III. NAZARIY MATERIALLAR
47
Tahdidlar ( threats ) - zarar yetkazishi mumkin bo'lgan holatlar,
vaziyat va
sharoitlar. Bularga tizimga hujum uchun yo'l ochib beruvchi zaif himoyaga
qaragandek qarash lozim.
Nazorat ( Control ) - tizim himoyasi zaifligini ketkazuvchi chora. Bunga
shifrlashni misol qilib keltirish mumkin.
Ixtiyoriy tarmoqqa ulangan tizimda, uch xil asosiy xavfsizlikka qilinadigan
tahdidlar uchraydi:
1.
Tizim va uning ma'lumotlari maxfiyligiga tahdidlar.
Bular
axborotlarning autorizatsiyadan o'tmagan shaxslar yoki dasturlarga ochilishiga
sabab bo'lishi mumkin.
2.
Tizim va uning ma'lumotlari sofligiga tahdid.
Bu tahdidlar
dasturiy
ta'minot yoki ma'lumotlarga zarar yekazishi, ularni buzishi mumkin.
3.
Tizim va uning ma'lumotlari tayyorligiga tahdidlar.
Bu tahdidlar
autorizatsiyadan o'tgan foydalanuvchilarga ruxsatlarni chegaralab qo'yishi
mumkin.
Albatta bu tahdidlar o'zaro ichki bog'lanishga ega Agar hujum tizim
tayyorligiga zarar yetkazsa, unda siz vaqt o'tishi bilan o'zgarib
turadigan
axborotlarni yangilay olmaysiz. Bu o'z navbatida tizim sofligini yo'qqa chiqaradi.
Shunday qilib zararlar bir - biriga ulanib ketadi.
Amalda, sotsialtexnik tizimlardagi ko'pchilik himoya zaifligi texnik
muammolardan ko'ra ko'proq insonlarning xatolari natijasida paydo bo'ladi.
Odamlar oson parollar tanlaydilar, yoki parollarini topib olish oson bo'lgan joylarga
yozib qo'yadilar, tizim administratorlari ruxsatlarni belgilashda yoki fayllarni
joylashtirishda xato qiladilar bundan tashqari foydalanuvchilar himoyalovchi
dasturiy ta'minotlarni qo'llamaydilar.
Siz tizim xavfsizligini kuchaytirish uchun qo'yishingiz mumkin bo'lgan
nazoratlar quyidagilardir:
1.
Himoya zaifligidan chetlanish.
Qilinayotgan hujumlar muvaffaqiyatsiz
bo'lishiga ishonch hosil qilish uchun qo'yiladigan nazoratlar. Bu yerda strategiya
tizimni xavfsizlikka oid muammolardan chetda loyihalashdan iborat. Masalan,
harbiy tizimlar mahalliy tarmoqlarga ulanmagan bo'ladi, shuning uchun ularga
tashqi kirish yo'llari berkdir. Ma'lumotlarni
shifrlashni ham bu turdagi
nazoratlarga
kiritish
mumkin.
Shifrlangan
ma'lumotga
har
qanday
III. NAZARIY MATERIALLAR
48
autorizatsiyasiz kirishda, bu ma'lumot hujumchilar tomonidan o'qib
bo'lmaydigan ko'rinishda bo'ladi. Amalda, kuchli shifrlangan ma'lumotlarni
deshifrlash ko'p vaqt talab qiladi va qimmatga tushadi.
2.
Hujumni aniqlash va uni bartaraf etish. Bu turdagi nazoratlar hujumlarni
aniqlab ularni yo'q qilishga mo'ljallangan. Bu nazoratlar tizimda bajarilayotgan
amallarni kuzatib turadi va g'ayrioddiy holatni aniqlaganda chora ko'radi:
tizimning ushbu qismini o'chirib qo'yishi yoki aniqlangan foydalanuvchiga kirish
yo'lini yopib qo'yishi mumkin.
3.
Chegaralar qo'yish va tiklash. Bu nazoratlar muammolardan keyin qayta
tiklanishni qo'llab-quvvatlaydi.
Talabga javob beradigan xavfsizliksiz, biz tizimning tayyorligi, mustahkamligi
hamda himoyalanganligiga ishonolmaymiz.
Tizimni ishlab chiqarishdagi xatoliklar keyinchalik xavfsizlikni aylanib
o'tilishiga olib kelishi mumkin. Agar tizim ko'zda tutilmagan kiruvchi parametrlarga
javob bermasa yoki kiritilayotgan massiv ko'riniishidagi ma'lumotlarning chegarasi
aniqlanmasa, hujumchilar bu zaifliklardan tizimga ruxsatsiz kirish uchun
foydalanishlari mumkin. Asosiy xavfsizlik buzilish hodisalari ushbu zaifliklar orqali
kelib chiqadi. C# tilida tuzilgan dasturlar massiv chegarasini tekshirishni o'z ichiga
olmaydi, bu esa tizimga ruxsatsiz kirish orqali xotiraning
biror qismini qayta
yozishga imkon yaratadi.