедураларды алыстан орындау сұрауын қамтамасыз ететін,
ақпарат ағыны (легі) бөлінген.
Көп ноқатты стрелкалармен (тілдермен), тіркеу журналда-
рын, операциялық жүйелер ядроларының жүйелік құрылымдары-
ның фрагменттерін автоматты беруді қамтамасыз ететін деректер
легі, сондай-ақ жергілікті есептеу желілері торабының желілік
аген тін бағдарламалық қамтамасыз етудің кез келген баптаулары
белгіленген.
Боялмаған (қуыс) стрелкалармен желілік агент конфигура-
цияларының параметрлері мен деректері белгіленуі мүмкін.
Осы ақпарат легінің қорғалушылығы соңынан арналық шифрлау
режимінде қамтамасыз етіледі (яғни жергілікті есептеу желілері
арқылы агенттік менеджерге ақпараттарды тікелей беру кезінде).
Диаграммадағы сұр стрелкалармен алыстағы тораптың эму-
ляция режимінде бақылауды орындау кезінде қорғаудың желілік
ішкі жүйелерінің түйісетін шлюздері арқылы берілетін дерек-
тер бөлінеді. Аталған жағдайда жүйенің сыртқы түрі мен əкім-
ші интерфейсі сақталады, бірақ жүйе бақылау үшін ақпаратты
ядролар құрылымдарынан жəне журналдық файлдардан емес,
қауіпсіздік əкімшісінің орталық деректер қорынан таңдап алады.
Достарыңызбен бөлісу: |