|
Axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi
|
| bet | 2/2 | | Sana | 15.06.2022 | | Hajmi | 308.04 Kb. | | #23780 |
Bog'liq MUSTAQIL ISH 5-DMTT fosterg1, Австря, Mavzu Ohak ishlab chiqaruvchi korxonalar tеxnologiyasini loyiha, Tizimli dasturlash yakuniy savollari, СамДУ етакчи таш такризи, 86510The NIST kiberxavfsizlik doirasi (NIST CSF) "kiberxavfsizlik natijalarining yuqori darajadagi taksonomiyasini va ushbu natijalarni baholash va boshqarish metodologiyasini ta'minlaydi." Bu ta'minlovchi xususiy sektor tashkilotlariga yordam berish uchun mo'ljallangan muhim infratuzilma tegishli himoya vositalari bilan birga uni qanday himoya qilish bo'yicha ko'rsatma bilan maxfiylik va fuqarolik erkinliklari.
800-12 maxsus nashri kompyuter xavfsizligi va boshqarish sohalari haqida keng ma'lumot beradi. Shuningdek, xavfsizlik nazorati muhimligi va ularni amalga oshirish usullari ta'kidlangan. Dastlab ushbu hujjat federal hukumatga qaratilgan edi, ammo ushbu hujjatdagi ko'pgina amaliyotlar xususiy sektorda ham qo'llanilishi mumkin. Xususan, bu federal hukumat tarkibidagi nozik tizimlar bilan ishlashga mas'ul bo'lganlar uchun yozilgan.
Maxsus nashr 800-14 ishlatiladigan umumiy xavfsizlik tamoyillarini tavsiflaydi. Bu kompyuter xavfsizligi siyosatiga kiritilishi kerak bo'lgan narsalarning yuqori darajadagi tavsifini beradi. Mavjud xavfsizlikni yaxshilash uchun nima qilish mumkinligi, shuningdek, yangi xavfsizlik amaliyotini qanday rivojlantirish kerakligi tasvirlangan.
Ushbu hujjatda sakkizta printsip va o'n to'rtta amaliyot tavsiflangan. 800-26 maxsus nashrida IT xavfsizligini boshqarish bo'yicha maslahatlar berilgan. NIST SP 800-53 rev3 tomonidan o'zgartirildi. Ushbu hujjat o'z-o'zini baholash bilan bir qatorda xavfni baholashning muhimligini ta'kidlaydi.
2010 yilda yangilangan 800-37 maxsus nashrida yangi xavf yondashuvi mavjud: "Federal Axborot tizimlarida xatarlarni boshqarish tizimini qo'llash bo'yicha qo'llanma"
800-53 rev4 maxsus nashri, "Federal Axborot tizimlari va tashkilotlari uchun xavfsizlik va maxfiylikni boshqarish", 2013 yil aprelda nashr etilgan bo'lib, 2014 yil 15 yanvardagi yangilanishlarni o'z ichiga olgan bo'lib, tizimga tatbiq etiladigan 194 ta xavfsizlik nazorati aniqlangan "xavfsizroq ".
800-63-3 maxsus nashri, "Raqamli identifikatsiya qilish bo'yicha ko'rsatmalar", 2017 yil 1-iyundagi yangilanishlarni o'z ichiga olgan 2017 yil iyun oyida yangilangan raqamli identifikatsiya xizmatlarini, shu jumladan foydalanuvchilarning shaxsiy guvohnomalarini tasdiqlash, ro'yxatdan o'tkazish va haqiqiyligini tasdiqlash bo'yicha qo'llanmalarni taqdim etadi.
Maxsus nashr 800-82, Revision 2, "Sanoat nazorati tizimi (ICS) xavfsizligi bo'yicha qo'llanma", 2015 yil may oyida qayta ko'rib chiqilgan bo'lib, ICSga xos bo'lgan ishlash, ishonchlilik va xavfsizlik talablarini hisobga olgan holda bir nechta sanoat boshqaruv tizimlarini kiberhujumlardan qanday himoya qilishni tavsiflaydi. Yangi texnologiyalar, elektron xizmatlar bizning kundalik hayotimizning ajralmas qismiga aylandi.
Jamiyat kundan-kun axborot-kommunikatsiya texnologiyalariga tobora ko'proq qaram bo'lib borayotganligini hisobga olib, ushbu texnologiyalarni himoya qilish va ulardan foydalanish milliy manfaatlar uchun hal qiluvchi ahamiyatga ega va juda muhim mavzuga aylanmoqda. Bugungi kunda axborot jamiyatini rivojlantirishning zaruriy sharti bu kiberxavfsizlikdir, uni xavfsizlikning texnik va qonunchilikgacha bo'lgan deyarli cheksiz ro'yxati va ularni hal qilish yo'li bilan ta'minlash mumkin. Zamonaviy sharoitda, kiberxavfsizlik masalalari alohida kompyuter vositasida axborot xavfsizligi darajasidan har bir davlatning axborot va milliy xavfsizligining ajralmas qismi sifatida yagona kiberhavfsizlik tizimini yaratish darajasigacha boradi. Shu sababli, har bir tashkilot uchun kiberxavfsizlikni ta’minlash maqsadida mazkur soha bilan shug’ullanuvchi xodimlar jalb qilinmoqda va xodimlarni kiberxavfsizlikka oid bilimlar bilan doimiy tanishtirib boorish uchun qator seminartreyning mashg’ulotlari tashkil etilmoqda. Oliy ta’lim muassasalarida ham kiberxavfsizlikni fan sifatida o’tilishi buning yaqqol misolidir. Respublikamizda axborot texnologiyalarining rivojlanishi bilan bir qatorda xо‘jalik va davlat boshqaruvi organlarida axboorot xavfsizligini, xususan, kompyuter bilan bog’liq bo’lgan xavfsizlik muammolarini bartaraf etish yo’nalishida alohida e’tibor qaratilmoqda. 2017-2021 yillarda О‘zbekiston Respublikasini yanada rivojlantirish bо‘yicha Harakatlar strategiyasida vazifalar belgilab olindi, shular qatorida «...axborot xavfsizligini ta’minlash va axborotni himoya qilish tizimini takomillashtirish, axborot sohasidagi tahdidlarga о‘z vaqtida va munosib qarshilik kо‘rsatish» va kiber jinoyatchilikni fosh etish masalalariga alohida e’tibor qaratilgan. Bundan tashqari, “Ilm, ma’rifat va raqamli iqtisodiyotni rivojlantirish yili"da amalga oshirishga oid Davlat dasturi to‘g‘risida”gi O‘zbekiston Prezidenti Farmonida “2020 yil 1 sentyabrga qadar kiberxavfsizlikka doir milliy 4 strategiya va qonun loyihasi ishlab chiqish” vazifalari belgilangan. Bu vazifalarni amalga oshirishda kiberxavfsizlik sohasiga oid o’quv qo’llanmalarini ishlab chiqish ham e’tibor berish kerak bo’lgan muhim jihatlardan hisoblanadi. Mazkur о‘quv qо‘llanma kiberxavfsizlik sohasida dastlabki qadamlarini qo’yayotgan tinglovchilar uchun mo’ljallangan bo’lib, unda kiberxavfsizlikning asosiy tushunchalari, kiberhujumlardan himoyalanishning nazariy asoslari keltirilgan. Qо‘llanmaning birinchi bоbida kiberxavfsizlik asoslari fanining vazifalari va asosiy tushunchalari, uning qо‘llanilish sohasi hamda kiberxavfsizlikda inson omili masalalari kо‘rib chiqilgan. Kiberxavfsizlikning bilim sohalari, kiberxavfsizlikning fan sohasining tuzulishi, kiberxavfsizlik va axborot xavfsizlik tushunchalari o’rtasidagi farqlar misollar asosida keltirilgan. Ikkinchi bоbda axborotning kriptografik himoyasi doirasida uning asosiy tushunchalari, simmetrik kriptotizimlar, ochiq kalitli kriptotizimlar, ma’lumotlarni yaxlitligini ta’minlash usullari, disklarni va fayllarni shifrlash hamda ma’lumotlarni xavfsiz o’chirish usullari kо‘rib chiqilgan. Qо‘llanmaning uchinchi bоbi foydalanishlarni nazoratlashga bag’shlangan bo’lib, autentifikatsiya usullari, ma’lumotlarni fizik va mantiqiy boshqarish usullari keltirilgan. Amalda keng qo’llanilgan parolga asoslangan autentifikatsiya usulini matematik tahlili va amalda foydalanish uchun parollarni tanlash bo’yicha tavsiyalar keltirilgan. Tо‘rtinchi bоb tarmoq xavfsizligiga bag‘ishlangan bo’lib, unda tarmoqda mavjud bo’lgan xavfsizlik muammolari va ularni bartaraf etishda tarmoqlararo ekran va virtual himoyalangan tarmoq vositalarida foydalanish tartibi keltirilgan. Bundan tashqari simsiz tarmoqlarda ham xavfsizlik muammolari va ularni oldini olish tartibi keltirilgan. Beshinchi bоbda tizimning foydalanuvchanlik xususiyati va uning tizim uchun muhimligi, ma’lumotlarning zaxira nusxalash usullari va ma’lumotlarni qayta tiklash usullari haqida ma’lumotlar keltirilgan.
Tizim foydalanuvchanligi uchun 5 auditlash muolajasi muhim hisoblangani bois, Windows OT uchun hodisalarni qayd qilish tartibi bilan yaqindan tanishib chiqiladi. Oltinchi bоb dasturiy vositalar xavfsizligiga bag’ishlangan bo’lib, dasturlardagi xavfsizlik muammolari va ularni oldini olishga qaratilgan fundamental printsiplar keltirilgan. Vazifasi tizimga ziyon etkazish uchun yaratilgan zararli dasturiy vositalar, ularning tahlili va zamonaviy antivirus dasturiy vositalari haqida batafsil ma’lumotlar keltirilgan. Yettinchi bob axborot xavfsizligi siyosati va risklarni boshqarish masalalarida bag’ishlangan hamda unda tizimlar arxitekturasi, axborot xavfsizligi siyosatini amalga oshirish tartibi va risklarni boshqarish haqida ma’lumotlar keltirilgan. Sakkizinchi bobda kiberjinoyatchilik, kiberhuquq va kiberetika masalalariga to’xtalib o’tilgan va unda kiberjinoyatchilik uchun tayinlangan jazo turlari haqida ma’lumotlar keltirilgan. О‘quv qо‘llanma 5330300 – Axborot xavfsizligi, 5330500 – Kompyuter injiniringi (Kompyuter injiniringi, AT-servisi, Multimedia texnologiyalari), 5330600 – Dasturiy injiniring, 5350100 - Telekommunikatsiya texnologiyalari (Telemommunikatsiya, teleradiouzatish, mobil tizimlar), 5350200 – Televizion texnologiyalar (Audiovizual texnologiyalar, telestudiya tizimlari va ilovalari), 5350300 – Axborot-kommunikatsiya texnologiyalari sohasida iqtisodiyot va menejment, 5350400 – Axborot-kommunikatsiya texnologiyalari sohasida kasb ta’limi, 5350500 – Pochta aloqasi texnologiyasi va 5350600 – Axborotlashtirish va kutubxonashunoslik yo’nalishlari bо‘yicha ta’lim olayotgan talabalar uchun tavsiya etiladi, hamda faoliyati axborot xavfsizligini ta’minlash bilan bog‘liq bо‘lgan mutaxassislarning keng doirasi uchun ham foydali bо‘lishi mumkin. Axborotni ishlash, uzatish va to’plashning zamonaviy usullarining rivojlanishi foydalanuvchilar axborotini yo’qolishi, buzilishi va oshkor etilishi bilan bog’liq tahdidlarning ortishiga olib kelmoqda. Shu sababli, kompyuter tizimlari va tarmoqlarida axborot xavfsizligini ta’minlash axborot texnologiyalari rivojining yetakchi yo’nalishlaridan biri hisoblanadi. Kompyuter tizimlari va tarmoqlarida axborotni himoyalash va axborot xavfsizligiga tegishli bo’lgan ayrim tushunchalar bilan tanishib chiqaylik. Kiberxavfsizlik hozirda yangi kirib kelgan tushunchalardan biri bo’lib, unga berilgan turlicha ta’riflar mavjud. Xususan, CSEC2017 Joint Task Force manbasida kiberxavfsizlikka quyidagicha ta’rif berilgan [1]: kiberxavfsizlik – hisoblashlarga asoslangan bilim sohasi bo’lib, buzg’unchilar mavjud bo’lgan sharoitda amallarni to’g’ri bajarilishini kafolatlash uchun o’zida texnologiya, inson, axborot va jarayonlarni mujassamlashtiradi. U xavfsiz kompyuter tizimlarini yaratish, amalga oshirish, tahlillash va testlashni o’z ichiga oladi. Kiberxavfsizlik ta’limning mujassamlashgan bilim sohasi bo’lib, qonuniy jihatlarni, siyosatni, inson omilini, etika va risklarni boshqarishni o’z ichiga oladi. Tarmoqlar sohasida faoliyat yuritayotgan Cisco tashkiloti esa kiberxavfsizlikka quyidagicha ta’rif bergan [2]: Kiberxavfsizlik – tizim, tarmoq va dasturlarni raqamli hujumlardan himoyalash amaliyoti. Ushbu kiberxujumlar odatda maxfiy axborotni boshqarish, almashtirish yoki yo’q qilishni; foydalanuvchilardan pul undirishni; normal ish faoliyatini buzishni maqsad qiladi. Hozirgi kunda samarali kiberxavfsizlik choralarini amalga oshirish insonlarga qaraganda qurilmalar soni va turlarining kattaligi va buzg’unchilar salohiyatini ortishi natijasida amaliy tomondan murakkablashib bormoqda. Kiberxavfsizlik bilim sohasining zaruriyati birinchi meynfreym kompyuterlar ishlab chiqarilgandan boshlab paydo bo’la boshlagan. Bunda mazkur qurilmalarni va ularning vazifalari himoyasi uchun ko’p qatlamli xavfsizlik choralari amalga oshirilgan. Milliy xavfsizlikni ta’minlash zaruriyatini oshib borishi kompleks va texnologik murakkab ishonchli xavfsizlik choralarini paydo bo’lishiga olib keldi. 8 Hozirgi kunda axborot texnologiyalari sohasida faoliyat yuritayotgan har bir mutaxassisdan kiberxavfsizlikning fundamental bilimlariga ega bo’lishi talab etiladi.
AOB ssenariysida Alisaning banki qayd yozuvi butunligini Trididan himoyalashi shart. Masalan, Bob akkauntida balansning o’zgarishi yoki Alisa akkauntida balansning oshishidan himoyalashi shart. Shu o’rinda konfidensiallik va yaxlitlik bir narsa emasligiga e’tibor berish kerak. Masalan, Tridi biror ma’lumotni o’qiy olmagan taqdirda ham uni sezilmaydigan darajada o’zgartirishi mumkin. Foydaluvchanlik - avtorizasiyalangan mantiqiy obyekt so’rovi bo’yicha uning tayyorlik va foydalanuvchanlik holatida bo’lishi xususiyati. Foydalanuvchanlik axborotni (yoki tizimni) ruxsatsiz “bajarmaslik”dan himoyalash bilan shug’ullanadi. AOB ssenariysida AOB veb saytidan Bobning foydalana olmasligi Alisaning banki va Bob uchun foydalanuvchanlik muammosi hisoblanadi. Sababi, mazkur holda Alisa pul o’tkazmalaridan daromad ola olmaydi va Bob esa o’z biznesini amalga oshira olmaydi. Foydalanuvchanlikni buzishga qaratilgan hujumlardan eng keng tarqalgani – xizmat ko’rsatishdan voz kechishga undovchi hujum (Denial of service, DOS) [11]. Risk – potensial foyda yoki zarar bo’lib, umumiy holda har qanday vaziyatga biror bir hodisani yuzaga kelish ehtimoli qo’shilganida risk paydo bo’ladi. ISO “risk – bu noaniqlikning maqsadlarga ta’siri” sifatida ta’rif bergan [14]. Masalan, universitetga o’qishga kirish jarayonini ko’raylik. Umumiy holda bu jarayonni o’zi risk hisoblanmaydi. Faqatgina abituriyent hujjatlarini va kirish imtihonlarini topshirganda, u o’qishga kirishi yoki kira olmasligi mumkin. Bu o’z navbatida qabul qilinish yoki qabul qilinmaslik riskini yuzaga kelishiga olib keladi. Kiberxavfsizlik yoki axborot xavfsizligida risklar salbiy ko’rinishda qaraladi. Hujumchi kabi fikrlash - bo’lishi mumkin bo’lgan xavfni oldini olish uchun qonuniy foydalanuvchini hujumchi kabi fikrlash jarayoni. Tizimli fikrlash - kafolatlangan amallarni ta’minlash uchun ijtimoiy va texnik cheklovlarning o’zaro ta’sirini hisobga oladigan fikrlash jarayoni. Bundan tashqari quyidagi tushunchalar ham kiberxavfsizlik sohasini chuqur o’rganishda muhim hisoblanadi. 10 Axborot xavfsizligi - axborotning holati bo’lib, unga binoan axborotga tasodifan yoki atayin ruxsatsiz ta’sir etishga yoki ruxsatsiz undan foydalanishga yo’l qo’yilmaydi. Yoki, axborotni texnik vositalar yordamida ishlanishida uning maxfiylik (konfidensiallik), yaxlitlik va foydalanuvchanlik kabi xarakteristikalarini (xususiyatlarini) saqlanishini ta’minlovchi axborotning himoyalanish sathi holati. Axborotni himoyalash – axborot xavfsizligini ta’minlashga yo’naltirilgan choralar kompleksi. Amalda axborotni himoyalash deganda ma’lumotlarni kiritish, saqlash, ishlash va uzatishda uning yaxlitligini, foydalanuvchanligini va agar, kerak bo’lsa, axborot va resurslarning konfidensialligini madadlash tushuniladi. Aktiv - himoyalanuvchi axborot yoki resurslar. Yoki, tashkilot uchun qimmatli barcha narsalar. Tahdid – tizim yoki tashkilotga zarar yetkazishi mumkin bo’lgan istalmagan hodisa. Yoki, tahdid - axborot xavfsizligini buzuvchi potensial yoki real mavjud xavfni tug’diruvchi sharoit va omillar majmui. Tahdid tashkilotning aktivlariga qaratilgan bo’ladi. Masalan, aktiv sifatida korxonaga tegishli biror bir saqlanuvchi hujjat bo’lsa, u holda ushbu hujjat saqlanadigan xonaga nisbatan tahdid amalga oshirilish mumkin. Zaiflik – bir yoki bir nechta tahdidlarni amalga oshirishga imkon beruvchi tashkilot aktivi yoki boshqaruv tizimidagi kamchilik hisoblanadi. Masalan, xonada saqlanayotgan tashkilot hujjati qo’g’oz ko’rinishda bo’lganligi sababli, yonib ketishi mumkin. Boshqarish vositasi – riskni o’zgartiradigan harakatlar bo’lib, boshqarish natijasi zaiflik yoki tahdidlarni o’zgarishiga ta’sir qiladi. Bundan tashqari boshqarish vositasining o’zi turli tahdidlar foydalanishi mumkin bo’lgan zaiflikka ega bo’lishi mumkin. Masalan, tashkilotda saqlanayotgan qog’oz ko’rinishidagi axborotni yong’indan himoyalash uchun o’chirish vositalari boshqarish vositasi sifatida ko’rilishi mumkin. Bundan tashqari, yong’in bo’lganda xodimlarning xattixarakatlari va yong’inni oldini olish bo’yicha ko’rilgan chora-tadbirlar ham boshqarish vositasi hisoblanishi mumkin. Yong’inga qarshi kurashish tizimining 11 ishlamay qolish holatiga esa boshqarish vositasidagi kamchilik sifatida qarash mumkin. “Kiberxavfsizlik” va “axborot xavfsizligi” atamalaridan, tez-tez o’rnilari almashingan holatda, foydalaniladi. Ba’zilar kiberxavfsizlikni axborot xavfsizligi, axborot texnologiyalari xavfsizligi va (axborot) risklarni boshqarish tushunchalariga sinonim sifatida foydalanadilar. Ayrimlar esa, xususan, hukumat sohasidagilar kiberxavfsizlikka kompyuter jinoyatchiligi va muhim infratuzilmalar himoyasini o’z ichiga olgan milliy xavfsizlik bilan bog’liq bo’lgan texnik tushuncha sifatida qaraydilar. Turli soha xodimlari tomonidan o’z maqsadlariga moslashtirish holatlari mavjud bo’lsada, axborot xavfsizligi va kiberxavfsizlik tushunchalari orasida ba’zi muhim farqlar mavjud. Axborot xavfsizligi sohasi axborotning ifodalanishidan qat’iy nazar – qog’oz ko’rinishdagi, elektron va insonlar fikrlashida, og’zaki va vizual aloqada intelektual huquqlarini himoyalash bilan shug’ullanadi. Kiberxavfsizlik esa elektron shakldagi axborotni (barcha holatlardagi, tarmoqdan to qurilmagacha bo’lgan, o’zaro birga ishlovchi tizimlarda saqlanayotgan, uzatilayotgan va ishlanayotgan axborotni) himoyalash bilan shug’ullanadi. Bundan tashqari, hukumatlar tomonidan moliyalashtirilgan hujumlar va rivojlangan doimiy tahidlar (Advanced persistent threats, APT) ham aynan kiberxavfsizlikka tegishlidir. Qisqacha aytganda, kiberxavfsizlikni axborot xavfsizligining bir yo’nalishi deb tushunish uni to’g’ri anglashga yordam beradi“Ma’lumotlar xavfsizligi” bilim sohasi ma’lumotlarni saqlash, ishlash va uzatishda himoyani ta’minlashni maqsad qiladi. Mazkur bilim sohasida himoyani to’liq amalga oshirish uchun matematik va analitik algoritmlardan foydalaniladi. “Dasturiy ta’minot xavfsizligi” bilim sohasi foydalanilayotgan tizim yoki axborot xavfsizligini ta’minlovchi dasturiy ta’minotlarni ishlab chiqish va foydalanish jarayoniga e’tibor qaratadi. “Tashkil etuvchilar xavfsizligi” bilim sohasi katta tizimlarda integrallashgan tashkil etuvchilarni loyihalashga, sotib olishga, testlashga, tahlillashga va texnik xizmat ko’rsatishga e’tibor qaratadi. Tizim xavfsizligi gohida tashkil etuvchilar xavfsizligidan farq qiladi. Tashkil etuvchilar xavfsizligi ularning qanday loyihalanganligiga, yaratilganligiga, sotib olinganligiga, boshqa tarkibiy qismlar bilan bog’langanligiga, qanday ishlayotganligiga va saqlanayotganligiga bog’liq bo’ladi. “Aloqa xavfsizligi” bilim sohasi tashkil etuvchilar o’rtasidagi aloqani himoyalashga etibor qaratib, o’zida fizik va mantiqiy ulanishni mujassamlashtiradi. “Tizim xavfsizligi” bilim sohasi tashkil etuvchilar, ulanishlar va dasturiy ta’minotdan iborat bo’lgan tizim xavfsizligining jixatlariga e’tibor qaratadi. Tizim xavfsizligini tushunish uchun nafaqat, uning tarkibiy qismlari va ularning bog’lanishini tushunish, balki yaxlitlikni hisobga olish talab etiladi. Ya’ni, tizimni 13 to’liqligicha ko’rib chiqish talab etiladi. Mazkur bilim sohasi “Tashkil etuvchilar xavfsizligi” va “Aloqa xavfsizligi” bilim sohalari bilan bir qatorda, tashkil etuvchilar bog’lanishining xavfsizligi va undan yuqori tizimlarda foydalanish masalasini hal qiladi. “Inson xavfsizligi” bilim sohasi kiberxavfsizlik bilan bog’liq inson hatti harakatlarini o’rganishdan tashqari, tashkilotlar (masalan, xodim) va shaxsiy hayot sharoitida ma’lumotlarni va shaxsiylikni himoya qilishga e’tibor qaratadi. “Tashkilot xavfsizligi” bilim sohasi tashkilotni kiberxavfsizlik tahdidlaridan himoyalash va tashkilot vazifasini muvaffaqqiyatli bajarishini madadlash uchun risklarni boshqarishga e’tibor qaratadi. “Ijtimoiy xavfsizlik” bilim sohasi jamiyatda u yoki bu darajadagi ta’sir ko’rsatuvchi kiberxavfsizlik omillariga e’tibor qaratadi. Kiberjinoyatchilik, qonunlar, axloqiy munosabatlar, siyosat, shaxsiy hayot va ularning bir-biri bilan munosabatlari ushbu bilim sohasidagi asosiy tushunchalar hisoblanadi. Demak, aytish mumkinki, kiberxavfsizlik sohasi axborot texnologiyalari mutaxassislari uchun zarur soha hisoblanadi. Foydalanuvchilar tomonidan har qanday yuqori darajadagi xavfsizlik ham buzilishi mumkin. Masalan, Bob amazon.com onlayn do’konidan biror narsanisotib olmoqchi, deylik. Buning uchun Bob turli kriptografik usullarga tayanadigan SSL (Secure Sockets Layer) protokoli yordamida Amazon bilan ishonchli bog’lanish uchun veb-brauzerdan foydalanishi mumkin. Ushbu protokol barcha zarur amallar to’g’ri bajarilganida kafolatli xavfsizlikni ta’minlaydi. Biroq, ushbu protokolga qaratilgan ba’zi hujum turlari (O’rtada turgan odam hujumi, Man-in-the-middle attack) mavjudki, ularni amalga oshishi uchun foydalanuvchi “ishtirok”i talab etiladi (4-rasm). 4-rasmda agar foydalanuvchi xavfsiz holatni tanlasa (Вернуться к безопасной странице) hujum amalga oshmaydi. Biroq, foydalanuvchi tomonidan xavfsiz bo’lmagan tanlov (Перейти на сайт …. (небезопасно)) amalga oshirilganida hujum muvaffaqiyatli tugaydi. Boshqacha aytganda, yuqori xavfsizlik 14 darajasiga ega protokoldan foydalanilganda ham foydalanuvchining noto’g’ri harakati sababli xavfsizlik buzilishi mumkin [13]. Endi parolga asoslangan autentifikasiya usulini ko’rib chiqaylik. Odatda foydalanuvchilar esda saqlash oson bo’lgan parollardan foydalanishga harakat qiladilar. Biroq, bunday yo’l tutish buzg’unchi uchun parollarni taxminlab topish imkoniyatini oshiradi. Boshqa tomondan esa, murakkab parollardan foydalanish va ularni turli eltuvchilarda saqlash (masalan, qog’ozda qayd etish) esa, ushbu muammoni yanada oshirib yuboradi. Bu misollar inson omil tufayli turli joylar va holatlarda xavfsizlik muammolari kelib chiqishi mumkinligini ko’rsatadi. Inson omili tufayli yuzaga keladigan xavfsizlik muammolariga ko’plab misollar keltirish mumkin. Biroq, keltirilgan holatlardagi eng muhim jixat shundaki, xavfsizlik nuqtai nazaridan “tenglamadan” inson omilini olib tashlash zarur. Boshqacha aytganda, inson omili ishtirok etmagan tizimlar ishtirok etgan tizimlarga nisbatan xavfsizroq bo’ladi.
|
| |
