Техникалық факультет
жүктеу/скачать 26,61 Kb.
|
|
Қазақстан республикасы Білім және ғылым министрлігі Қ. Жұбанов атындағы Ақтөбе өңірлік университеті Техникалық факультет «Мұнай-газ ісі кафедрасы» Пәннің атауы: Функционалдық қауіпсіздік және аспаптық қауіпсіздік жүйелері ОСӨЖ №5 Тақырыбы: Ақпараттық жүйелердің аппараттық және Бағдарламалық платформасын анализдеу Мамандығы: 6B07107 Орындаған: Балабаев Б.С. Тобы: АжБК-3 СПО Тексерген: Отарбаева А. Ақтөбе 2023 Кіріспе Зерттеу жұмысының өзектілігі. Қазіргі қоғамның нарықтық қатынастарғатолық көшуі және ақпараттандыруға бет алуы, құжаттардың басым бөлігіне жекеменшіктің орнауы, Кеңес Одағы тұсындағы құжаттарға мемлекет ықпалыныңбүгінде толығымен тоқтатылуы іс жүргізу мен құжаттанудың дамуын зерттеугедеген қоғамдық қажеттілікті арттыра түсті. Соңғы онжылдықта жиналған ақпаратпен алмасуды қамсыздандыру мәселелеріне көп көңіл бөліне бастады. Осыған орай қолданбалы ақпараттықжүйелердің маңыздысы электронды құжат айналымы жүйесі болып табылады. Сондықтан да тек мемлекеттік органдардығана емес, сонымен қатар қарапайыммекемелерде де электронды құжат айналымы жүйесінің жұмыс істеуі қазіргікүні өте өзекті. Мекемеде электронды құжат айналымы жүйесін қолдануқұжаттарды басқаруды, бизнес-процестерді автоматтандыруды, ақпараттардысенімді түрде сақтау және олардың қауіпсіздігін қамтамасыз ету сияқтымәселелерді шешеді. Жалпылама компьютерлендіру және жаңа ақпараттық технологиялардың дамуыміндетті түрде бүкіл ақпаратты қорғау ғана емес сонымен бірге ақпараттықжүйенің мінездемелерінің бірі болуда. Бірінші дәрежелі роль атқаратынқорғаныс факторын жинақтауда ақпараттарды өңдеу жүйесінің барыншакеңейтілген класын көруге болады (мысалы, банкілік ақпараттық жүйе). Ақпараттық жүйені қорғау- деп жүйенің қалыпты процессіне, оныңфункциялануына абайсызда немесе әдейі кедергі келтіруден, ақпаратты ұрлауғаәрекет жасаудан (жасырылған ақпаратты алу) және компоненттерін физикалықбүлдіруден қорғауды айтады. Басқаша айтқанда ақпараттық жүйеге жасалғанқарсы әрекетке қарсы тұра алу мүмкіндігі. Ақпараттық қорғаудың қауіп-қатері деп кедергі әсерінен бүлінугесоқтыру, бекітілмеген қолданулар және де тіпті басқарушы жүйенің,бағдарламалық және аппараттық амалдардың ақпараттық ресурстарының бұзылуынтүсінуге болады. Егер де кез-келген басқарушы жүйенің кибернетикалықмоделін классикалық жағынан қарағанда шығатын оған қарсы әрекеттеркездейсоқ мінездеме алады. Сондықтанда, ақпаратты қорғаудың қатерлеріарасында кездейсоқ немесе арнайы емес (непреднамеренные) қауіп түрін бөліпалу керек. Оның негізіне аппараттық құралдардың жұмыс істемей қалуы,ақпараттық жүйемен жұмыс істейтін жұмысшылардың немесе оныпайдаланушылардың дұрыс қолданбауы, бағдарламалық қамтамасыз етуде арнайыемес қателер болуы және т.с.с жатады. Мұндай қатерлерді де шығынеленбейтіндей болғандықтан назарда ұстауға болады. Дегенмен берілгентарауда кездейсоқ қауіпке қарағанда басқару жүйесі немесе қолданушыға шығынкелтіру мақсатында ұйымдастырылған қауіптерге назарды көбірек аударамыз.Бұл жеке табысқа жету үшін жиі қолданылады. Ақпараттық жүйенің жұмысынбұзуға тырысатын немесе ақпаратқа бекітілменген рұқсат алатын адамдардыәдетте бұзушылар, кейде “компьютерлік қарақшылар”(хакерлер) деп атайды.Бөгде құпияларды басқаруға бағытталған өздерінің заңға қайшы әрекеттеріндебұзушылар анығырақ және ең үлкен көлемде жасырын ақпараттар көзін ең азшығынмен табуға ұмтылады. Әр түрлі айлалар және көптеген тәсілдер, түрліжолдарды таңдаудың көмегімен күрделі ақпарат көздеріне қол жеткізе алады.Берілген жағдайда ақпарат көзі айла ойлаушы немесе бәсекелестердің нақтықызығушылығын тудыратын мағұлматтарды анықтауды басқаратын материалдыобъект. Аппараттық амалдар – есептеуіш техникаға қондырылатын құрылғы немесеонымен стандартты интерфейс арқылы байланысатын құрылғы. 1-бөлім. Ақпаратты және ақпараттық жүйені қорғау мәселелері 1.1.Ақпараттық жүйенің қауіпсіздік мәселелері Бүгінгі таңда компьютерлік ақпараттық жүйелерде және мәліметті жіберужелілерінде ақпаратты қорғау технологиясы - жаңа қазіргі заманғы технологиятууда деп бекітуге болады. Бұл технологияның іске асырылуы өсуші шығындардыжәне күш салуды талап етеді. Дегенмен бұл ақпараттық жүйе және ақпараттықтехнология нақты қауіп төну кезінде көзге түсерліктей аса басым түсетіншығындар мен залалдардан құтылуға мүмкіндік береді. Ғылыми-техникалық революция соңғы кездерде қоғамды ақпарат-тандыруаумағында есептеу техникасының қазіргі заманғы амалдар базасында,байланыстарда, сонымен қатар ақпаратты өңдеуді автоматтан-дырудың қазіргізаманғы тәсілдерінде көрнекті масштабтарды қабылдады. Бұл әдістер жәнетәсілдер негізінде құрылған ауқымдық яғни аумақтарға бөлінетін бірдейтехнологиялық процестерді жинақтауда, жіберуде, сақтауда, іздеуде,ақпараттарды өңдеуде және оларды қолдану үшін жіберуде ақпараттық –есептеуіш жүйелер мен желілерге айналу жалпылама мінездемеге ие болды. Қазіргі замандағы ақпарат – оған рұқсаты жоқ бекітілмеген адамнанқорғауды қажет ететін өмірдегі өте қымбат заттардың бірі. Жиырмасыншы жылдардың ортасында бірінші электронды-есептеуішмашиналардың шығуы шифрлеу аумағында жағдайды түбегейлі өзгертті.Компьютердің өмірімізге енуі, олардың әр түрлі сфераларға кіруі жаңа бірсаланың – ақпараттық индустрияның пайда болуына әкелді. Ақпаратты қорғау құралдарымен керекті дәрежеге дейін қамтамасыз етуөте қиын болып табылды (бұл теориялық зерттеулермен бекітілгендей,тәжірибелі іс-тәжірибе шешімі арқылы бекітілді). Ол ғылыми, ғылыми-техникалық жиынтықтарды, ұйымдастырылған амалдар қолдануды және амалдар ментәсілдерді жүзеге асыруды талап етті. Қоғамда айналып жүруші ақпараттар көлемі тұрақты өсуде. Бүкіл әлемдікжелі интернеттің атақтылығы соңғы жылдарда, жыл сайын ақпараттың екі есекөбеюіне апарды. Шынайы тұрғыдан қарағанда жаңа мыңжылдық табалдырығындаадамзат ақпаратты өңдеудің табыстылығынан тыныштық және тіпті адамзатөмірінің әрі қарай жалғасуына қатысы бар ақпараттық өркениетті құрды. Осыуақыт мерзімінде болған өзгерістерді келесі жолдармен суреттеуге болады: - өңделуші ақпараттардың көлемі жарты ғасырда бірнеше ретке өсті; - анықталған мәліметтерге рұқсат алу материалдық және қаржылыққұндылықтарға көрнекті бақылау жасауға мүмкіндік береді; ақпарат санауғаболатындай бағаға ие болды; - өңделуші мәліметтер қалыптан тыс, әр алуан, әсіресе текстік мәліметболып келді; Жоғарыдағы өзгерістерден кейін іскер ортада компьютерлердің жылдамтаралуы криптографияның бірден бірнеше бағытта өсуіне әкелді: Біріншіден, мықты кілттік бағана құрылды. Ол криптографиялық ортадажіберілетін және сақталынатын ақпараттардың құпиялылығын және толықтығынқамтамассыз етеді. Бұл кілттік бағана криптографиялық қорғаныстар тәсілдеріретінде қазірге дейін қолданылады; Екіншіден, ақпаратты қорғау ортасында жаңа тапсырмалардың шешімдерінежету тәсілдері шығарылды. Ол сандық құжаттардың қолтаңба-сының жәнекілттердің ашық түрде жіберілуінің ең танымал түрі болып табылады. Қазіргі әлемде ақпараттық ресурс экономиканың өсуіне қарай мықтырычагтардың бірі болды. Керекті дәрежеде, керекті уақытта ақпаратты иемденукез-келген шаруашылықтың тыбысына кепілдік береді. Бәсекелестік күресте көпкөлемде ақпаратты иемдену маңызды роль ойнайды, сондықтан “ақпараттықфактор” жоғары бағаланады. 1.2.Ақпаратты қорғау құралдарына жалпы шолу Ақпараттық қауіпсіздіктің бұзылуына мүмкіндік тудыратын жағдайды қауіпдеп атаймыз. Ақпараттың қауіпсіздігіне төнетін қауіптер ақпараттықжүйелердің өмірлік циклінің әртүрлі кезеңдерінде және әртүрлі көздердентуындауы мүмкін. Қауіпті жүзеге асыру талпыныстар ақпараттық шабуылдарнемесе жай шабуылдар деп атайды. Белгілі ақпараттық қауіп - қатерлердібірнеше сипаттары бойынша жіктеуге болады. Ақпараттық жүйелер мен өңделіп жатқан ақпаратқа адамның еркінен тысстихиялық табиғи құбылыстардың физикалық әсерінен келген қауіптердікездейсоқ қауіптер деп атайды. Ақпараттық жүйелердің элементтеріне әсерететін кездейсоқ қауіптердің себептеріне қолдану кезіндегі аппараттардыңістен шығуы, қызмет көрсетуші мамандардың кездейсоқ қателіктері, сыртқыорта әсерінен мәліметтерді жіберу каналдарындағы кедергілер, ақпараттықжүйелердің аппараттық және бағдарламалық сегменттерін жасаушылардыңқателіктері, апаттық жағдайлар жатады. Аппаратураның істен шығу жиілігі, жобалау қателігінің мүмкіндігісияқты, жүйелердің күрделенуі кезінде артады. Адам автоматтандырылғанжүйенің элементі ретінде техникалық құралдармен салыстырғанда бірқатарартықшылықтарға (ең алдымен, жұмыс барысында туындайтын жағдайларғабейімделу қабілеті, т.б.) ие болғанымен, оның да бірқатар кемшіліктер бар.Негізгі кемшіліктері - бұл шаршауы, психикалық параметрлердің физикалықжәне эмоционалды күйлерге тәуелділігі, қоршаған ортаның өзгерістерінесезімталдығы. Адам - оператордың қауіптері логикалық (дұрыс қабылданбағаншешімдері), сенсорлық (оператордың ақпаратты дұрыс қабылдамауы) жәнеоперативті (жедел) немесе моторлы (шешімді дұрыс жүзеге асырмау) болуымүмкін. Адамның қауіптерінің интенсивтігі ақпаратты өңдеу үрдісіне қызметкөрсету кезінде орындалған операциялардың (амалдардың) жалпы саныныңбірнеше пайыздарының шегінде ауысып отыруы мүмкін. Кездейсоқ қауіптерге автоматтандырылған жүйе орналасқан объектідеболуы мүмкін апаттық жағдайлар да жатады. Апаттық жағдайлар - бұлақпараттық жүйе аппаратурасының істен шығуы, стихиялық қиыншылықтар (өрт,су тасқыны, жер сілкінісі, дауылдар, найзағай және т.б.). Мұндайжағдайлардың ықтималдығы, ақпараттық жүйені жобалау үрдісінде техникалықшешімдерді таңдаумен жүйенің қызмет көрсету үрдісін ұйымдастыруыменанықталады. Кездейсоқ қауіптермен салыстырғанда, жасанды немесе қасақана жасалғанқатерлер шеңбері анағұрлым кең және қауіпті. Қасақана жасалған қатердіңәрекеті ақпараттық жүйені құрайтын барлық элементтер мен ішкі жүйелержиынтығына қарсы бағытталады. Қасақана жасалатын қатерлердің келесі түрлерібасқалардан жиі жүзеге асырылады: - ақпаратқа заңды тұлғалар қатарына жатпайтын адамдардың қатынауы; - ақпараттық жүйелердің заңды қолданушыларының өз өкілеттілігінежатпайтын ақпараттарға қол сұғуы; - бағдарламалар мен мәліметтерді заңсыз көшіру; - ақпараттың жойылуына әкелетін физикалық тасымалдаушылар менқұрылғылардың ұрлануы; - ақпаратты қасақана жою; - құжаттар мен мәліметтер қорын заңсыз модификациялау; - байланыс арналары арқылы берілетін хабарламаларды фальсификациялау(бұрмалау, өзгерту); - байланыс арналары арқылы тасымалданған хабарламалардың авторлығынанбас тарту; - жалған хабарламалар тарату; - ақпараттарға зиянды бағдарламалар көмегімен, соның ішіндекомпьютерлік вирустармен әсер ету. Ақпараттық шабуылдар. Рұқсатсыз қатынау (РҚ) - ақпараттықшабуылдардың неғұрлым көп тараған түрі. Мұнда заңсыз қолданушы қандай дабір мекеменің ақпарат қауіпсіздігін қамтамасыз етуге бағытталған саясатынасәйкес ережелерін бұзып, ақпараттық жүйеге әрекет ету мүмкіндігіне заңсызие болады. Бұл жағдайда заңсыз қолданушылар ақпараттық жүйені құрубарысында жіберілген қателіктерді, қорғау құралдарының дұрыс таңдалып,орнатылмағандығын пайдаланады. Мұндай шабуылдар ақпараттық шабуылдар үшінарнайы әзірленген аппараттық және программалық құралдар қолданылуы мүмкін. Ақпараттың қауіпсіздігіне келетін қауіптер ақпараттық жүйеніңэлементтерінің арасында да, жүйеден тыс та орналасуы мүмкін. Қасақанақауіп төндіруші жүйенің заңды қолданушысы да, бөтен адамдар да болуымүмкін. Бірінші жағдайда ақпаратты қорғауға байланысты қатал шаралардыңкөмегімен шабуылды тоқтату мүмкіндігі болса, екінші жағдайдызалалсыздандыру үшін үлкен күш пен құралдарды қолдану қажет. Соңғы кездегі глобальды ақпараттық - есептеу жүйелерінің кең таралуынабайланысты ақпараттық шабуылдар жүйеден тыс адамдар жасайтын жағдайларғажиі тап болуға болады. Қауіптің мұндай түрін ұйымдастыру алыстатылғаншабуылдар деп аталады. Әсер етуіне байланысты алыстатылған шабуылдардыбелсенділігі төмен (пассивті) және белсенді (активті) деп бөлуге болады. Пассивті шабуыл ақпараттық жүйенің жұмысына тікелей әсер етпейді, албелсенді (активті) шабуыл құпиялылықты бұзу арқылы ақпараттың тұтастығы менқұпиялылығына нұсқан келтіреді. Ол сондай-ақ ақпаратты қолданушыға немесеақпараттық жүйені қолданушыларға кері психологиялық әсер ету арқылы даақпаратқа шабуыл жасауы мүмкін. Шартты-пассивті ақпараттық шабуылды бөлектоп ретінде қарастыруға болады, мұнда компьютерлік барлау жүргізіліп,белсенді шабуылға дайындық жасалады. Кез келген шабуылдың негізгі, мақсаты - ақпаратқа заңсыз қатынауға қолжеткізу. Мұндай шабуылдардың нәтижесінде ақпарат басқа қолға өтеді немесеөзгереді. Ақпараттың басқа қолға өтуі ол ақпаратқа қатынауға мүмкіндікбереді, бірақ оны модификациялау мүмкіндігі жоқ. Кейде бұл заңсыз қатынауақпараттың жариялануына әкеледі, бұл жағдайда ақпараттық құпиялылығыбұзылады. Ақпараттық шабуылдың, тағы бір мақсаты ақпараттық жүйеэлементтерінің жұмыс қабілетіне нұқсан келтіру. Бұл жағдайда әрекет етушіақпаратқа, заңсыз қатынауды көздемейді, оның негізгі мақсаты - ақпараттықжүйенің аппараттық және программалық жабдықтарының қалыпты жұмысын бұзу,шабуылданған объектінің ресурстарына қатынауға шектеу қою [1]. Қауіпсіздік механизмі түсінігі. Тоқсары (оранжевая) кітаптаайтылғандай, қауіпсіздікке келесі элементтер кіреді: - туындалған қатынаудың басқарылуы; - қайта қолданылатын объектінің қауіпсіздігі; - қатынаудың күштеп басқарылуы; - қауіпсіздіктің көзделуі. Қатынаудың туындалған басқарылуы – бұл субъект кіретін топтарға немесежеке субъектілер есебінде негізделген объектілерге шектеулі қатынау жасауәдісі. Қайта қолданылатын объектінің қауіпсіздігі – қатынауды басқарудымаңызды тәсілдермен толықтыру. Ол – дискілі блоктар және магнит тасушыларүшін, оперативті жад облысы үшін кепіл беруі тиіс. Қатынаудың күштепбасқарылуы – субъект және объектінің қауіпсіздігін көздеуге негізделген. Қауіпсіздікті көздеу – Тоқсары кітапқа сәйкес екі бөлікке бөлінеді:құпиялық дәреже және дәреже тізімі. Субъект ақпаратты объектіден оқи алады,егер субъектінің құпиялық дәрежесі объектіден қарағанда төмен болмаса. Алобъектінің барлық категориялары субъектінің көздеу қауіпсіздігіндетізімделген. Бұл айтылған қатынауды басқару әдісі - күштеп қатынау депаталады. Себебі ол субъектілердің еркінен тәуелсіз. Ақпаратты қорғауға бағытталған іс - әрекеттер мынадай процедураларарқылы жүзеге асырылады: - аутентификация және идентификация; - сенімді жолдардың ұсынылуы; - тіркелген ақпараттың талдануы. Идентификацияның қарапайым әдісі – жүйеге кіру үшін пайдаланушыныңатының енгізілуі. Пайдаланушының шынайылығын тексерудің қалыпты әдісі –пароль. жүктеу/скачать 26,61 Kb. Достарыңызбен бөлісу:
|