Желіде жұмыс істеу кезіндегі қауіпсіздік шаралары
Құпиялылық (confidentiality)
жүктеу/скачать 25,43 Kb.
|
- Бұл бет үшін навигация:
- Ену мүмкіндігі (availability)
| Құпиялылық (confidentiality) — бұл құпия деретерге ену тек қана рұқсат берілген қолданушыларға берілетіндігінің кепілі. (Бұл қолданушылар авторластырылған деп аталады).
Ену мүмкіндігі (availability) — авторластырылған қолданушылар барлық уақытта деректерге ену құқығы бар болуының кепілі. Бүтіндігі (integrity) — деректерді түрлі жолдармен өзгертуге авторластырылмағандар үшін рұқсат етілмеуді қамтамасыз ететін дұрыс мәнді деректерді сақтаудың кепілі Қауіпсідікті қорғау жүйесі жүйенің арналымына, қолданылатын деретердің мінедемесіне, қауіп мүмкіндігінің типіне байланысты өзгеруі мүмкін. Бүтін және ену мүмкіндігі бар жүйені көз алдымызға елестету өте қиын, бірақ құпиялық қасиеті бар болуы міндетті емес. Мысалы: егер Интернетке Web-сервер сіз ақпарат жариялайсыз және сіздің мақсатыңыз оны өте үлкен көлемде адамдарға ену мүмкіндігін беру. Онда сізден осы жағдайда құпилылықты талап етпейді. Бірақ-та бүтіндік және ену мүмкіндігі көкейкесті мәселе болып қала береді. Шындығында сіз егер деретердің бүтіндігін қамтамасыз ететін арнайы шаралар қолданбасаңыз, онда қаскүнем сіздің серверіңіздегі деректерді өзгертуі мүмкін және сіздің ұжымыңызға шығын әкеледі. Қаскүнем мысалы Web-серверде орналасқан деректерге мынадай өзгерістер енгізуі мүкін. Мысалы: прайс –парақ тағы сіздің бәсекелес қабілеттілін төмендететін ақпараттар орналастыруы мүмкін. Ұжым біраз шығын шығара отырып интернетте серверді қамтамасыз ету барысында мынадай жетістіктерге қолжеткізуі мүмкін: тұтынушылар санының, сату санының ұлғайюына, т.с.с. Бірақта қаскүнем атака жасауы мүмкін нәтижесінде сервердегі арнайы арналған деректер ену мүмкіндігі болмай қалады. Мұндай қаскүнем әрекеттің мысалы ретінде кері адрестері дұрыс емес ІР-пакеттермен «атқылау», сәйкесінше протокол жұмысын тайм-аут шақырады немесе басқа да сұранымдарға жауап бере алмайтын жағдайға жетеді. Құпиялылық, бүтіндік, ену мүмкіндігі түсінігі тек қана ақпаратқа байланысты анықталмайды сонымен бірге есептеу желісінің басқа да қорларына, мысалы ішкі құрылғыларына немесе қосымшаларға. Жүйенің қауіпсіздігінің бұзылуына әкеліп соқтыратын көптеген «заңсыз» қолданылу мүмкіндігі бар жүйелік қорлар бар. Мысалы шексіз ену құқығы бар баспа құрылғысына қаскүнемге баспадағы құжаттың көшірмесін алуға, баптау параметрлерін өзгертуге мүмкіндік береді. Бұл жұмыстың кезектілігіне әсерін тигізіп немесе құрылғы істен шығып қалуы да мүмкін. Құпиялылық қасиеті қолданушыға тек қана анықталған қолданушар ғана қолдана алатындай және құрылғымен тек қана анықталған операцияларды орындай алатындай интерпретациялауға болады. Ену мүмкіндігі қасиеті барлық уақытта қолдануға дайын екендігін көрсетеді. Бүтіндік қасиеті осы құрылғының баптау параметрлері өзгермеуі қасиетімен анықталады. Құрылғы бірнеше қызметтер жасайды: мәтінді теру, факс жіберу, Интернетке ену, электронды пошта және т.с.с. Бұл жғдайды заңсыз қолданғанда ұжымға айтарлықтай шығын әкелуі мүмкін және жүйенің қауіпсіздігінің бұзылуына әкеліп соқтырады. Ақпараттың қ ұпилылығына, бүтіндігіне , ену мүмкіндігіне бағытталға кез -келген іс-әрекет және басқа да қорларды заңсы қолдану қауіп болып саналады. Таратылған қауіп шабуыл деп аталады. Риск — бұл ойдағыдай өткізілген шабул нәтижесінде ақпарат қоры иесінің шығынға ұщырау мүмкіндігінің өлшемі. Қауіпсіздік жүйесі осал жері көп болғанда риск өлшемі өте үлкен. Қауіп классификациясында әмбебаб қауіп болмайды, мүмкін, өйткені адамның творчестволық мүмкіндігінде шек жоқ, күн сайын желіге заңсыз ену әдісі қолданылып жатады, жаңа вирустар пайда болып жатады, бағдарламалық және аппараттық желілік тауарларда жаңа ақаулар табылып жатады. Бұған жауап ретінде көптеген қауіп көздеріне шек қоятын қауіпсздік құралдары өңделіп шығады, одан кейін ол шабуылдың жаңа объектісі болып қалады. Сонда да болса біз бірнеше талдау жасап көрелік.Біріншіден қауіп қасақана жасалған және байқамай жасаған болып екіге бөлеміз. Байқамай жасаған қауіп деңгейі төмен немесе жауапкершілігі жоқ қызметкердің қате жасалған іс әрекетінен туындайды. Бұдан басқа осы типті қауіп жүйедегі бағдарламалық және аппараттық құрылғылардың сенімді емес жұмысынан штуындайды. Мысалы дискінің істен шығуына байланысты ұжымға керек ақпараттарды өз уақытындам жібере алиай, қолданушыларды ену құқығынан айырады. Сондықтан қауіпсіздік жағдайы сенімділік жағдайымен тығыз жанасып жатады. Ба5дарламалық-аппараттық құралы жұмысының сенімділігінен шығатын қауіпсіздік қауіптерін, оларды барлық уақытта аппаратура деңгейінде резервтеуді қолдану, толық жетілдіріп отыру жолымен шешіледі (RAID-массивтер, көппроцессорлы компьютерлер, үзіліссіз тоқ көзі, кластерлі архитектуралар) немесе деректерді массивтеу деңгейінде (файлды тираждау, резервті көшірмелер). әдейі жасалған қауіп қатер пассивті деректерді оқумен шектелуі мүмкін немесе өзіне активті іс-әрекеттер қосатын мониторингті жүйе. Мысалы ақпараттың бүтіндігі мен ену мүмндігін, құрылғылар мен қосымшалардың істен шығуына әкеліп соқтырады. Қасақана асалған қауіп хакерлардың тәжірибесінің нәтижесінде пайда болады және ол нақ ұжымның жұмысына шығын әкелетіні сөзсіз. Есептеу желісінде қасақана жасалған қауіпті келесі типтерге бөлуге болады: Заңды қолданушы ретінде компьютерлердің біріне заңсыз ену; Вирус – бағдарламалары көмегімен жүйені бұзу әрекеттері; Заңды қолданушының заңсыз әрекеттері; Ішкі желіні «тыңшы» тыңдау. Заңсыз ену операциялық жүйенің құжатталмаған мүмкіндіктерін қолдана отырып, қауіпсіздік жүйесінің осал жері арқылы таралуы әбден мүмкін. Бұл мүмкіндіктер қаскүнемге желіге енуді бақылайтын стандартты процедураны «айналып» өтуге мүмкіндік туғызады. Өзге қолданушының паролын көріп алу арқылы енуі де әбден мүмкін. Сондықтан да барлық қолданушылар өз паролдарын құпия ұстаған жөн. Паролды көрудің тағы бір амалы ол өзге компьютерге «троянского конь» енгізу арқылы. Бұл қаскүнемнің берілген іс-әрекетін орындайтын, компьютер иесіне бағынбайтын резидентті бағдарлама. Бұл бағдарлама компьютер иесі жүйеге енген уақытта енгізілген паролды жаттап жібереді. «троянский конь» бағдарламасы барлық уақытта пайдалы утилиттер мен ойындармен бірге маскіленеді. Аутентификация, авторизация, аудит жүктеу/скачать 25,43 Kb. Достарыңызбен бөлісу:
|