Оқулық «Білімді дамытудың федералдық институты»
Ақпараттық жүйелердің қауіпсіздігі
жүктеу/скачать 3,84 Mb. Pdf көрінісі
|
автоматтандырылған ақпарат жүйе
| 1.6. Ақпараттық жүйелердің қауіпсіздігі
Ақпараттық жүйенің қауіпсіздігі – жүйенің ақпараттың құпиялылығы мен тұтастығын қамтамасыз ету, яғни оны ашуға, өзгертуге немесе бұзуға рұқсат етілмеген қолжетімділіктен қорғау қабілетінен тұратын қасиеті. Ақпараттық қауіпсіздікті ХХІ ғасырдың негізгі ақпараттық мәселелерінің ішінде жиі көрсетеді. Шынында да, ақпаратты жымқыру, оны әдейі бұрмалау және жою зардап шеккен тарап үшін фирмалардың ойсырауы мен банкроттығына, кейде тіпті адам қазасы сияқты қайғылы салдарларға әкеледі. Ақпараттың қауіпсіздігін бұзудан болатын апаттардың тізімі зор – миллиондаған долларды жоғалтуға әкеп соққан мыңдаған коммерциялық компьютерлік қылмыстар, құпия ақпаратты жымқырумен байланысты шығасылар. Егер революция немесе төңкерісті жасау үшін пошта мен телеграфты басып алу маңызды болса, бүгінде телекоммуникация жүйелердің берекесін кетіру қажет. Ортақ және корпоративтік пайдалану желілеріндегі ақпараттық ресурстарға мыналар қатер туғызуы мүмкін: — зиянкес немесе абайсыз әрекеттер нәтижесінде желіні жұмысқа қабілетсіз күйге келтіру, мысалы желіні қажетсіз 49 ақпаратпен шамадан тыс жүктеу жолымен; — желіден тыс және желі ішінде құпия деректерге рұқсат етілмеген қолжетімділік, оларды пайдақорлықпен пайдалану және жариялау; — рұқсат етілмеген қолжетімділік кезінде деректерді әдейі бұрмалау, немесе ауыстыру; — еркін қолжетімділікке ұсынылған ақпаратты айырбастау және бұрмалау; — ақпараттық ресурстарды пайдалану мүмкінсіздігіне әкеп соғатын оларды Интернет желісі арналары, электрондық пошта бойынша немесе инфекцияланған сыртқы тасығыштар (ауыстырмалы дискілер, дискеталар, CD және DVD-дискілер) арқылы вирустық зақымдануы және т.б. Ақпараттық жүйелердің барлық қатерлерін үш топқа біріктіруге болады: - ашылу қатері – ақпараттың ол туралы білуі тиіс емес тұлғаға мәлім болу мүмкіндігі; - тұтастық қатері – есептеу жүйесінде сақталатын немесе б ір жүйеден басқа жүйеге берілетін деректерді қасақана рұқсат етілмеген күйде өзгерту (түрлендіру немесе жою); - қызмет көрсетуден бас тарту қатері – есептеу жүйесінің кейбір ресурсына қолжетімділікті бұғаттаудың біліну қаупі. Ақпараттық қауіпсіздікті қамтамасыз ету әдістерін оларды жүзеге асыру тәсілдеріне байланысты мына сыныптарға бөлуге болады. Ұйымдастыру әдістері жүйені оңтайлы конфигурациялау, ұйымдастыру мен әкімшілендіруді түсінеді. Бірінші кезекте бұл желілік ақпараттық жүйелерге, операциялық жүйелерді, желілік әкімшілердің өкілеттігіне, желіге қолжетімділік пен жұмыстың тәртібін анықтайтын міндетті нұсқаулықтардың жинағына қатысты. Технологиялық әдістерге желілік әкімшілендіруді орындау технологиялары, ақпараттық ресурстардың қауіпсіздігінің мониторингі мен аудиті, пайдаланушыларды тіркеудің электрондық журналдарын жүргізу, келіп түсетін ақпаратты ретету мен вирусқа қарсы өндеу енеді. Аппараттық әдістер жүйені рұқсат етілмеген қолжетімділіктен физикалық қорғауды, жүйе мен пайдаланушылардың шеткі терминалдарын сәйкестендірудің аппараттық функцияларын, желілік құрамдастарды қосу 50 режимдерін іске асырады. Бағдарламалық әдістер – ақпаратты қорғаудың ең таралған әдістері (мысалы, пайдаланушыларды сәйкестендіру, өкілеттіктерді парольдік қорғау мен тексеру, брандмауэрлер, криптохаттамалар және т.с.с.). Бағдарламалық құрамдасты пайдаланбай, ешқандай, соның ішінде әдістердің алғашқы үш тобы орындалмайды (яғни қорғаудың ұйымдастырушылық, технологиялық және аппараттық әдістері таза күйінде іске асырылуы мүмкін емес – олардың бәрінің құрамында бағдарламалық құрамдасы бар). Бұл ретте ақпаратты қорғау бойынша көптеген бағдарламалық жүйелік шешімдерді әзірлеу құны аппараттық, технологиялық және ұйымдастырушылық шешімдердің шығасыларынан айтарлықтай артатынын ескерген жөн. Әзірлеушілер мен тұтынушылардың тарапынан қазіргі уақытта ақпаратты қорғаудың мына бағыттары мен оған сәйкес келетін бағдарламалық-техникалық қорғау құралдары ең үлкен назарға ие: - дербес жұмыс істейтін және желілік компьютерлердің ақпараттық ресурстарына рұқсат етілмеген қолжетімділіктен қорғау. Интернет және интранет желілердің пайдаланушылары мен серверлері үшін бұл мәселе өзекті. Бұл функция көптеген бағдарламалық, бағдарламалық-аппараттық және аппараттық құралдармен іске асырылады; - құпия және жеке ақпаратты бөтен тұлғалардың оқуынан және әдейі бұрмалануынан қорғау. Бұл функция рұқсат етілмеген қолжетімділіктен қорғау құралдарымен, сондай-ақ жеке сыныпқа бөлініп шығарылатын криптографиялық құралдардың көмегімен қамтамасыз етіледі; - ақпараттық жүйелерді тек ақпаратты бұзуға ғана емес, сонымен бірге жүйенің техникалық құрамдастарын бүлдіруге қабілетті көптеген компьютерлік вирустардан қорғау (BIOS сияқты). Қоректену тізбегі, компьютердің немесе монитордың электрмагнитті сәулелену арналары бойынша ақпараттың жылыстауынан қорғау құралдары (үй-жайларды экрандау қолданылады, шу сәулелену генераторларын пайдалану, ең аз сәулеленуге ие мониторлар мен компьютерлердің құрамдастарын арнайы таңдау), компьютердің құрамдастарына тікелей орнатылатын электронды «қоңыздардан» қорғау құралдары және т.с.с. 51 Компьютердің ресурстарына рұқсат етілмеген қолжетімділіктен қорғау – мына мәселелерді шешуді ескертетін кешенді мәселе: - пайдаланушыға, сондай-ақ терминалдарға, бағдарламаларға, файлдар мен байланыс арналарына бірегей аттар мен кодтарды (сәйкестендіргіштерді) беру; - ақпараттық жүйеге және сұратылатын ақпаратқа жүгінген (қолжетімділік) кезде түпнұсқалылығын айқындау рәсімдерін орындау, яғни сәйкестендіргішті хабарлаған тұлғаның немесе құрылғының оған шынымен сәйкес келетінін тексеру. Пайдаланушыларды биометриялық сәйкестендірудің аппараттық- бағдарламалық жүйелері де пайдалануда (дактилоскопиялық сәйкестендіру функциясы бар тышқандар мен пернетақталар, пайдаланушыны дауысы бойынша, бейнесуреті бойынша, соның ішінде көз торы мен сыртқы мөлдір қабығы және т.с.с. тану); — желілік және компьютерлік ресурстарға қолжетімділік құқықтарын ажырату мақсатында өкілеттіктерін тексеру, яғни пайдаланушының жүйеге немесе сұратылатын деректерге (олармен белгілі бір операцияларды – оқу, жаңартуды орындауға) қолжетімділігіне құқығын тексеру; — ақпараттық ресурстарға барлық қанағаттандырылған, сондай-ақ бас тартылған сұрауларды пайдаланушының сәйкестендіргішін, терминалды, сұрау уақыты мен мәнін көрсетумен арнайы журналда автоматты тіркеу, яғни хакердің қандай хост-компьютер арқылы әрекет еткенін, ал кейде оның ІР- мекенжайы мен дәл орналасқан орнын анықтауға мүмкіндік беретін аудит журналдарын жүргізу. Әдебиетте ақпаратты қорғау жүйелерінің параметрлерін сандық бағалау бойынша ұсыныстар бар. Жүйедегі пайдаланушының өкілеттілігі (мүмкіндіктері) оның құқықтарының жинағымен анықталады. Пайдаланушылардың құқықтары стандартты және кеңейтілген болады. Стандартты құқықтарға жүйелі уақытты өзгерту, файлдарды резервтік көшіруді орындау, құрылғылардың драйверлерін жүктеу, жүйелі конфигурацияны өзгерту, серверді сөндіруді орындау және т.б. мүмкіндіктер сияқты құқықтар жатады. Кеңейтілген құқықтар операциялық жүйе немесе қосымшалар үшін көбінесе ерекше болып табылады. Windows қорғау тетіктері пайдаланушылардың құқықтарын икемді шектеуге немесе жүйенің кез келген ресурстарына қолжетімділікті ұсынуға мүмкіндік береді. 52 Ақпараттық қауіпсіздік мәселелеріне қазіргі таңда көп назар бөлінеді, бұл тақырып бойынша ақпаратты қорғаудың түрлі аспектілері мен қолданбалы мәселелеріне арналған көптеген жарияланымдар бар, халықаралық және мемлекеттік деңгейде ақпараттың қауіпсіздігін қамтамасыз ету бойынша заңдар қабылданған. жүктеу/скачать 3,84 Mb. Достарыңызбен бөлісу:
|