Оқулық Қазақстан Республикасы Білім жəне ғылым министрлігі бекіткен Алматы, 2011 2


Желілік қауіпсіздік құралдарымен басқару архитек-



Pdf көрінісі
бет166/257
Дата02.02.2022
өлшемі1,47 Mb.
#24735
түріОқулық
1   ...   162   163   164   165   166   167   168   169   ...   257
Байланысты:
2-дәріс

Желілік қауіпсіздік құралдарымен басқару архитек-
турасы
Кəсіпорынның ақпараттық қорларының қауіпсіздігін қам-
тамасыз ету үшін ақпараттарды қорғау құралдары əдетте тікелей 
корпоративтік желілерге орналастырылады. МЭ, қаскү немдердің 
сырттан жасаған шабуылдарын көрсете отырып, корпоративтік 
қорларға қатынауды бақылайды. Ал виртуалды жеке желілердің 
шлюздері (VRN) ашық ауқымды желілер, жекелей алғанда, Ин-


240
тернет арқылы ақпараттар берудің құпиялылығын қамтама-
сыз етеді: Сенімді эшелонданған қорғаулар жасау үшін қазіргі 
уақытта сондай-ақ, IDS (Intrusion Detection Systems) басып 
кіруін анықтау жүйесі, ақпараттың мазмұны бойынша қатынау-
ды бақылау құралы, антивирустік жүйелер жəне т.б. сияқты, 
қауіпсіздік құралдарын қолданады.
Коммуникациялық ақпараттық жүйелердің көпшілігі, əртүрлі 
өндірушілер жеткізетін, бағдарламалық жəне аппараттық құрал-
дар негізінде құрылған.
Осы құралдардың əрбірі, пайдаланушылар мен олар қаты-
най алатын қорлар арасындағы өзара байланыстарды көрсететін 
мұқият жəне өзгешелікті конфигурациялауды талап етеді.
Гетерогендік коммуникациялық ақпараттық жүйелердегі ақ-
па 
раттардың сенімді қорғауын қамтамасыз ету үшін, комму-
никациялық – ақпараттық жүйенің əрбір құраушысының қауіп-
сіздігі мен дұрыс баптауын қамтамасыз ететіндей, пайдала 
ну-
шылардың жұмысын бақылай алатындай, болып жатқан өз 
ге-
рістерді үнемі қадағалайтындай коммуникациялық ақпарат 
тық 
жүйенің қауіпсіздігін басқарудың ұтымды ұйымдасқан жүйесі 
қажет. Ақпараттық жүйелер неғұрлым əртекті болса, оның 
қауіпсіздігін басқаруды қаматамасыз ету соғұрлым күрделірек 
болады. 
Желілік қауіпсіздік құралдарын жетекші өндіруші – кəсіпо-
рындардың тəжірибесі, егер қауіпсіздікті басқару орталық 
тан-
дырылған болса жəне пайдаланатын операциялық жүйелер мен 
қолданбалы жүйелерге тəуелді болмаса, компания, бөлінген ком-
муникациялық ақпараттық жүйелерде өзінің қауіпсіздік саяса-
тын ойдағыдай жүзеге асыра алатынын көрсетеді. Мұнан өзге, 
коммуникациялық ақпараттық жүйелерде болатын (рұқсатсыз 
қа тынау оқиғасы, пайдаланушылар пұрсаттарының өзгеруі жəне 
т.б.) оқиғаларды тіркеу жүйесі, əкімші коммуникациялық ақпа-
раттық жүйеде болып жатқан өзгерістердің толық суретін сала 
алатындай болу үшін, бірыңғай болуы қажет.
Қауіпсіздікті басқарудың бірқатар міндеттерін шешу үшін 
Х.500 каталог түріндегі бірыңғай вертикаль инфрақұрылымдар 
құру қажет. Мысалы, желілік қатынау саясаты пайдаланушылардың 
идентификаторларын білуді талап етеді. Бұл ақпарат жəне 


241
өзге қосымшаларға қажет, мысалы, кадр есебі жүйесінде, қо-
сымшаларға (Single Sign-On) бір рет қатынау жүйесінде жəне т.б. 
Бір деректерді қосарлау синхрондау қажеттілігіне, еңбекті көп 
жұмсаушылықты арттыруға жəне мүмкін шатысуларға əкеледі.
Сондықтан, осындай қосарлауды болдырмас үшін, жиі түрде 
бірыңай вертикаль инфрақұрылымдар пайдаланылады. 
OSI/ISO əртүрлі деңгейлерінде жұмыс жасайтын, пайдала-
натын əртүрлі пайдалану ішкі жүйелерінің осындай вертикаль 
құрылымдарына мыналар жатады:
•  PKI ашық кілттермен басқару инфрақұрылымдары. 
Əзірге кеңінен таралмаған, бірақ басқару үшін маңызды, қызықты 
аспектіні атап айту керек. Қазіргі уақытта, негізінен, «жеке бас 
куəліктері» (identity certifi  cates) деп аталатын түрде цифрлық сер-
тификаттар пайдаланылады, бірақ, қазірдің өзінде «сенім грамо-
талары» (credential certifi cates) деп аталатын түрде цифрлық сер-
тификаттар дамуда жəне қандай да бір жерлерде қолданылуда; 
осындай «сенім граммоталарын беру жəне кері шақырып алып, 
қатынауды неғұрлым икемді басқаруға болады; 
• Каталогтар (мысалы, қатынауды басқару жүйелеріне қажет, 
пайдаланушылар идентификаторлары жəне пайдаланушылар 
туралы өзге мəліметтер); каталогтар деректерді сақтау қоймасы 
ретінде ғана жиі пайдаланылмайды, сондай-ақ онда қатынау сая-
саты, сертификаттар , қатынау тізімдері жəне т.б. жиі орналасады;
• Аутентификациялау жүйелері (əдетте, RADIUS, TACACS, 
TACACS+ сервері);
• Оқиғаны хаттамалау, мониторинг жəне аудит жүйелері. 
Бұл жүйелердің əрқашан вертикаль еместігін, жиі нақты ішкі 
жүйелер мүдделерінде автономды жұмыс жасайтынын атап 
өтеміз. 
Компаниялардың гетерогендік желілерінің қауіпсіздігін ие-
рархиялық басқарудың тиімді жүйесін құруға мүмкіндік беретін, 
қауіпсіздікті ауқымдық басқару тұжырымдамасын TrustWorks 
Systems компаниясы əзірлеген болатын. Коммуникациялық ақпа-
раттық жүйенің қауіпсіздігін бірорталықтан басқаруды ұйым-
дастыру мына принциптерге негізделген:
•  корпоративтік желілердің қауіпсіздігін басқару ауқымды 
қауіпсіздік ережелері – корпоративтік желілер объектілері арасын-


242
дағы; сондай-ақ корпоративтік желілер мен сыртқы объектілер 
ара сындағы өзара əрекеттер жиыны үшін қауіпсіздік ережелерінің 
жиыны деңгейінде жүзеге асырылуы тиіс;
•  ауқымды қауіпсіздік ережелері компаниялардың бизнес 
үдерістеріне сəйкес келуі тиіс. Бұл үшін объектілердің қауіпсіздік 
қасиеті мен талап етілетін қауіпсіздік сервистері компаниялар 
құрылымындағы олардың бизнес – рөлдерін ескере отырып си-
патталуы тиіс.
Жекелеген қорғау құралдары үшін жергілікті қауіпсіздік 
ережелері жасалады. Жергілікті қауіпсіздік ережелерін трансля-
циялау ауқымды қауіпсіздік ережелері мен қорғалатын желілер-
дің топологияларын талдау негізінде автоматты жүзеге асыры-
луы тиіс.
Желілік қауіпсіздікті бір орталықтан басқару методология-
сы қауіпсіздік технологиялары дамуының қазіргі заманғы үде-
рістерін жеткілікті түрде толықтай көрсетеді, осы методология 
мен оны жүзеге асырудың кейбір аспектілерін егжей-тегжейлі 
қарастырамыз.
GSM (Global Security Management) қауіпсіздікті ауқымды 
басқару тұжырымдамасы коммуникациялық ақпараттық жүйенің 
қауіпсіздігін бірорталықтан басқарудың негізіне жатады. GSM 
тұжырымдамасы, төмендегідей қасиеттермен кəсіпорынның ақ-
параттық қорларын қорғау мен басқарудың кешенді жүйесін 
құруға мүмкіндік береді:
• кəсіпорынның бүкіл қорлары үшін қорғау ережелері жиы-
нының толықтығын, тұтастығын, қарама-қайшылықты еместігін 
қамтамасыз ететін, кəсіпорынның қауіпсіздік саясаты негізінде 
бүкіл қолданылатын қорғау құралдарымен басқару жəне əртүрлі 
өндірушілер беретін, қорғау құралдарымен қауіпсіздік саясатын 
келісімді жүзеге асыру;
•  қорларды сипаттаудың өзіндік құралдары есебінен, сол 
сияқты кəсіпорынның өзге каталогтарымен (оның ішінде хатта-
ма бойынша) байланыс арқылы өзектілігі арттырылуы мүмкін, 
кəсіпорын орталарының бірыңғай (бөлінген) каталогы арқылы 
кəсіпорынның бүкіл ақпараттық қорларын анықтау;
• ақпараттарды қорғаудың жергілікті құралдарымен бір орта-
лықтан, негізді қауіпсіздік саясатымен (policy-based) басқару;


243
•  LAS аутентификациялаудың (тұтынушының таңдауы бой-
ынша) қосымша жергілікті құралдарын қолдану мүмкіндігімен:
- PKCS#11 тонендер мен PKI ашық кілттер инфрақұрылымдарын 
пайдаланып кəсіпорын ортасында саясат объектілерін қатаң ау-
тентификациялау;
- Кəсіпорынның белгілі бір каталогындағы қорларға неме-
се бүкіл каталогтың бөліктеріне (пайдаланушылар, домендер, 
кə сіпорын департаменттері топтары ұғымдарын қолдаумен) 
қатынауға əкімшілік етудің кеңейтілген мүмкіндіктері, кəсіпорын 
қорларына қатынау құқығының жиыны ретінде рөлдерді басқа-
ру, қауіпсіздік саясатына қатынау құқықтарының атрибуттары 
(credentials) арқылы құқықтарды жанама анықтау элементтерін 
енгізу;
- Қауіпсіздік мониторингін жəне аудитті, есеп берушілікті 
(корпоративтік желілер масштабтарында жүйелердің бөлінген 
объектілерінің өзара əрекеттерінің бүкіл операцияларын тіркеу), 
дабыл сигнализацияларын қамтамасыз ету;
- Жалпы басқару жүйелерімен, қауіпсіздік (PKI, LAS, IDS) 
инфрақұрылымдық жүйелермен ықпалдастық (интеграция).
Аталған тұжырымдамалар шеңберлерінде, қауіпсіздік саяса-
ты негізінде басқару - РВМ (Policy based management) бизнес – 
аймақтарын объектілермен толық қамтуға жəне пайдаланылатын 
басқару ережелерінің қарама-қайшы болмауына кепілдік беретін, 
кəсіпорынның бизнес – объектілері үшін тұжырымдалған, 
басқару ережелерінің жиынын жүзеге асыру ретінде анықталады.
РВМ принциптерінде кəсіпорынның қауіпсіздігін басқаруға 
бағдарланған GSM басқару жүйесі: 
•  кəсіпорынның қауіпсіздік саясаты логикалық жəне семан-
тикалық байланысқан, қалыптасатын, редакцияланатын жəне 
тал  данатын деректердің біртұтас құрылымын білдіретін кəсіпо-
рынның  қауіпсіздік саясаты;
• кəсіпорынның қауіпсіздік саясаты, бүкіл қорғау деңгейлері 
үшін біртұтас желілік қауіпсіздік саясаты жəне кəсіпорынның 
ақпараттық қорларының қауіпсіздік саясаты ретінде, бірыңғай 
контексте анықтайтын:
•  кəсіпорынның қауіпсіздік саясаты мен қорларға əкімшілік 
етуді оңайлату үшін саясат параметрлерінің саны барынша азай-
татын талаптарды қанағаттандырады. 


244
   Саясат параметрлерінің санын барынша азайту үшін:
1) қауіпсіздік объектілерін топтық анықтау;
2) жанама анықтау, мысалы, сенім атрибуттары негізінде 
анықтау;
3) қатынау туралы шешім, субъект ие болатын қатынау дең-
гейімен соған қарай қатынау жүзеге асырылатын, қордың (ресурс-
тың) құпиялық деңгейін салыстыру негізінде анықталатын кездегі 
қатынауды мандаттық басқару тəсілдері қолданылады. 
GSM басқару жүйесі қауіпсіздік саясатының кəсіпорын қауіп-
сіздігінің формалды модельдеріне сəйкестігін көпкритериялды 
тексеру құралдары есебінен қауіпсіздік саясатын талдаудың алу-
ан тетіктерін қамтамасыз етеді. 
Төменде кəсіпорын желілерінің ауқымды қауіпсіздік ере же-
лерін (GSP – Global Security Policy) анықтау тұжырымдамасы мен 
ауқымды қауіпсіздік ережелері негізінде құрылған қауіп сіздікті 
басқару жүйесінің (policy based security management) сипаттама-
сы беріледі. 
Корпоративтік желілердің ауқымды қауіпсіздік саясаты 
ақпараттық қауіпсіздік контексінде корпоративтік желілер объек-
тілерінің өзара əрекетінің параметрлерін сипаттайтын:
• қосу үшін қажет қауіпсіздік сервисі (трафикті өңдеу, қорғау 
жəне сүзгілеу ережелері);
• қауіпсіздік сервисін беру бағыты;
• объектілерді аутентификациялау ережесі;
•  жүйелік журналға қауіпсіздік оқиғаларының нəтижелерін 
жазу ережелері;
•  дабыл оқиғалары туралы сигнализация ережесі жəне т.б. 
сияты қауіпсіздік ережелерінің (security rules) (20-сурет) түпкі 
жиынын білдіреді. 
АҚЕ ережесі 
Объекті А 
Объектінің сипаттамасы:
• VPN-агент Застава 3.3 
• IP-хост 
• Normadic-хост 
• Ішкі желі
• Топ


245
• Сенімді СА тобы
• Кез келген қауіпсіздік периметрі
Объекті В
Қажет қауіпсіздік сервисін беру бағыты 
Қауіпсіздік сервисі
• Қосымша түрі 
• Сүзгі
• Криптосервис түрі
Аудит деңгейі 
• Жүйелік журналды енгізу ережесі
• Сигнализация ережесі


Достарыңызбен бөлісу:
1   ...   162   163   164   165   166   167   168   169   ...   257




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет