2-мақұлдау: Электрондық құлыптың кепілді жұмыс істеуі
үшін компьютер жұмыс істеп тұрған уақытта салымнан қорғау
бағдарламасы жəне пароль түйіншегі бағдарламалық құралдармен
оқылуға аппаратпен қорғалғаны жеткілікті болады.
Қорғау құралын орнату бойынша басшылыққа алу нұсқасы.
Жедел ортаның жиілігіне кепілдік беретін құралдар, компью-
тер қосылғанда ақпаратқа рұқсатсыз қатынауды қорғауға мүм-
кіндік береді. Компьютердің қосылған кезінде, бағдарламалық
қам тамасыздандырудың қорғау құралдарын орнатқан кезде амал-
дық ортаның өзгермеуіне компьютерді əрбір «суықтай» жүкте-
генде таңдалған файлдарды қорғау қосымшасын тексеру əдісімен
кепілдік беріледі.
Бұл құралдар пернетақтадан енгізілген парольді сұрау, соны-
мен қатар түйінді ақпарат оқылатын Touch Memory (TM) элементін
қосу арқылы қатты дискіде жазылған ақпаратқа рұқсатсыз қаты-
науды қорғауды жүзеге асырады. Түйінді ақпаратты оқығаннан
кейін тұрақты жадта жазылған бағдарлама кешенді орнатқандағы
таңдалған файлдардың тұтастығын тексереді. Тексерудің оң
нəтижесінде амалдық жүйе жүктеледі. Кері жағдайда қайтадан
пароль сұралады. Компьютер қосылып тұрғанда пароль туралы
ақпаратқа қатынауды бұғаттау үшін тақшада орналасқан бағ-
176
дарламалық қамтамасыздандыру компьютердің мекенжайлық
кеңістігінен жоғалады жəне тақшадан тұрақты жадтың микросыз-
басын шығарып алмай, ешқандай бағдарламалық құралдармен
оқуға болмайды. Адаптер болмаса немесе адаптер ақаулы болса,
компьютердің жүктелуі бұғатталады.
Бағдарламалық қамтамасыздандырудың тұтастығын тексе-
ру алгоритмі тексерудің толық сапалығын қамтамасыз ететін
қорғау қосымшасын генерациялау осы заманғы алгоритмдерге
негізделген. Пайдаланушының паролі, орнату паролі, сонымен
қатар ТМ мазмұны түйінді элементтер болып табылады.
Қорғау құралдарын орнату үшін «таза» компьютерде, яғни
вирустары мен салымдары жоқ болғанда, SETUP бағдарламасын
іске қосу керек. Бұл бағдарлама С логикалық дискісінің түпкі
директориінде ақпаратты қайта бөлуді жүзеге асырады жəне
орнату үдерісінде таңдалған файлдарға қорғау қосымшасын
есептейді.
Қорғау құралдарының аппараттық құрамасын компьютерге
орнатар алдында оның базалық мекенжайын таңдайды. Базалық
мекенжайды орнату джамперлер жұбын ауыстырып қосумен
жүзеге асырылады. Осы компьютерде орналасқан жəне дискілік
енгізу-шығарумен байланысқан BIOS кеңейтілуінің барлық ба-
залық мекенжайға қарағанда, максимал болатын мекенжайын
таңдау керек.
Қорғау құралдарының аппараттық құрамасын компьютерге
орнатқаннан жəне қоректі қосқаннан кейін BIOS парольді енгізуге
сұраныс жасайды. Амалдық жүйені жүктеу жəне əрі қарай SETUP
бағдарламасын іске қосу үшін орнату паролін енгізу қажет. Орна-
ту паролі тексеру қызметтерін бұғаттайды, сондықтан күнделікті
жұмысқа пайдалану керек емес.
Пароль аппаратураның əр данасына бірегей жəне кездейсоқ
теңықтималды латынның бас жəне кіші əріптері мен цифрларының
тізбегінен (ұзындығы 20 символ) тұрады. Амалдық жүйені
жүктегеннен кейін SETUP бағдарламасын іске қосу қажет.
SETUP бағдарламасын іске қосқаннан кейін күнде пайдала-
нылатын өз паролін жəне тексеруді жүзеге асыратын аппарат-
тық құраманың сериялық нөмірін енгізу керек. Парольдің мак-
симал ұзындығы 27 символ, минималы 3 символ. Парольдің
177
ұсынылатын ұзындығы 8 символдан кем болмауы қажет. Осы
түйінді элементтерді енгізгеннен кейін, тексерілетін 16 əртүрлі
файлдарды (MSDOS. SYS, IO. SYS, FENCE. COM-дарды қоса)
таңдауға болады.
Қорғалған компьютерді пайдаланғанда оны «суықтай» жүкте-
геннен кейін BIOS адаптер пайдаланушы паролін енгізуге сұ-
раныс жасайды. Парольді енгізгеннен кейін оның дұрыстығына
қарамай адаптердің интерфейстік кабелінің ажыратқышына ТМ
элементін қосуға сұраныс болады. Одан кейін орнату кезеңінде
таңдалған бағдарламалық қамтамасыздандыру тексеріледі жəне
тексеру нəтижесіне байланысты амалдық жүйе жүктеледі немесе
парольді қайта енгізу туралы сұраныс болады.
Түйінді ақпарат тасымалдаушысы ретінде ТМ OS 1991 таң-
далуы оның парольді оқудан қорғалған ұзындығы 4 байт аймағы
болуымен анықталады, яғни бұл элементті пайдаланғанда оның
мазмұнын рұқсатсыз көшіру мүмкіндігі бұғатталады. Одан басқа,
бұл элемент оған ұқсас қасиеттері бар интеллектуалдық карточ-
кадан арзан жəне жұмысқа қосымша құрал-жабдықтарды қажет
етпейді.
Көптеген бағдарламалық өнімдерді пайдалану ақпарат сырт қа
шығып кететін қосымша арналар туғызады. WINWORD мəтін-
дік процессорында даярланған құжатты электрондық пошта-
мен жіберуде ерекше қиындық болмайды, ыңғайлы, оңай. Егер
өте мұқият WINWORD файлын қарап шықсақ, қажет құжаттың
бірнеше үлгілерімен қоса басқа құжаттардың іздерін көруге бо-
лады. Осы жолмен «құпия сөздер» кетуі мүмкін. Дұшпан осы
сөздерді пошталық мекенжай жəне нақты адамның аты-жөнімен
байланыстырып, басқа əдістермен əрі қарай жұмыс жүргізе ала-
ды. Осы сипатталған ақпараттың сыртқа шығып кететін арнала-
рымен қатар өте жағымсыз қасиеті бар макро вирустарды алу
қауіпі болады.
Бұл жағдайда құпия ақпараттың виртуалдық желілер бойынша
жіберілуі туралы айтуға болады. Виртуалдық желі деп Интернет-
те деректерді жіберуде қатынас ортасы ретінде пайдаланылатын
криптомаршруттаушылар жиынынан құралған желіні айтады.
Əрбір криптомаршруттаушылар өзінің ішкі желісін шығарылатын
дестелерді шифрлап жəне енгізілетін дестелердің мағынасын
12–1525
178
ашу арқылы қорғайды. Криптомаршруттаушылар өзара қос бай-
ланыс кілттерімен шифрланған ақпараттар алмасады. Желі бой-
ынша кілттер айырбасталмайды. Ақпаратты жабу үшін ішкі ме-
кенжайы жасырылған инкапсуляция принципін пайдаланады.
Бұл шығатын десте абоненті бар ішкі желіні жабатын ағымдағы
криптомаршруттаушы қос байланыс кілтінде тақырыппен бірге
толық шифрланады. Бұл криптограммаға жіберушінің мекен-
жайы – ағымдағы криптомаршруттаушының сыртқы мекен-
жайы жəне қабылдаушының мекенжайы – корреспонденттің же-
лісін жабатын криптомаршруттаушы мекенжайы көрсетіліп, IP
тақырыбы қосылады. Алынған дестені үстіңгі желілер топологи-
ясын бүркемелеу құрылғысы арқылы жіберу үшін IP тақырыпқа
кез келген хаттаманың тақырыпшасын қосу қажет. Осы сырттан
қарағанда, қорғалатын ішкі желілер арасында ақпарат алмасу
екі компьютер арасында дестелер алмасу тəрізді болып көрінеді.
Қорғалатын ішкі желілердің пайдаланушылары ешқандай əсерді
байқамайды.
Бұзушының ішкі желілерді барлап қарау əрекеттері сəтсіздікке
ұшырайды, өйткені келген десте мағынасы дұрыс ашылмайды.
TCP/IP хаттамаларында қатынас деңгейін қолдау қажеттігінің бол-
мауы қатынас деңгейіне шабуылды жоққа шығарады, бұл крипто-
маршруттаушылар жұмысының сенімділігін жоғарылатады.
Қазіргі уақытта бақылау аймағының ішінде ақпаратты жіберу
үшін жергілікті есептеу желісін (ЖЕЖ) пайдалану барын-
ша жиілеуде. TCP/IP хаттамасын ЖЕЖ жұмысына қолдануды
қарастырайық жəне Интернет арнасымен бірнеше ЖЕЖ арасын-
да ақпарат алмасуды орындау қажеттілігін ұйғарайық.
Бұзушы моделі:
• бұзушы бүкіл желінің топологиясын біледі;
• бұзушы ішкі желілердің ІР-мекенжайын біледі;
• бұзушы ішкіжелілердегі жұмыс стансалары бағдарламалық
қамтамасыздандыруының (ПО) үлгілеріне жəне аппаратуралар
үлгілеріне ие;
• бұзушы бағдарламалық қамтамасыздандыруға (ПО) енгі-
зілген бағдарламалық-ақпараттық салымдар, дұрыстайтын ақпа-
раттар, шебер-парольдер жəне т.б. туралы ақпаратқа ие;
• бұзушы – түйінді ақпаратқа, яғни сеанстық жəне базалық
кілттерге ие емес;
179
• РҚ -1 болмайды.
Осы жағдайларда ақпаратты қорғау есептерін шешу үшін
Интернет желісінің барлық кеңістігін қиылыспайтын екі ішкі
кеңістікке бөлу ұсынылады: Р ішкі кеңістігі – қорғалатын ішкі
желі жəне С ішкі кеңістігі – Интернет желісінің қалған бөлігі.
Мұнда Р жəне С ішкі кеңістіктер тек ашық ақпарат бойынша
қиылысады. Қорғау құрылғылары – криптомаршруттаушылардың
(КМ) жұмысына қойылған негізгі принциптер мынандай болады.
Біріншіден, сыртқы жəне ішкі интерфейстер физикалық бөлінуі
керек, мысалы екі əртүрлі желілік карталар немесе RC 232 əртүрлі
арналары. Екіншіден, барлық шығатын ақпарат КМ нақты ереже-
лер бойынша түрлендірілуі қажет.
Белгілеулер енгізейік. F машинасы IP – мекенжайымен I (F)
қорғалған ішкі желі CRF маршруттаушы IP – мекенжайымен
I (CRF), ал G машинасы IP – мекенжайымен I (G) қорғалған
ішкі желі CRG маршруттаушы IP – мекенжайымен I(CRF) оның
құрамында болсын. Сонда IP-дестені F машинасынан G машина-
сына жіберуге əрекет жасағанда CRF маршруттаушы мынандай
іс-қимылдарды орындайды:
1. G машинасын іске қосатын ішкі желіні жабатын КМ мекен-
жайы CRF маршруттары кестесі бойынша ізделінеді. Бұл I(CRG).
2. Маршруттау кестесі бойынша КМ CRG бар ішкі желіге
мүмкіндік беретін интерфейс анықталады.
3. КМ CRF жəне КМ CRG байланыстың сеанстық кілтінде F
машинасынан тақырыбымен бірге десте шифрланады.
4. Шығатын дестенің тақырыбында машинаның мекенжайы
ретінде I(CRF) жіберушінің мекенжайы, I(CRG) қабылдаушының
мекенжайы болады.
5. Сыртқы интерфейс арқылы десте жіберіледі.
Мекенжай өрісінде жіберушінің мекенжайы (CRF), алушының
мекенжайы I(CRG) бар десте тағайындалуы бойынша CRG жет-
кен болсын деп алайық. КМ CRG мынандай іс-қимыл тізбегін
орындайды:
1. I(CRF) - I(CRG) қос мекенжайларға сəйкес кілттер кес-
тесінен байланыстың сеанстық кілті таңдалады жəне IP-десте де-
ректер өрісінің мағынасы ашылады.
180
2. Мағынасы дұрыс ашылмаған жағдайда немесе алынған
кодограмма КМ CRG ішкі желінің IP-дестесі болмаса, яғни
мағынасы ашылған IP-десте алушының мекенжайы I (G) болма-
са, десте жойылады.
3. Десте ішкі интерфейс арқылы G машинасына жіберіледі.
Ішкі желіде мағынасы ашылған IP-дестеде I (F) жіберуші мекен-
жайы жəне I (G) алушының мекенжайы болады.
Сонымен, ішкі желілер шеңберінде TCP/IP стек хаттама-
сы бойынша жұмыс істейтін кез келген желілік бағдарламалық
қамтамасыздандыру үшін КМ толық айқындалады. Ішкі желі-
лердің мекенжайлық кеңістігі Интернет мекенжайларына тəуелсіз
болады. Қорғалатын ішкі желілердегі ақпараттың қорғалу тұрақ-
тылығы КМ арқылы жүзеге асырылған криптосызбалардың
табан дылығына парапар болады. Интернет ашық арнасы арқылы
жіберілетін ақпараттың қорғау беріктігі криптосызбаның берік-
тігіне тең болады. Ішкі жүйелерге дұшпанның іс-əрекеті, яғни
жергілікті желіге жергілікті рұқсатсыз қатынау болмаса, онда
ақпараттың қорғалуы толығынан криптосызбаның беріктігіне тең
болады.
Бұзушының компьютерлердің бағдарламалық қамтамасыз-
дандыруына кез келген салымды сіңіруінде жəне RS232 хаттама-
сымен коммутацияланатын немесе бөліп берілетін арна бойынша
жұмыс істеуінде «нүкте-нүкте» желі топологиясы үшін арнайы
шифрлауда қондырғы құралдарды қолдануы мүмкін. Егер тікелей
ақпаратты жібергенде арна құрайтын аппаратура құрамына шиф-
рлау алгоритмдерін қосуды қамтамасыз етсе жəне ақпаратты
жібермеген кезде модемді үйлесімде қосқанда, салымның
мөлшеріне жəне агрессивтілігіне байланыссыз бұзушы:
• бағдарламалық-аппараттық кешенге сырттан асинхрондық
əрекет жасай алмайды;
• арна бойынша жіберілетін ақпаратты тікелей тораптан ал-
ғанда ашық ақпарат ала алмайды;
• коммутацияланатын арна бойынша ақпаратты басқа бағыт-
қа жібергенде ашық ақпарат ала алмайды.
Тек қана бағдарламалық қамтамасыздандыруға сіңірілген
бұ зу шының салымы оған «аяғы/басы» немесе «қабылдау/жібе-
руде қате бар/жоқ» арналарын пайдаланып, морзянкамен хабар
181
жібереді. Бірақ, коммутацияланатын арна жұмысының жыл дам-
дығын жəне арна құрайтын құрал-жабдықтардың инерциясын ес-
керсек осы тəсілмен жіберілетін ақпараттың үлесі өте аз болады.
Модеммен басқарылатын, қорғау құралы.
«Нүкте-нүкте» желі топологиясында коммутацияланатын ар -
налар бойынша компьютерлер арасында ақпарат алмасқанда бұ-
зу шының мынандай моделінде жұмыс істейтін қорғау құрал да-
рын пайдалануға болады:
• бұзушының ішкі желілер аппаратурасына жергілікті рұқ-
сатсыз қатынауда əрекет жасауы мүмкін;
• бақыланбайтын аймақтың сыртында барлық трафикті бұ-
зушы жазып алуы мүмкін;
• жергілікті есептеу жүйелерінің стансалары мен серверле-
рінде қызмет жасайтын желілік жəне қолданбалы бағдарламалық
қамтамасыздандыруда жергілікті рұқсатсыз қатынау уақытында
бұзушының сіңірген салымы болуы мүмкін;
• бұзушыда аппаратураның, бағдарламаның, толық құжат-
таманың үлгілері бар;
• бұзушы тек бақыланбайтын аймақтың сыртында ақпарат ала
алады;
• бақыланбайтын аймақ арқылы деректерді жіберу аппарату-
расына айналма арналар құруға бұзушының мүмкіндігі жоқ;
• бұзушыда шифрлау кілті болмайды.
Осы қарастырылған жағдайларда ақпаратты қорғау мəселесін
шешу модем арқылы басқарылатын шифратордың көмегімен
жүзеге асырылады. Ұйғарылған құрылғы модем мен компьютердің
арасында орналасқан, модеммен басқарылатын сызықтық шифра-
тор болып табылады. Құрылғыда RS232 интерфейсін енгізілетін
жəне шығарылатын қосқышы болу қажет.
Бұл сызбаның кемшілігі мыналар:
1. Тұйықтық (абонент осыған ұқсас құрылғысы жоқ абонент-
пен байланыса алмайды);
2. Хабарларды коммутациялау орталығымен байланысқанда
ақпарат орталықта ашық түрде болады.
Жетістігі – компьютердегі бағдарламалық қамтамасыз
дан-
дырудан, бағдарламалық салымдардан жəне компьютерлердің
өздерінен толық тəуелсіздігі.
|