Оқулық Қазақстан Республикасы Білім жəне ғылым министрлігі бекіткен Алматы, 2011 2



Pdf көрінісі
бет107/257
Дата02.02.2022
өлшемі1,47 Mb.
#24735
түріОқулық
1   ...   103   104   105   106   107   108   109   110   ...   257
Байланысты:
2-дәріс

11-сурет. Қорғаудың бағдарламалық құралдары
Операциялық жүйелердегі ақпараттық қауіпсіздікті тиімді 
қамтамасыз ету үшін:
1. Қауіпсіздік моделін дұрыс енгізу.
2. Объектілер мен субъектілердің сенімді сəйкестендіруі 
мен ау тентификациясын жүргізу ұсынымдарын орындау қажет. 
Аталған проблема таза техникалық сипатта болады. Қазіргі 
уақытта, берілген дəрежеде сəйкестендіру мен аутентификация-
лау сенім ділігін қамтамасыз ететін жүйелер бар. Сəйкестендіру 
сенімділігі үшін пайдаланылатын белгілердің бірегейлігі, ал 
аутентификациялау үшін жалған құжат жасаудың қиындығы 
қамтамасыз етіледі. Пайдаланушыларды сəйкестендіру жəне 


138
аутенти фикациялаудың сенімді алгоритмдерін жүзеге асыру үшін 
арнайы аппараттық құралдар – магниттік карталар, пайдалану-
шының физиологиялық параметрлерін (саусақтарының таңба-
ларын, көз торларын жəне т.б.) есептегіштер қажет. Осы əдістерді 
бағдар ламалық жүзеге асыру күрделі емес жəне кез келген қол-
данылатын жүйеге оңай қосуға болады. Бағдарламалық (адам-
ның қатысуынсыз) субъектілер мен объектілерді сəйкестен діру 
жəне аутентификациялау үшін соңғы уақытта қарқынды дамыған 
электрондық қорлар деп аталатын алгоритмдер пайдаланыла-
ды. Сəйкестендіру мен аутентификациялаудың нақты тетіктерін, 
құрылғылары мен құралдарын таңдау, нақты жүйеге қойылатын 
талаптарға қатысты болады жəне қорғауды қамтамасыз ету үшін 
пайдаланылатын қалған шешімдерге тəуелсіз жүзеге асырылуы 
мүмкін.
3. Қауіпсіздікті қамтамасыз ету жүйесін бағдарламалық жүзеге 
асыруда қателерді азайтуға немесе толық жоюға қол жеткізу. 
Қорғау əдістері мен құралдары, кез келген өзге бағдарламалық 
қамтамасыздандыру сияқты, жүзеге асыруда қателіктер жіберіледі. 
Қорғау жүйесі құраушыларының кез келгеніндегі қателік бүкіл 
жүйенің қауіпсіздігіне күдік келтіреді, сондықтан қауіпсіздікке 
жауап беретін бағдарламалық қамтамасыздандырудағы қателік 
жұмыс істеу қабілеттілігін жоғалтуға ғана емес, бүкіл жүйенің 
беделіне нұқсан келтіруге əкеледі. Осы проблемаларды шешу-
ге бағытталған шаралар, операциялық жүйенің сенімділігімен 
бағдарламалау технологиялары саласына жатады. Бұл пробле-
ма екі əртүрлі пəндердің –операциялық жүйенің қауіпсіздігі мен 
сенімділігінің тоғысу аймағын білдіреді, өйткені қорғауды жүзеге 
асыратын бағдарламалардың сенімділігі жүйенің қауіпсіздігін 
анықтайды.
4. Қауіпсіздікті қамтамасыз ету құралдарының тұтастығын 
қажетті деңгейде бақылауды ұйымдастыру. Аталған проблема 
таза технологиялық сипатта болады, өйткені тұтастықты ба-
қылау əдістері аса дамыған жəне толықтай сенімді шешім бар 
(сол цифрлық қол). Бірақ, тəжірибеде, негізінен, бұл əдістер ақпа-
раттардың тұтастығын бақылау үшін ғана қолданылады (мыса-
лы, байланыс арналары бойынша берген кезде). Осы проблема-
ны шешу үшін, бірінші кезекте, қорғауды қамтамасыз ететін, 
тетіктердің тұтастығын бақылау қажет.


139
5. Түпкі өнімдердегі ретке келтіріп дұрыстау жəне тестілеу 
құ рал дарының бар болуын қамтамасыз ету. Осы проблемаларды 
шешу үшін ұйымдастыру шараларын ғана пайдалануға болады. 
Қауіпсіздік шешуші маңыз атқаратын бүкіл жүйелер, онда осын-
дай мүмкіндіктер жоқ екенін растайтын сертификатқа ие болуы 
тиіс. Осы талаптардың орындалуына барлық жауапкершілікті, 
əзірлеуші ғана өзіне алуы заңды болып саналды.
6. Əкімшілік ету қателіктерін барынша азайту. Бұл пробле-
ма адам факторымен байланысты жəне таза техникалық құрал-
дармен шешу мүмкін емес. Осындай қателіктердің пайда болу 
ықтималдығын азайту үшін, қатынауды ыңғайлы жəне дағдылы 
интерфейспен бақылау, қауіпсіздікті басқару құралдарын қамта-
масыз ету қажет, мүмкіндікке қарай автоматтандырылған басқару 
жүйесін пайдалану керек.
Деректер қорларындағы ақпараттарды қайта өңдеу үдерістерін 
қорғаудың, файлдардағы деректерді қорғаудан өзгешелігінің:
• қорғау тетіктерін таңдау кезінде деректер қорларын басқару 
жүйесінің жұмыс істеуін есепке алу қажеттілігі;
•  ақпараттарға қатынауды шектеу файлдар деңгейінде емес, 
деректер қорлары бөліктерінің деңгейінде жүзеге асыру сияқты 
өзіндік ерекшеліктері бар.
 Деректер қорларындағы ақпараттарды қайта өңдеу үдеріс- 
терін қорғау құралдарын жасау кезінде осы құралдардың опе-
рациялық жүйелермен (ОЖ) ғана емес, сонымен бірге ДҚБЖ-
мен де өзара əрекетін ескеру қажет. Бұл ретте ДҚБЖ-да қорғау 
тетіктері орнатуға немесе оларды жеке құраушылар түрінде пай-
далануға болады. ДҚБЖ көпшілігі үшін оларға қосымша функ-
циялар беру ДҚБЖ-ны əзірлеу кезеңінде ғана мүмкін болады. 
Деректер қорларын басқарудың пайдаланылатын жүйелерінде 
қосымша құраушылар басқару тілін кеңейту немесе түрлендіру 
жолымен енгізілуі мүмкін.
Қазіргі деректер қорларында қатынауды шектеу, физикалық 
тұтастықты ұстап тұру жəне деректердің логикалық сақта 
лу-
шылық міндеттері аса ойдағыдай шешіледі. Жазуларға жəне 
тіпті, пайдаланушы өкілеттіктеріне сəйкес жазулардың бос орын-
дарына қатынауды шектеу алгоритмдері жақсы жасалған жəне 
осы қорғанысқа қаскүнем өкілеттіктерді сапырыстыру немесе 


140
зиянды бағдарламалар енгізу көмегімен ғана өте алады. Деректер 
қорлары файлдарына жəне деректер қорлары бөліктеріне қаты-
науды шектеуді ДҚБЖ, пайдаланушылар өкілеттіктерін белгілеу 
жəне қатынау объектілеріне жіберу кезінде осы өкілет 
тіктерді 
бақылау жолымен жүзеге асырады.
Пайдаланушылардың өкілеттігін ДҚБЖ əкімшісі белгілейді. 
Əдетте, шифрланған түрде берілетін пароль, пайдаланушының 
стандартты идентификаторы болып саналады.
Пайдаланушының түпнұсқалығын растау үдерісі, алыстағы 
үдерістерді өзара аутентификациялаудың арнайы процедурасы-
мен толықтырылады. Құпия ақпараттардан тұратын деректер 
қоры сыртқы сақтайтын құрылғыларға шифрланған түрде сақ-
талады.
Деректер қорының физикалық тұтастығына, мысалы, RAID 
тех нологиялары бойынша құрылған істен шығуға берік құрыл-
ғыларды пайдалану жолымен қол жеткізіледі. Деректердің логи-
калық сақталушылығы деректер модельдері құрылымдарын бұзу-
дың мүмкін еместігін білдіреді. Қазіргі ДҚБЖ деректер модель-
дерін сипаттау кезеңінде осындай логикалық тұтастық пен қарама 
қайшы еместікті қамтамасыз етеді.
Құпия ақпараттармен жұмыс жасайтын деректер қорларын- 
да ақпараттарды жабудың криптографиялық құралдарын қосым-
ша пайдалану қажет. Осы мақсаттар үшін, бір кілттің көмегімен, 
сол сияқты пайдаланушылардың жеке кілтімен шифрлау пай-
даланылады. Жеке кілттермен шифрлауды қолдану қатынауды 
шектеу тетігінің сенімділігін арттырады, бірақ басқаруды елеулі 
қиындатады. 
Шифрланған деректер қорларымен жұмыс жасаудың мүмкін 
боларлық екі режимі бар. Сұрауды орындау үшін қажетті файл 
немесе файлдың бір бөлігі ашық тасымалдағышта шифрлана-
тын, қажетті əрекет ашық ақпаратпен жүргізілетін, содан кейін 
ақпарат уақытша есте сақтайтын құрылғыда қайтадан шифрла-
натын жабық деректермен жұмыс жасаудың осындай режимі 
аса қарапайым болып саналады. Бір-бірімен тізбектеліп жұмыс 
жасайтын шифрлау құралдары мен ДҚБЖ-ның жұмыс істеуінің 
тəуелсіздігі жұмыс жасаудың осындай режимінің артықшылығы 
болып саналады. Сол уақытта жүйедегі тоқтап қалу немесе істен 


141
шығу уақытша сақтау құрылғысында деректер қорының бөлігі 
ашық түрде жазылған қалыпта қалатындыққа əкеліп соғуы мүм-
кін.
Жұмыс жасаудың екінші режимі ДҚБЖ-ның, пайдалану-
шы лардың сұрауларын уақытша сақтау құрылғысында ақпарат-
тардың мағынасын ашусыз орындау мүмкіндігін ұйғарады. Қа-
жетті файлдарды, жазуларды, бос орындарды, бос орындар топ -
тарын іздеу мағынасын ашуды қажет етпейді. Мағынасын ашу 
жедел жадта, тікелей түрде, деректермен нақты əрекеттер орын-
дау алдында жүргізіледі. Егер шифрлау процедурасы ДҚБЖ-да 
орындалса, осындай жұмыс режимі мүмкін болады. Бұл ретте 
рұқсатсыз қатынаудан жоғары қорғау деңгейіне қол жеткізуге 
болады, бірақ жұмыс режимін жүзеге асыру ДҚБЖ-ның күрде-
ленуімен байланысты. ДҚБЖ-ға осындай жұмыс режимін ұстап 
тұру мүмкіндіктерін беру, негізінен, ДҚБЖ-ны əзірлеу кезеңінде 
жүзеге асырылады.
Деректер қорын қорғауды құру кезінде, деректер қорында 
алуан ақпараттардың үлкен санының шоғырлануымен байланы-
сты, ақпараттар қауіпсіздігінің бірқатар өзгешелікті қатерлерін, 
сондай-ақ деректерді өңдеудің күрделі сұрауларын пайдалану 
мүмкіндігімен байланысты қатерлерді ескеру қажет. Осындай 
қатерлерге:
• инференция;
• агреграттау;
• рұқсат етілген сұрауларды құрамдастыру жатады.
Ой қорытындысы жолымен, аз дəрежелі құпиялылықпен 
мəліметтерден құпия ақпараттар алу инференция  болып түсін-
діріледі. Егер, деректер қорында, əр уақытта əртүрлі көздер ден 
алынған, жалпыламалық дəрежесімен өзгешеленетін ақпарат 
сақ  талған болса, онда аналитик қатынаған деректерді салысты-
ру, толықтыру, сүзгіден өткізу жолымен құпия мəліметті ала ала-
тынын ескеру қажет. Мұнан өзге, ол ашық дерек қорларынан, 
бұқаралық ақпарат құралдарынан алынған ақпаратты өңдейді. 
Құпия мəліметтерді, мысалы, бұқаралық ақпарат құралдары бой-
ынша алу тəсілі, бұрыннан қолданылады жəне өзінің тиімділігін 
көрсетті деп айтуға болады. 


142
Құпия мəліметтерді алудың өзге тəсілі – агрегаттау интер-
ференцияларға жақын болып саналады. Соның негізінде осы 
мəліметтер алынатын, жекелей алғанда деректердің маңыз 
ды-
лығымен салыстырғанда, неғұрлым маңызды мəліметтер алу 
тəсілі агрегаттау болып түсіндіріледі. Мəселен, корпорацияның 
бір бөлімшесінің немесе филиалының қызметі туралы мəлімет 
белгілі бір салмақты коэффициентке ие. Ал, корпорацияның 
бүкіл деректерінің маңыздылығы одан да жоғары. Егер инфе-
ренция жəне агрегаттау деректер қорларына қатыссыз ғана 
емес қолданылатын, ақпараттар алу тəсілі болып саналса, онда 
рұқсат етілген сұрауларды арнайы құрамдастыру тəсілі деректер 
қорымен жұмыс жасау кезінде ғана пайдаланылады. Күрделі, 
сондай-ақ тізбекпен жай логикалық байланысқан сұрауларды 
пайдалану, пайдаланушыға қатынау жабық болатын, деректер 
алуға мүмкіндік береді.
Осындай мүмкіндіктер, ең алдымен, статистикалық деректер 
алуға мүмкіндік беретін деректер қорларында бар. Бұл ретте, же-
келеген жазулар (жеке деректер) жабық болып саналады. AND, 
OR, NOT логикалық операциялары пайдаланылуы мүмкін сұрау 
нəтижесінде, пайдаланушы, жазулар саны, жиыны, ең үлкен не-
месе төмен мəні сияқты шамалар алуы мүмкін. 
Күрделі тұс-тұстан жасалған сұрауларды жəне оның билі гін-
дегі қолда бар қызығушылық тудыратын жазулардың (полялар-
дың) ерекшеліктері туралы қосымша ақпараттарды пайдаланып, 
қаскүнем жазуларды тізбекпен сүзгіден өткізу жолымен қажетті 
жазуға қатынауға мүмкіндік ала алады.
Жалпы жағдайда, есептеу жүйелерінің өзара əрекеттесуі ке-
зінде біз, коммуникациялық ішкі жүйелердің көмегімен бір тұтас 
жүйемен  байланысқан,  шоғырланған  коммуникациялық  жү  йе   -
лердің жиынын білдіретін, шоғырландырылған не бөлінген ком-
му никациялық құралдармен, істе байланысты боламыз.
Бұл ретте, жекелеген ЭЕМ, соның ішінде БЭЕМ есептеу жү-
йе 
лері жəне кешендер, сондай-ақ жергілікті есептеу желілері, 
шоғырландырылған коммуникациялық құралдар болуы мүмкін. 
Қазіргі уақытта, өзінің құрамында ЭЕМ жоқ, инттелектуалдық 
емес абоненттік пункттер, тəжірибеде пайдаланылмайды. Бөлін-
ген коммуникациялық құрал желілік технологиялар бойынша 
құрылады, сондай-ақ есептеу ішкі жүйесіне:


143
• коммуникациялық модульдер (км);
• байланыс арналары;
• концентраторлар;
• желіаралық шлюздер (көпірлер) кіреді.
Алынған дестені (пакетті) өзге коммуникациялық модуль-
дерге немесе беру маршруттарына сəйкес абоненттік пунктке 
беру коммуникациялық модульдердің негізгі функциялары бо-
лып саналады. Пакеттер коммутацияларының центрі, сондай-ақ 
коммуникациялық модуль деп аталады. 
Байланыс арналары желі элементтерін желіге біріктіреді. 
Ар 
налар деректерді берудің əртүрлі жылдамдығына ие болуы 
мүмкін.
Концентраторлар, оны жоғары жылдамдықты арналар бой-
ынша берудің алдында ақпараттарды тығыздау үшін пайдала-
нылады. 
Желіаралық шлюздер (көпірлер), жергілікті есептеу желі-
леріндегі байланыстар немесе ауқымды желілер сегмент терінің 
байланыстары үшін пайдаланылады. Желілер сегменттері көпір-
лер көмегімен бірдей желілік хаттамалармен байланысады. 
Кез келген бөлінген коммуникациялық функционалдық мақ-
саттарына сəйкес:
•  пайдаланушылық (абоненттік);
•  басқару;
•  Коммуникациялық сияқты үш ішкі жүйеге бөлінуі мүмкін.
Пайдаланушылық (абоненттік) ішкі жүйеге пайдалану
 
шы лар-
дың (абоненттердің) компьютерлік жүйелері кіреді жəне ақпа-
рат тарды сақтауда, өңдеуде жəне алуда пайдаланушылар қажет-
тіліктерін қанағаттандыруға арналған. 
Басқару ішкі жүйелерінің болуы бөлінген коммуникациялық 
жүйелердің бүкіл элементтерін бір жүйеге біріктіруге мүмкіндік 
береді мұнда элементтердің өзара əрекеті бірыңғай ережелер 
бойынша жүзеге асырылады. Ішкі жүйе, қызметтік ақпараттарды 
жинау жəне талдау жолымен жүйелер элементтерінің өзара 
əрекетін жəне бүкіл желілердің жұмыс істеуі үшін оңтайлы жасау 
мақсатында элементтерге əсер етуді қамтамасыз етеді. 
Коммуникациялық ішкі жүйе, бөлінген коммуникациялық 
жүйелерді басқару жəне пайдаланушылар мүдделері үшін желі-
лер де ақпараттар беруді қамтамасыз етеді.


144
Аудентификациялау тетіктерін қолдау жəне объекті қорларына 
алыстағы үдерістердің қатынауын шектеу қажеттілігі, сондай-ақ 
желілерде арнайы коммуникациялық компьютерлік жүйелердің 
болуы, бөлінген объектілерді қорғаудың ерекшелігі болып сана-
лады. 
Байланыс арналарын қоспағанда, коммуникациялық ішкі жүйе-
лердің бүкіл элементтері мамандандырылған (арнайы) коммуни-
кациялық компьютерлік жүйелер ретінде қарастырылады. 
Қорғалған корпоративтік желілерде концентраторларды, ком-
муникациялық модульдерді (серверлерді), шлюздерді пайдалану-
шылармен бірлесіп, объектілерде орналастырған дұрыс болады. 
Осы жүйелер өңделетін ақпарат бүкіл коммуникациялық жүй-
лердің ерекшелігі болып саналады. Осындай коммуни кациялық 
жүйелерде қызметтік ақпараттардың ғана мағыналық өңделуі 
жүзеге асырылады. Қызметтік ақпаратқа атаулы (мекенжайы көр-
сетілген) ақпарат, бұрмалаулардан хабарларды қорғау үшін мол-
шылық ақпарат, пайдаланушылар идентификаторлары, уақыт 
бел  гілері, хабарлардың нөмірі, шифрлау атрибуттары жəне өзге 
ақпараттар жатады. 
Осындай жүйелерде жұмыс ақпараттарының мазмұнын аш-
паудың принципті мүмкіндіктері бар. Ол монитор экранында 
қарау, өзгерту, жою, көбейту, қатынау жадында сақтау, қатты 
көшір месін алу үшін коммуникациялық компьютерлік желілер-
дің операторына жəне өзге де қызмет көрсететін персоналға қол 
жетімді болмауы тиіс. Осындай ақпарат, коммуникациялық ішкі 
жүйелердің өзге элементіне хабарды ойдағыдай бергеннен кейін 
сыртқы есте сақтайтын құрылғыларда сақталмауы тиіс. Жабық 
жүйелерде жұмыс ақпараты, мұнан өзге, коммуникациялық ішкі 
жүйелер шектерінде шифрланған түрде айналып жүреді.
Бұл ретте коммуникациялық ішкі жүйеде сызықтық шиф-
рлау, ал абоненттікте – ақырғы аралық шифрлау жүзеге асыры-
лады. Абонент жөнелтудің алдында симметриялық немесе ашық 
кілттің көмегімен хабарды шифрлайды. Коммуникациялық ішкі 
жүйеге кірерде хабар сызықтық шифрлауға тартылады, тіпті, 
егер абоненттік шифрлау орындалмаса да. Сызықтық шифрлау 
кезінде хабар бүкіл қызметтік деректерді қамти отырып, толық 
шифрланады, сызықтық шифрлау желілерінде əртүрлі кілттермен 


145
жүзеге асырылуы мүмкін. Бұл жағдайда қаскүнем бір кілтке ие 
болып, арналардың шектеулі санымен берілетін ақпараттарға 
қатынауға мүмкіндік алуы мүмкін. Егер əртүрлі кілттер пайдала-
нылатын болса, коммуникациялық модельдерде, онда қызметтік 
ақпараттарды ғана емес, сонымен бірге бүкіл хабардың толық 
мағынасын ашу жүзеге асырылады (жұмыс ақпараты абоненттік 
деңгейде шифрланған қалыпта қалады). Ашық қызметтік ақпа
-
раттар бойынша хабардың тұтастығын тексеру, алдағы маршрут-
ты таңдау жəне жөнелтушіге «түбіртектер» беру жүзеге асырыла-
ды. Хабар жаңа кілтпен шифрлауға жатады жəне тиісті байланыс 
арнасы бойынша беріледі.
Ерекше қорғау шаралары желіні басқару орталығына қа-
тысты қабылдануы тиіс. Бүкіл желі үшін қиын ақпараттарды 
шо ғырландыруды ескере отырып, əдейі, сол сияқты əдейі емес 
қатерлерден желілер əкімшісінің мамандандырылған комму-
никациялық жүйесінің ақпараттарын қорғауға ең жетілдірілген 
құралдарды пайдалану қажет. Кілттерді сақтаумен жəне жұмыс 
жасаумен байланысты процедуралар мен құралдарды қорғауға 
ерекше назар аударылуы тиіс. 
Олар əкімшіге де, абоненттерге де белгісіз болған кезде, 
кілттерді басқару тəртібі неғұрлым сенімді болады. Кілт кез-
дейсоқ сандар көрсеткісімен генерацияланады жəне арнайы 
ассоциативтік есте сақтайтын құрылғыға жазылады; онымен жа-
салатын бүкіл əрекет тұйық кеңістікте жүргізіледі, яғни комму-
никациялық желінің операторы жадта сақталған ақпаратпен та-
нысу мақсатында оны ала алмайды. Қажетті кілттер абонент не-
месе əкімші идентификаторына сəйкес оны жіберу немесе тексе-
ру үшін арнайы жадтан таңдап алады. 
Бөлінген коммуникациялық желілерден тыс кілттерді жіберу 
кезінде оларды, мысалы, смарт-карталарға жазуға болады. Осын-
дай карталардан кілттерді санау кілт иесі мен коммуникацияны 
аутентификациялаудың оң нəтижесінде ғана мүмкін болады. 
Басқарудың ішкі жүйесінде хабарларды беру хаттамалар 
деп аталатын белгілі бір ережелер бойынша жүзеге асырылады. 
Қазіргі уақытта бөлінген есептеу желілерінде желілердің алыс 
элементтерінің өзара əрекет ету екі халықаралық стандарты: хат-
тама ТСР/ІР жəне хаттама Х.25 жүзеге асырылады.
10–1525


146
Хаттама ТСР/ІР ХХ ғасырдың 70-жылдары жасалған бо-
латын жəне содан бері бүкіл əлемде танылып үлгерді. Хаттама 
ТСР/ІР негізінде Интернет желісі. Хаттама Х.25 дестелер (пакет-
тер) коммутациялары негізінде құрылған деректерді беру тех-
нологияларының одан əрі дамуы болып саналды.
Хаттама Х.25 Халықаралық стандарттау ұйымы (ISO) əзір-
леген, ашық желілердің өзара əрекет ету моделімен сəйкестікте 
жасалған. 
Модельдерде функциялардың:
•  OSI – қолданбалы, қызметтік, сеанстық, көліктік, желілік, 
арналық, физикалық;
• ТСР/ІР: қолданбалы, көліктік, желілік, арналық, физикалық 
деңгейлері болып көрсетіледі.
Хаттама Х.25 алыс үдерістердің неғұрлым сенімді өзара əре-
кеттерін қамтамасыз етуге мүмкіндік береді. Салыстырмалы түрде 
құнының төмендігі жəне желіге қосудың қарапайымдылығы ТСР/
ІР хаттамасының артықшылығы болып саналады. 
Желілерде ақпараттардың қауіпсіздігін қамтамасыз ету міндет-
тері бүкіл деңгейлерде шешіледі. Хаттамаларды орындау, басқару 
ішкі жүйелерінің көмегімен ұйымдастырылады. Өзге лермен қатар 
басқарудың ішкі жүйелері деңгейінде бөлінген коммуникация- 
лық желілерде ақпараттарды қайта өңдеу үдерістерін қорғаудың:
• ақпараттар қауіпсіздігін қамтамасыз ету мəселелерін шеше-
тіндей, желіні басқарудың бірыңғай орталығын құру. Əкімші жəне 
оның аппараты бүкіл қорғалған желілерде бірыңғай қауіпсіздік 
саясатын жүргізу;
• бүкіл объектілерді тіркеу жəне оларды қорғауды қамтама сыз 
ету. Идентификаторлар беру жəне желілердің бүкіл пайдалану-
шыларын есепке алу;
• желілер қорларына (ресурстарына) қатынауды басқару;
• генерация жəне компьютерлік желілер абоненттеріне шиф-
рлау кілттерін жіберу;
•  трафик (желілердегі хабарлар легі) мониторингі, абонент-
тердің жұмыс ережелерінің сақталуын бақылау;
•  олардың жұмыс істеу үдерісінің бұзылуы кезінде желілер 
элементтерінің жұмыс қабілеттілігін қалпына келтіруді ұйым-
дастыру сияқтв проблемалары шешіледі.


147
Шифрлау байланыс арналарында ақпараттарды қайта өңдеу 
үдерістерін қорғаудың неғұрлым сенімді жəне əмбебап əдісі бо-
лып саналады. Абоненттік деңгейде шифрлау жұмыс ақпаратын 
құпиялылықтан қорғауға жəне жалған ақпараттарды күштеп та-
ңудан жəне сол арқылы қауіпсіздіктің мүмкін қатерлерін бұғат-
тауға мүмкін береді. Сызықтық шифрлау, мұнан өзге, қызметтік 
ақпаратты қорғауға мүмкіндік береді. Қаскүнем, қызметтік ақпа-
раттарға қатынау мүмкіндігіне ие болмағандықтан желілердің 
нақты абоненттері арасында ақпараттар беру фактісін анықтап, 
оны басқа мекен-жайға жөнелту үшін хабардың мекенжай бөлігін 
өзгерте алмайды. 
Абоненттердің (үдерістердің) жалған қосылуларына қарсы 
əрекет абоненттердің немесе үдерістердің түпнұсқалығын өзара 
растау процедураларының тұтастай қатарын қолдану жолымен 
қамтамасыз етіледі. Жоюға, анық бұрмалауға, қайта тəртіпке 
келтіруге, хабардың дубльдерін беруге қарсы, хабарларды нөмір-
леу немесе хабарды жөнелту уақыты туралы ақпараттарды пай-
далану тетігі пайдаланылады. Осы қызметтік деректер шифр-
ланған болуы тиіс. Кейбір бөлінген коммуникациялық желілер 
үшін, коммуникациялық ішкі желілер бойынша алмасу қарқын-
дылығы қорғауға жататын жүйелер жұмысы туралы маңызды 
ақпарат болып саналады. Алмасу қарқындылығы жұмыс тра фи-
гіне арнайы хабарлармен алмасуды қосу жолымен жасырылуы 
мүмкін. Осындай хабарлар кез келген кездейсоқ ақпарат болуы 
мүмкін. Коммуникациялық ішкі желілерді тестілеу, алмасу осын-
дай ұйымдастырудың қосымша эффектісі болып табылады. Жал-
пы трафик жұмыс жəне арнайы хабарларды ескере отырып, ша-
мамен бір деңгейде ұсталып тұрады. 
Жалпы қатынау жүйесімен жабық бөлінген коммуникациялық 
жүйелерді пайдаланушылардың өзара əрекетінің режимі төмен-
дегідей əртүрлі болуы мүмкін:
• жалпы қатынайтын бөлінген коммуникациялық жүйелердің 
көмегімен, корпоративтік жүйелердің жабық сегменттері немесе 
алыстағы абонементтер бір жүйеге байланыстырылады;
• жабық бөлінген коммуникациялық жүйелердің пайдалану-
шылары жалпы қатынау желілерінің абонеттерімен өзара əрекет 
етеді.


148
Бірінші режимде өзара əрекет ететін абоненттердің (үдеріс-
тердің түпнұсқалығын растау, екінші режимдегіге қара 
ғанда, 
анағұрлым тиімдірек шешіледі. Бұл коммуникациялық жүйенің 
бір корпоративтік желілермен өзара əрекеттесуі кезінде абоненттік 
шифрлауды пайдалану мүмкіндігімен түсіндіріледі. 
Егер жалпы қатынау желісінің абоненттері абоненттік шиф-
рлауды пайдаланбаса, онда үдерістердің сенімді аутентифика-
циясын, ақпараттардың құпиялылығын, ауыстырып қоюдан жəне 
хабарларды рұқсатсыз түрлендіруден қорғауды қамтамасыз ету 
мүмкін емес. 
Жалпы қатынайтын жүйеден қатерлерді бұғаттау үшін, «желіа-
ралық экран» (Firewall) атауын алған арнайы бағдарламалық не-
месе ақпараттық-бағдарламалық құрал пайдаланылады. Негізі-
нен, желіаралық экран бөлінген ЭЕМ-де жүзеге асырылады жəне 
сол арқылы қорғалған, бөлінген коммуникациялық желі (оның 
фрагменті) жалпы қатынау желісіне қосылады.
Желіаралық экран, қорғалған жүйеден шығатын жəне қорғал-
ған, бөлінген коммуникациялық жүйеге түсетін ақпарат 
тарды 
бақылауды жүзеге асырады. 
Желіаралық экран:
• деректерді сүзгіден өткізу;
• экрандалатын агенттерді пайдалану;
• мекенжайларды трансляциялау;
• оқиғаларды тіркеу сияқты төрт функцияны орындайды.
Трафикті (кіретін жəне шығатын) сүзгілеу желіаралық экран-
ның негізгі функциясы болып саналады. Корпоративтік желілердің 
қорғалушылық дəрежелеріне қатысты, сүзгілеудің əртүрлі ере-
желері қолданылуы мүмкін. Сүзгілеу ережесі, хаттаманың одан 
кейінгі деңгейіне немесе сүзгіге деректерді (дестелерді) беруге 
тыйым салатын сүзгілердің тізбектілігін таңдау жолымен бел-
гіленеді. 
Желіаралық экран арналық, желілік, көліктік жəне қолданба-
лы деңгейлерде сүзгілеуді жүзеге асырады. Экран деңгейлердің 
неғұрлым көп санын қамтыса, ол соғұрлым кемел болып санала-
ды. Маңыздылық деңгейі жоғары ақпараттарды қорғауға арналған 
желіаралық экрандар:


149
•  жөнелтушінің жəне алушының (немесе өзге эквивалент 
атрибуттар бойынша) мекенжайлары бойынша;
• желілік құрылғылардың жұмысын басқару жəне диагности-
калау үшін пайдаланылатын қызметтік хаттамалардың дестелері 
(пакеттері) бойынша;
•  желілік мекенжайлардың түпнұсқалығын тексеру құралы 
ретінде кіру жəне шығу желілік интерфейсін ескеріп;
•  желілік дестелердің (пакеттердің) кез келген маңызды бас 
орындарын ескеріп;
•  виртуалды қосылуларды анықтау кезінде сұраулардың 
көліктік деңгейінде;
•  қолданбалы сервистерге сұраулардың қолданбалы деңгей-
лерінде;
• күні мен уақытын ескеріп;
• қорғалатын компьютерлік желілерге қатынау субъектілерін 
қысқарту мүмкіндіктері кезінде;
•  мекенжайларды трансляциялау мүмкіндіктері кезінде сүз-
гілеуді қамтамасыз етуі тиіс.
Желіаралық экранда экрандалатын агенттерді (proxy-сервер-
лерді) пайдалануды қолданады жəне ол делдал-бағдарламалар бо-
лып саналады жəне қатынау субъектісі мен объектісі арасындағы 
қосылысты қамтамасыз етеді, содан кейін бақылау мен тіркеуді 
жүзеге асырып, ақпаратты қайта жөнелтеді. Қатынау субъектісінен 
шын объектіні бүркемелеу экрандаушы агенттің қосымша функ-
циясы болып саналады. Экрандаушы агенттің əрекеті өзара əрекет 
етуге қатынасушылар үшін ашық, мөлдір болып саналады.
Желіаралық экранның мекенжайларын трансляциялау фун-
к циясы сыртқы абоненттерден шын ішкі мекенжайларды жасы-
руға арналған. Бұл, желілер топологиясын жасыруға жəне ме-
кен 
 
 
жайлардың үлкен санын пайдалануға мүмкіндік береді. 
Же 
лі 
аралық экран, арнайы журналдарда оқиғаларды тіркеуді 
орын дайды. Журналды жүргізу үшін экранды баптау мүмкіндігі 
қарас  тырылады. Жазуларды талдау желідегі ақпараттар алмасу-
дың белгіленген ережелерін бұзуға тырысушылықты анықтауға 
мүмкіндік береді.
Экран симметриялы болып саналмайды. Ол «сырттан» жəне 
«іштен» ұғымын ажыратады. Экран ішкі аймақты, бақылауға 


150
көнбейтін жəне əлеуетті дұшпандық ниеттегі сыртқы ортадан 
қорғауды қамтамасыз етеді. Сол уақытта экран қорғалған желілер 
субъектілері жақтарының жалпы қатынау желілері объектіле-
ріне қатынауын шектеуге мүмкіндік береді. Өкілеттіктерді бұзу 
кезінде қатынау субъектісінің жұмысы бұғатталады жəне бүкіл 
қажетті ақпарат журналға жазылады. 
Желіаралық экрандар, қорғалған корпоративтік желілер іште-
рінде пайдаланылуы мүмкін. Егер бөлінген коммуникациялық 
жүйелерде ақпараттар құпиялылығы əртүрлі дəрежеде болатын 
желілер фрагменттеріне ие болса, онда осындай фрагменттерді 
желіаралық экрандармен бөлген дұрыс. Бұл жағдайда экрандар 
ішкі деп аталады. 
Ақпараттардың құпиялылығына жəне маңыздылық дəреже-
леріне қатысты, желіаралық экрандардың бес сыныбы белгіленген. 
Əрбір сынып ақпараттарды қорғау бойынша қойылатын ең аз 
талаптардың жиынтығымен сипатталады. Қорғалушылықтың 
ең төмен сыныбы – бесінші, ал ең жоғарғысы – бірінші. Бірінші 
сыныпты желіаралық экран «Ерекше маңызды» белгісімен ақ-
параттарды өңдеу кезінде белгіленеді.
Желіаралық экрандарды мамандырылған жүйелер түрінде 
орындау дұрыс болады. Бұл, осындай жүйелердің (бүкіл алмасу 
экран арқылы жүзеге асырылады) өнімділігін арттыруы, сондай-
ақ құрылымдарды ықшамдау есебінен ақпараттар қауіпсіздігін 
нығайтуы тиіс. Бүкіл қорғалған желілерде ақпараттардың қауіп-
сіздігін қамтамасыз етуде желіаралық экрандардың маңыздылы- 
ғын ескеріп, қатынауды шектеу, ақпараттардың тұтастығын, қал-
пына келтірушілігін, тестіленуін жəне т.б. қамтамасыз ету бойын-
ша оған жоғары талаптар қойылады. Əкімші желіаралық экран-
ның жұмысын қамтамасыз етеді. Мүмкіндікке қарай əкімшінің 
жұмыс орнын тікелей желіаралық экранға орналастырған дұрыс, 
бұл əкімшіні сəйкестендіруді, аутентификациялауды жəне əкім-
шілік ету функцияларын орындауды ықшамдайды. 
Өзара əрекет ететін үдерістердің түпнұсқалығын өзара растау 
проблемасы есептеу желілеріндегі ақпараттардың қауіпсіздігін 
қамтамасыз етудің негізгі проблемаларының бірі болып сана-
лады. Өзара əрекеттесетін үдерістердің логикалық байланысы 
«қосылу» терминімен анықталады. Аутентификациялау проце-


151
дурасы əдетте, қосылуды белгілеу үдерісінде өзара əрекет етудің 
басында орындалады. 
Алыстағы үдерістер өзара əрекет ету басталғанға дейін олар-
дың түпнұсқалығына илануы тиіс. Өзара əрекет ететін үдеріс-
тердің түпнұсқалығын өзара тексеру:
• идентификаторлармен алмасу;
• «қол алысу» процедурасы;
•  сеанстық кілттерді бөлу кезінде аутентификациялау тəсіл-
дерімен жүзеге асырылуы мүмкін.
Егер желілерде симметриялық шифрлау пайдаланылса, иден-
тификаторлармен алмасу қолдануға ыңғайлы болады. Идентифи-
катордан тұратын шифрланған хабарды шифрлаудың құпия кілті 
мен жеке идентификаторды білетін пайдаланушы жасағанын 
біржақты көрсетеді. 
Қаскүнем үшін, қажетті үдеріспен өзара əрекетке кіру үшін 
бір ғана мүмкіндік байланыс арналарына берумен ұстап алған ха-
барды есте сақтап қалу мүмкіндігі ғана бар. Осындай қатерлерді 
бұғаттау, хабарды жөнелту уақытын хабарда көрсету көмегімен 
жүзеге асырылады. Хабарды тексеру кезінде хабарды алушы-
ның коммуникациялық жүйесіндегі сеанстарды тіркеу журналын 
қарау жеткілікті болады. Уақыт орнына, əрбір жөнелтудің алдын-
да генерацияланатын, кездейсоқ сан пайдаланылуы мүмкін. 
«Қол алысу» процедурасын орындаудың: сұрақтармен жəне 
жауаптармен алмасу; өзара əрекетті белгілейтін, процессорларға 
ғана белгілі функцияларды пайдалану сияқты нұсқасы ажы-
ратылады. Процессорлар, оның жауаптарын бөтендер білмеуі 
тиіс сұрақтармен алмасады. Сұрақтар, мысалы, субъектілердің 
өмірбаяндық деректеріне қатысты болуы мүмкін. 
Сеанстық кілттерді бөлу кезінде аутентификациялау, кілт терді 
басқару процедураларының бірі болып саналады. Бұл проце-
дураларға: кілттерді беру, бөлу, сақтау жəне ауыстыру жатады. 
Əдетте, кілттердің екі санаты: деректерді шифрлау кілттері 
жəне байланыс, сақтау арналары бойынша оларды беру кезінде 
кілттерді шифрлау кілттері болып бөлінеді. Бір кілтті көп рет 
пайдалану оның осалдығын (дəлсіздігін) арттырады, сондықтан 
деректерді шифрлау кілттері үнемі өзгеріп отыруы тиіс. Негізінен, 
деректерді шифрлау кілттері жұмыстың əрбір сеансында өзгереді, 
сондықтан оларды сеанстық кілттер деп атайды. 


152
Генерациялау үдерісінде, кілттер кездейсоқ түрде алынуы 
тиіс. Таймер көрсеткішінің алғашқы деректері ретінде пайдала-
нылатын, жалғанкездейсоқ тізбек генераторы осы талапқа үлкен 
дəрежеде жауап береді.
Құпия кілттер сақтайтын құрылғыда шифрланған түрде ғана 
сақталады. Шифрланған кілттерден алынған кілт өзге кілттің 
көмегімен шифрланған болуы мүмкін. Соңғы кілт ашық түрде, 
бірақ арнайы жадта сақталады. Ол əдеттегі жұмыс режимінде 
саналған, қаралған, өзгертілген немесе жойылған бола алмайды. 
Бұл кілт бас немесе шебер-кілт деп аталады. 
Шебер-кілттер симметриялық шифрлау кезінде жəне құпия 
кілттер симметриялы емес шифрлау кезінде бөлінген комму-
никациялық жүйелерден тыс таралады. Абоненттердің саны көп 
болған жəне олардың үлкен қашықтықта бір-бірінен алыстауы 
кезіндегі шебер-кілттерді тарату міндеті аса күрделі болып сана-
лады. 
Симметриялы емес шифрлау кезінде құпия кілттердің саны 
желілер абоненттерінің санына тең болады. Мұнан өзге, симметри-
ялы емес шифрлауды пайдалану сеанстық кілттерді бөлуді қажет 
етпейді жəне бұл желідегі қызметтік ақпараттармен алмасуды 
қысқартады. Бүкіл абоненттердің ашық кілттерінің тізімі желінің 
əрбір абонентінде сақталуы мүмкін. Сонымен қатар симметрия-
лық шифрлаудың екі түбегейлі артықшылығы бар. Біріншіден, 
симметриялық шифрлау, мысалы, DES алгоритмі бойынша, 
симметриялық емес шифрлау алгоритмдерімен салыстырғанда 
елеулі түрде аз уақыт алады. Екіншіден, симметриялық шифрлау 
жүйелерінде абоненттердің (үдерістердің) түпнұсқалығын өзара 
растауды қамтамасыз ету оңайлау келеді.
Екі өзара əрекет ететін үдерістер үшін ортақ, ақпараттарды 
қайыра беруден қорғаныс тетіктерімен толықтырылған құпия 
кілтті білу өзара əрекет етуші үдерістерді түпнұсқа деп есептеуге 
негіз болып саналады. 
Пайдаланушылар арасында желілерде кілттерді бөлу екі 
тəсілмен:
1) кілттерді бөлудің бір немесе бірнеше орталықтарын құру 
жолымен;
2) желілер абоненттері арасында сеанстық кілттермен тікелей 


153
алмасумен жүзеге асырылады. Ақпараттар желілері бойынша 
бү кіл берілетін бөлінген коммуникациялар орталығына қатынау 
мүмкіндігінің болуы бірінші тəсілдің кемшілігі болып саналады. 
Сеанстық кілттермен тікелей алмасуды ұйымдастыру жағдайында 
үдерістердің немесе абоненттердің түпнұсқалығын тексеруде 
қиындықтар туындайды. 
3) Симметриялық жəне симметриялық емес кілттермен жүйе 
үшін кілттерді бөлу хаттамалары бір-бірінен өзгешеленеді.
Бөлінген коммуникациялық жүйелердегі желілік орталар мо-
дельдерін қарастырамыз. Коммуникациялық желілердің жергі-
лікті сегментіндегі ақпараттарды қайта өңдеу үдерістері қорғалу-
шылығының сыртқы аспектісі, сыртқы орта субъектілерінің қа-
сақана ниетпен əрекет етуі кезінде (мысалы, Интернет желі лері), 
яғни сыртқы қасақана əрекет кезінде талданады. Басым көпшілік 
жағдайларда коммуникациялық жүйенің жергілікті сегменті 
техникалық түрде жергілікті есептеу желілерінің бірнеше бай-
ланысқан сегментте жүзеге асырылғандығын жəне коммуника-
циялар бөлігінде жалпы стандартталған бағдарламалық қамтама-
сыздандыруды пайдаланатынын ескеру қажет. Бүкіл жергілікті 
есептеу желілерінің операциялық ортасы (орталары) стандартты 
болып саналады.
Ілгеріде көрсетілген ережелерге сүйеніп, коммуникациялық 
жүйелерге келесі түрде сырттан əрекет ететін модельдер ере-
жесін нақтылаймыз. Коммуникациялық жүйенің қарасты 
ры-
ла 
тын жергілікті сегменті объектілерінің бірыңғай кеңісті-
гінде (негізінен, ұйымдардың корпоративтік желілері), сыртқы 
басқару мүмкіндігімен бір немесе бірнеше субъектілер (теле-
ком  му ни кациялық  бағдарламалық  модульдер)  əрекет  етеді. 
Сырт қы басқару коммуникациялық жүйелердің сыртқы сегмен-
тіне жататын субъектіден шығатын бұйрықтар бойынша дерек-
терді екі бағытта беретін телекоммуникациялық бағдарла ма лар-
дың мүмкіндіктерімен жүзеге асырылады. Аталған жағдайда, 
сыртқы субъектінің ассоциацияланған объектілерінен жергі-
лікті телекоммуникациялық субъектінің ассоциацияланған объ-
ек 
тілеріне ақпарат легі, бұйрықтар болып түсіндіріледі, əрі, 
сыртқы субъектіден ақпарат легінің əсерімен өзгертілген, атап 
көрсетілген ассоциацияланған объектілер, жергілікті субъектінің 


154
ағымдағы күйіне түбегейлі əсер етеді. Бұл ретте, жергілікті сег-
ментте орналасқан, телекоммуникациялық бағдарламалық қамта-
масыздандыру модульдері, өзге жергілікті субъектілер сияқты 
осы сегменттің объектілеріне қатынай алады. 
Аталған тəсілдеменің өзгешелігі мынада болып табылады: 
жергілікті субъектілердің нақты бөлігін, заңды пайдаланушы 
басқарады, ал тағы бір бөлігін – үнемі қасақы ниетті көздейтін, 
аты-жөнін көрсетпеген (анонимді) алыстағы пайдаланушы бас-
қарады. 
Сыртқы желілер субъектілерінен шығатын, енжар əрекет етуді 
(сыртқы желімен жергілікті сегменттің объектілерін оқу жəне та-
сымалдау) жəне белсенді əрекет етуді (жергілікті объектілерді 
түрлендіру) бөліп көрсетеміз. Енжар əрекет ету корпоративтік 
ақпараттардың құпиялылығын бұзумен байланысты (компроме-
тация), белсенді əрекет ету – тұтастықты бұзумен байланысты. 
Көптеген объектілерден, жергілікті қауіпсіздікті қамтамасыз 
етуге қатынасы бар, қаскүнем үшін неғұрлым құнды саналатын 
объектілерді бөліп көрсетуге болады (мысалы, UNIX – жүйелер 
үшін etc\passwd пайдаланушыларды аутентификациялау үшін 
файл).
Белсенді əрекет ету орталанған түрде көрініс беруі, яғни 
сыртқы желілерден қабылданған бағдарламалық модульдерде 
бұзушы бағдарламалық əрекеттердің арнайы кіріктірілген мүм-
кіндіктері болуы мүмкін. 
Интерпретацияланатын деректерде бұзушы бағдарламалық 
əрекеттердің таралуын жеке бөліп көрсетеміз. Қасақана əрекет 
етудің негізі мынада болып табылады: бұзушы бағдарламалық 
əрекеттерді таратуға ие жергілікті деректерді бұзуға бағытталған 
операциялардың интерпретацияланатын объектісінің (Word 
үлгідегі редакторлар өңдейтін) ішіне кірігеді.
Коммуникациялық жүйелердің жергілікті сегменті үшін 
қорғау тетіктерін жобалау кезінде, екі тəуелсіз: жергілікті қорғау 
тетіктерін пайдалану (қандай да бір түрде қатердің сипатталған 
өзгешеліктігіне қатынасы бойынша) жəне сыртқы қатерлерден 
басымдық таныта отырып қорғау үшін мамандандырылған те-
тіктерді синтездеу бағытпен қозғалу мүмкін болып көрінеді. 
Сырттан болатын əсерлерге берік, қорғаудың жергілікті тетіктерін 


155
жобалау əдістерін бөліп көрсете отырып, атап айтқанда, осы 
тəсілдемеден ұстану ұсынылады. 
Жергілікті сегментті жалпы қорғау тəсілдемесі коммуни-
кациялық жүйенің жергілікті сегментінде қорғау жауапкершілігін 
желілік өзара əрекет ету деңгейіне ауыстырумен сипатталады 
жəне желіаралық экрандау (брандмауэр) технологияларымен жү-
зеге асырылады. Желіаралық экрандау – Интернетпен байланы-
сты, шетелдік желілерде ұсынылатын негізгі тəсілдеме. Бұл ретте, 
дестені (пакетті) жөнелтуші мен алушыны сипаттайтын, бірегей 
ақпараттарға ие желілік деңгей (Network) ақпараттар легі тал-
данады. Желіаралық экран жұмысы кейбір априорлық берілген 
критерийлер бойынша дестелердің (пакеттердің) тізбектілігін 
тал дауға (сүзгіден өткізуге) əкеледі. Бұрынырақ бұл сұрақтар не-
ғұрлым егжей-тегжейлі қарастырылған болатын. 
Сүзгілеу процедурасына қолданатын екі негізгі тəсілдеме: 
дестелік (пакеттік) сүзгілеу немесе мекенжайларды трансля-
циялау (дестелердің мекенжайлық бөлігі талданады немесе түр-
лендіріледі, қолданбалы деңгей сүзгілері (шетелдік əдебиет терде 
- proxy service немесе application proxy) белгілі. Қолданбалы 
деңгей сүзгілері дестелер (пакеттер) легін туғызатын, қолданбалы 
телекоммуникациялық бағдарламалар (қосымшалар) жұмысының 
ерекшеліктеріне сүйеніп, дестелердің (пакеттердің) мазмұндық 
бөлігін талдайды (əдетте, қолданбалы деңгейлер сүзгілері FTP 
немесе Telnet) үлгідегі таралған қосымшаға бағдарланған). 
Қолданбалы деңгей сүзгілері сүзгілеудің сенімділігі тұрғы-
сынан неғұрлым сенімді əдіс болып саналады.
Корпоративтік жергілікті есептеу желілерінің жұмыс орын-
дарында қорғау құралдары осыған дейін орнатылған жағдайды 
қарастырып көреміз. Қорғаудың бағдарламалық-техникалық құ-
ралдарын жалпыға бірдей қабылданған түрде орындау жер гілікті 
сегменттің кез келген субъектісінің құқығына пайдаланушы 
құқығын толық проекциялаумен қауіпсіздік саясатын жүзеге асы-
руды ұйғарады, сондықтан пайда болған үдеріс оның пайдалану-
шысы бастамашы болған құқықтармен объектілерге айналады. 
Жергілікті қорғау тетіктерін орындау кезіндегі қауіпсіздік саяса-
ты, кейбір конструктивті түзетулер жасауды қажетсінеді. 


156
Бағдарлама арқылы техникалық құралдар мен файлдарды 
сəй кестендіру ақпараттық жүйенің тіркеу нөмірлерін, əртүрлі құ-
раушылары мен нысандарын талдау жəне оларды басқару жүйе-
сіндегі есте сақтау құрылғыларында сақталатын мекенжайлар 
мен парольдердің мəндерімен салыстыру негізінде орындалады.
Паролдің көмегімен қорғау сенімді болу үшін, оның құпия-
лылығын ашу жəне файлдарды немесе терминалдарды осы немесе 
басқа идентификаторға сəйкестігін анықтау ықтималдығы қалайда 
аз болатындай етіп жүйелік қорғау жұмысын ұйымдастырады.
Сұрақ-жауап түріндегі алгоритм атаулы элементтерді сəйкес-
тендіру жəне пайдаланушыларды бірегейлендірудің тиімді тəсілі 
болып табылады, мұнда осыған сəйкес қорғау жүйесі пайда-
ланушыға пароль туралы сұраныс жасайды, одан кейін ол оған 
анық жауап беруі керек. Сұранысты жəне оған жауапты енгізу 
кезеңі болжамсыз, бұл парольді табу үдерісін қиындатады, ол өз 
кезегінде қорғаудың жоғары сенімділігін қамтамасыз етеді.
Əртүрлі қорларға қатынауға рұқсат алу тек құпия парольді 
пайдалану жəне əрі қарай бірегейлендіру мен сəйкестендіру про-
цедуралары негізінде ғана жүзеге асырылмайды. Мұны пайда ла-
нушылардың жұмыс режимінің əртүрлі ерекшеліктерін, олардың 
өкілдігін, сұранымдағы деректер мен қорлардың категориясын 
ескеруді егжей-тегжейлі тəптіштеу жолымен жасауға болады. 
Бұл тəсіл пайдаланушылардың тиісті сипаттамаларын, тапсыр-
ма мазмұнын, техникалық жəне бағдарламалық құрал 
дардың 
параметрін, жадтың құрылысын талдайтын арнайы бағдар лама-
лармен жүзеге асырылады.
Сұранысқа қатысты қорғау жүйесіне түсетін нақты дерек-
тер қорғау бағдарламасының жұмыс үдерісінде құпия тіркеу 
кестелеріне (матрицаға) енгізілген деректермен салыстырыла-
ды. Бұл кестелер, сонымен қатар олар қалыптастыру мен өңдеу 
бағ дарламаларының шифрланған түрінде сақталады жəне ақпа-
раттық желі қауіпсіздігі əкімшісінің айрықша бақылауында 
болады.
«Пернелік қолтаңбаның» биомеханикалық сипаттамалары 
бо йынша сəйкестендіру қорғаудың бағдарламалық құрал 
да 
 
ры-
ның біршама жаңа бағытына жатады. Бұл мəселенің ең оңай 


157
шешімі, пернелердің бекітілген тізбегін пайдаланушының тіз-
бектей басу сəйкестігін анықтау болып табылады. Қатынау ба-
рысында субъектінің сəйкестігін бақылау қажет болғанда, кез 
келген мəтінді пернетақтада теру кезінде қатынау субъектісін 
сəйкестендіру мəселесі туындайды.
Бұл əдістің мəнісі мынада: мəтінді пернетақтада тергенде 
пернені басу жəне босату кезеңдері теориялық-ықтималдық ма-
ғынадағы оқиға болып қарастырылады. Математикалық мо-
дель барлық мəтінде жəне мəтіндегі жекелеген əріптік тіркес-
тердің қайталануында пернелерді басудың уақыттық интервал 
таңдамасы нормал заң бойынша қолданылады деген ұйғарымға 
негізделген. Уақыттық интервал таңдамасын талдау көптеген 
жағдайда мұның дұрыстығын көрсетеді. Осы жағдай, қойылған 
мəселені шешу үшін математикалық статистиканың белгілі əдіс-
терін қолдануға мүмкіндік береді.
Осы модельге негізделген қатынау шектерін айыру жүйесі 
қызметінің алгоритмі мыналардан тұрады.
Жүйені баптау кезеңінде мына іс-əрекеттер орындалады:
• кезектегі сəйкестендірілетін операторлар бірнеше рет кілттік 
сөздерді енгізеді;
•  алынған уақыттық интервал таңдамасы бойынша өрескел 
қателерді жою алгоритмі қолданылады;
•  уақыттық интервал таңдамасы бойынша кілттік тізбектің 
көршілес символдарын теру аралығының уақыты үшін матема-
тикалық жағдайдың бағалауы мен дисперсияларын есептейді;
Түпнұсқалықты анықтау кезеңінде мына іс-əрекеттер орында-
лады:
• пайдаланушы тағайындалған кілттік тізбекті енгізу арқылы 
өзін сəйкестендіреді;
•  кері нəтиже алынған жағдайда тексеру есебі шешіледі, 
енгізілген кілттік сөз сипаттамасы эталонға сəйкес емес жəне 
бірегейлендіру сəтті жүргізілмеді деп есептеледі;
•  кілттік тізбектің көршілес символдарын теру аралығының 
уақыт мəндері бұрын есептелген осы аралықтың математикалық 
күтімінің бағалау мəндерімен салыстырылады; болжам расталған 
жағдайда түпнұсқа анықталды деп есептелінеді.




Достарыңызбен бөлісу:
1   ...   103   104   105   106   107   108   109   110   ...   257




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет