Axborot xavfsizligining asosiy tushunchalari. Axborot himoyasi
va uning turlari.
REJA
1. Axborot xavfsizligi muammosi
2. Fakt va raqamlar.
3. Axborot xavfsizligini ta'minlash yo’nalishlari
4. Amaliy tavsiyalar
5. Simmetrik va nosimmetrik kriptografik tizimlar
6. Kriptotizimlar asosida tuzilgan aloqa tarmog'ida foydalaniladigan
kalitlar soni.
7. Simmetrik va nosimmetrik kriptotizimlardan birga foydalanish
amaliyoti.
1. Axborot xavfsizligi muammosi
Internet texnologiyalarining yaratilishi turli manbalardan tez va oson yo'l bilan
axborot olish imkoniyatlarini hamma uchun-oddiy fuqarodan tortib yirik
tashkilotlargacha misli ko'rilmagan darajada oshirib yubordi. Davlat muassasalari,
fan-ta'lim muassasalari, tijorat korxonalari va alohida shaxslar axborotni elektron
shaklda yaratib-saqlay boshladilar. Bu muhit avvalgi fizikaviy saqlashga nisbatan
katta qulayliklar tug'diradi: saqlash juda ixcham, uzatish esa bir onda yuz beradi va
tarmoq orqali boy ma'lumotlar bazalariga murojaat qilish imkoniyatlari juda keng.
Axborotdan samarali foydalanish imkoniyatlari axborot miqdorining tez
ko'payishiga olib keldi. Biznes qator tijorat sohalarida bugun axborotni o'zining
eng qimmatli mulki deb biladi. Bu albatta ommaviy axborot va hamma bilishi
mumkin bo'lgan axborot haqida gap borganda o'ta ijobiy hodisa. Lekin
pinhona(konfidentsial) va maxfiy axborot oqimlari uchun Internet texnologiyalari
qulayliklar bilan bir qatorda yangi muammolar keltirib chiqardi. Internet muhitida
axborot xavfsizligiga tahdid keskin oshdi:
Axborot o'g'irlash
Axborot mazmunini buzib qo'yish, egasidan iznsiz o'zgartirib qo'yish
Tarmoqqa va serverlarga o'g'rincha suqulib kirish
Tarmoqqa tajovuz qilish: avval qo'lga kiritilgan transaktsiya(amallarning yaxlit
ketma-ketligi)larni qayta yuborish, "xizmatdan yo axborotga daxldorlikdan bo'yin
tovlash" , jo'natmalarni ruxsat berilmagan yo'l orqali yo'naltirish.
Axborot xavfsizligini ta'minlash quyidagi uch asosiy muammoni yechishni nazarda
tutadi. Bular:
Pinhonalik(Confidentiality)
Butunlik(Integrity)
Qobillik(Availability)
2. Fakt va raqamlar.
AQSH dagi kompyuter xavfsizligi instituti va FBR tomonidan kompyuter
jinoyatlari bo'yicha 1999 yilda o'tkazilgan so'rov natijalariga ko'ra so'rovda
qatnashgan tashkilotlarning 57 foyizi Internet bilan ulanish joyi "ko'pincha
tajovuzlar tashkil etiladigan joy" deb, 30 foyizi ularning tarmog'iga suqulib kirish
yuz berganini, 26 foyizi esa tajovuz vaqtida pinhona axborotni o'g‘irlash sodir
bo'lganini ma'lum qilishgan. AQSH kompyuter jinoyatlariga qarshi kurash Federal
markazi - FedCIRC ma'lumotlariga ko'ra 1998 yilda 1100000 kompyuterli 130000
ga yaqin davlat tarmoqlari tajovuzga duchor bo'lgan.
"Kompyuter tajovuzi" deganda kishilar tomonidan kompyuterga beruxsat kirish
uchun maxsus dasturni ishga tushirishni nazarda tutiladi. Bunday tajovuzlarni
tashkil etish shakllari har xil. Ular quyidagi turlarga bo'linadi
Kompyuterga olisdan kirish: Internet yoki intranetga kimligini bildirmay kirishga
imkon beruvchi dasturlar
O'zi ishlab turgan kompyuterga kirish: kompyuterga kimligini bildirmay kirish
dasturlari asosida.
Kompyuterni olisdan turib ishlatmay qo'yish: Internet (yo tarmoq) orqali olisdan
kompyuterga ulanib, uning yoki uni ayrim dasturlarining ishlashini to'xtatib
qo'yuvchi dasturlar asosida(ishlatib yuborish uchun kompyuterni qayta ishga solish
yetarli).
O'zi ishlab turgan kompyuterni ishlatmay qo'yish: ishlatmay qo'yuvchi dasturlar
vositasida. Tarmoq skanerlari: tarmoqda ishlayotgan kompyuter va dasturlardan
qay biri tajovuzga chidamsizligini aniqlash maqsadida tarmoq haqiqatda axborot
yig'uvchi dasturlar vositasida.
Dasturlarning tajovuzga bo'sh joylarini topish: Internetdagi kompyuterlarning katta
guruhlari orasidan tajovuzga bardoshsizlarini izlab qarab chiquvchi dasturlar
vositasida.
Parol ochish: parollar fayllaridan oson topiladigan parollarni izlovchi dasturlar
vositasida.
Tarmoq tahlilchilari (snifferlar): tarmoq trafikini tinglovchi dasturlar vositasida.
Ularda foydalanuvchilarning nomlarini, parollarini, kredit kartalari nomerlarini
trafikdan avtomatik tarzda ajratib olish imkoniyati mavjud.
Eng ko'p yuz beradigan tajovuzlar quyidagi statistikaga ega:
1998 yili NIST tomonidan o'tkazilgan 237 kompyuter tajovuzining tahlili
Internetda e'lon qilingan:
29 % tajovuzlar Windows muhitida yuz bergan.
Saboq: Faqat Unixgina xatarli emas ekan.
20%
tajovuzlarda
tajovuz
qilganlar
olisdan
turib
tarmoq
elementlari(marshrutlovchilar, kommutatorlar, xostlar, printerlari brandmauer)
gacha yetib borganlar.
Saboq: xostlarga olisdan turib bildirmay kirish bot-bot yuz beradi.
5% tajovuzlar marshrutlovchilarga va brandmauerlarga qarshi muvaffaqiyatli
bo'lgan.
Saboq: Internet tarmoq infrastrukturasi tashkil etuvchilarining kompyuter
tajovuzlariga bardoshi yetarli emas.
4% tajovuzlarda Internetda tajovuzga bardoshi bo'sh xostlarni topish uchun
uyushtirilgan.
Saboq: Tizim administratorlarining o'zlari o'z xostlarini muntazam skanerlab
turganlari ma'qul.
3% tajovuzlar web-saytlar tomonidan o'z foydalanuvchilariga qarshi uyushtirilgan.
Saboq WWWda axborot izlash xavfsiz emas.
Internetda 1999 y. mart oyida eng ommaviy bo'lgan kompyuter tajovuzlari .
Sendmail(eng eski dastur), ICQ(murakkab "Sizni izlayman"dasturi, undan 26
millionga yaqin kishi foydalanadi), Smurf(ping- paketlar bilan ishlaydigan dastur),
Teardrop(xatolarga sezgir dastur), IMAP(pochta dasturi), Back Orifice(troyan ot,
Windows 95/98ni olisdan boshqarish uchun), Netbus( Back Orifice ga o'xshash),
WinNuke (Windows 95ni to'la to'xtatib qo'yaoladi )i Nmap(skanerlovchi dastur)
bilan bo'lgan.
WinNuke, Papa Smurf i Teardrop dasturlari vositasida niyati buzuq kimsalar
sizning kompyuteringizga tajovuz qilib ziyon yetkazishlari mumkin.
3. Axborot xavfsizligini ta'minlash yo'nalishlari
NIST 7498-2 xalqaro standarti asosiy xavfsizlik xizmatlarini belgilaydi. Uning
vazifasiga ochiq tizimlar aloqasi modelining xavfsizlik yo’nalishlarini aniqlash
kiradi. Bular:
Autentifikatsiya. Kompyuter yo tarmoq foydalanuvchisining shaxsini tekshirish;
Kirishni boshqarish(Access control). Kompyuter tarmog‘idan foydalanuvchining
ruxsat etilgan kirishini tekshirish va ta’minlash;
Ma’lumotlar butunligi. Ma’lumotlar massivi mazmunini tasodifiy yo qasddan
beruxsat
usullar
bilan
o‘zgartirishlarga
nisbatan
tekshirish;
Axborot pinhonaligi. Axborot mazmunini iznsiz oshkor bo‘lishdan himoyalash
Inkor eta olinmaslik(Neoproverjimost). Ma’lumotlar massivini jo‘natuvchi
tomonidan uni jo‘natganligini yoki oluvchi tomonidan uni olganligini tan olishdan
bo‘yin tovlashining oldini olish.
Ko‘plab qo‘shimcha xizmatlar (audit, kirishni ta’minlash) va qo‘llab-quvvatlash
xizmatlari (kalitlarni boshqarish, xavfsizlikni ta’minlash, tarmoqni boshqarish)
mazkur asosiy xavfsizlik tizimini to‘ldirishga xizmat qiladi. Web tugunining to‘la
xavfsizlik tizimi barcha yuqorida keltirilgan xavfsizlik yo’nalishlarini qamrab
olgan bo’lishi shart. Bunda tegishli xavfsizlik vositalari (mexanizmlari) dasturiy
mahsulotlar tarkibiga kiritilgan bo‘lishi lozim.
Autentifikatsiyalashni takomillashtirish qayta ishlatiladigan parollarga xos
kamchiliklarni bartaraf etishni, shu maqsadda bir martagina ishlatiladigan parol
tizimidan tortib identifikatsiyalashning yuqori texnologik biometrik tizimlarigacha
qo‘llashni nazarda tutadi. Foydalanuvchilar o‘zlari bilan olib yuradigan predmetlar,
masalan, maxsus kartochkalar, maxsus jeton yoki disketa ancha arzon ham xavfsiz.
Noyob, modul kodi himoyalangan dastur moduli ham bu maqsadlarda qulay.
Oshkor kalitlar infratuzilmasi ham Web – tugun xavfsizligining ajralmas qismi.
Autentifikatsiya, ma’lumot butunligi va axborot pinhonaligi(konfidentsialligi)ni
ta’minlash uchun ishlatiladigan taqsimlashga n tizim(odamlar, kompyuterlar),
Ochiq kalit infrastrukturali (sertifikat nashrchisi) elektron sertifikatni e’lon qiladi.
Unda foydalanuvchi identifikatori, uning ochiq kaliti, xavfsizlik tizimi uchun
qandaydir qo‘shimcha axborot va sertifikat nashr etuvchisining raqamli imzosi bor.
Ideal variantda bu tizim Yer yuzining har qanday ikki nuqtasidagi foydalanuvchi
uchun sertifikatlar zanjirini tuzib beradi. Bu zanjircha kimgadir maxfiy xatni
imzolash, hisob bo‘yicha pul o‘tkazish yoki elektron kontrakt tuzish uchun, boshqa
kishi uchun – hujjat manbaini va imzolovchi shaxsning aslini tekshirib bilish
imkonini beradi. NIST bir necha boshqa tashkilotlar bilan bu yo‘nalishda ish olib
bormoqda.
Internetga ulangan tarmoqlar xakerlarning tajovuzi tufayli ochiq muloqotga xalal
bersa xam brandmauerlar o‘rnatib oldilar.
PGP ga o‘xshash mukammal dasturlar bo‘lmaganda ochiq tarmoq bo‘lishi ham
mumkin bo‘lmas edi.
4. Amaliy tavsiyalar
Tarmoqni kompyuter tajovuzlaridan himoyalash doimiy va o'z-o'zidan
yechilmaydigan masaladir. Lekin qator oddiy himoya vositalari yordamida
tarmoqqa suqulib kirishlarning ko'pchiligini oldini olish mumkin. Masalan yaxshi
konfiguratsiyalangan
tarmoqlararo
ekran
va
harbir
ish
stantsiyalari(kompyuterlar)da o'rnatilgan virusga qarshi dasturlar ko'pchilik
kompyuter tajovuzlarini barbod etadi.
Quyida Intranetni himoyalash bo'yicha 14 amaliy tavsiya bayon etilgan.
Xavfsizlik siyosati lo'nda va aniq qo'yilishi lozim. Intranet tarmog‘i xavfsizligi
bo‘yicha yorqin va sobit qadamlik bilan qo‘yilisini ta'minlaydigan qoidalar va
amallar bo’lishi lozim.
Tarmoq xavfsizligi tizimi uning eng bo'sh joyi qanchalik kuchli himoyalangan
bo'lsa shu qadar kuchlidir. Agar bir tashkilot doirasida turli xavfsizlik siyosatlariga
ega bo'lgan bir necha tarmoq mavjud bo'lsa bir tarmoq boshqa tarmoqning yomon
xavfsizligi tufayli obro'sini yo'qotishi mumkin. Tashkilotlar shunday xavfsizlik
siyosatini qabul qilishlari lozimki, kutilgan himoya darajasi hamma yerda bir xil
amalga oshsin. Siyosatning eng ahamiyatli tomoni brandmauerlar orqali
o'tkaziladigan trafiklarga yagona talab ishlab chiqilishidir. Shuningdek siyosat
tarmoqda qaysi himoya vositalari (masalan, tajovuzlarni payqash vositalarimi yoki
qaltis joylar skanerlarimi)va ular qanaqa ishlatilishi lozimligini belgilashi, yagona
xavfsizlik darajasiga erishish uchun kompyuterlarning har xil turlari uchun standart
xavfsiz konfiguratsiyalar belgilanishi shart.
Brandmauer (Tarmoqlararo ekran, inglizcha-firewalls,) qo'llash lozim. Bu
tashkilotning eng asosiy himoya vositasidir. Tarmoqqa kiruvchi, undan chiquvchi
trafik(axborot oqimi)ni nazorat qiladi. U trafikning biror turini to'sib qo'yishi yo
tekshirib turishi mumkin. Yaxshi konfiguratsiyalangan bradmauer kompyuter
tajovuzlarining ko'pchiligini qaytarishi mumkin. brandmauerlar, intellektual
kartalar va boshqa texnikaviy-dasturiy himoya vositalaridan oqilona foydalanish
lozim.
Brandmauer va WWW-serverlarni ularning ishini to'xtatib qo'yish tahdidlariga
qarshi bardoshliligini testdan o'tkazib turish lozim. Internetda kompyuterning
ishini to'xtatib qo'yishga yo'naltirilgan tajovuzlar tarqalgan. Tajovuzkorlar doimo
WWW-saytlarni ishdan chiqaradilar, kompyuterlarni ortiq vazifalar bilan yuklab
qo'yadilar yoki tarmoqlarni ma'nosiz paketlar bilan to'ldirib tashlaydilar. Bu
turdagi tajovuzlar juda jiddiy bo'lishi mumkin, ayniqsa tajovuzkor davomli
tajovuzlarni uyushtirish darajasida aqlli bo'lsa. Chunki buning manbaini topib
bo'lmaydi. Xavfsizligi haqida qayg'iruvchi tarmoqlar bunday tajovuzlardan
ko'riladigan zararni chamalab ko'rish uchun o'zlariga o'zlari tajovuzlarni
uyushtirishlari mumkin. Bunday tahlillarni faqat katta tajribaga ega tizim
administratorlari yoki maxsus maslahatchilar o'tkazishi maqsadga muvofiq.
Kriptotizimlardan keng foydalanish lozim. Tajovuzkorlar ko'pincha tarmoqqa
uning ahamiyatga molik joylaridan o'tuvchi trafigini tinglash orqali trafikdan
foydalanuvchilarni va ularning parollarini ajratib olish yordamida suqulib kiradilar.
Shuning uchun olisdagi mashinalar bilan bog'lanishlar parol bilan himoyalanganda
shifrlanishi shart. Bu ayniqsa, bog'lanish Internet kanallari orqali amalga
oshirilganda yoki ahamiyatli server bilan bog'lanilganda zarur. TCP/IP (eng
mashhuri SSH) trafigini shifrlash uchun tijoratli va bepul dasturlar mavjud.
Bulardan foydalanish tajovuzlarning oldini oladi. Internet muhit bilan birlashgan
Intranetda axborot oqimini va resurslarni eng ishonchli himoyalash vositasi–
nosimmetrik va simmetrik kriptotizimlardan birgalikda foydalanishdir.
Kompyuterlarni xavfsizlik nuqtai-nazaridan savodxonlarcha konfiguratsiyalash
kerak. Kompyuterda amal tizimlari yangitdan o'rnatilganda ko'pincha tajovuzlarga
qaltis bo'ladilar.Buning sababi amal tizimi dastlab o'rnatilganda barcha tarmoq
vositalaridan foydalanishga ruhsat beriladi va ulardan to'g'ri foydalaniladi deb
bo'lmaydi. Bu tajovuzkor uchun mashinaga tajovuz uyushtirishda ko'p usullardan
foydalanishga yo'l ochadi. Shuning uchun barcha zarur bo'lmagan tarmoq vositalari
kompyuterdan uzib qo'yilishi lozim.
Dasturiy ta'minotga tuzatishlarni operativ kiritishni tartibga solish(Patching).
Kompaniyalar bot-bot o'z dasturlarida topilgan xatolarni yo'qotish uchun
tuzatishlar kiritib boradilar. Agar bu xatolar tuzatilmasa tajovuzkor undan
foydalanib dasturingizga va u orqali kompyuteringizga tajovuz uyushtirishi
mumkin. Tizim administratorlari avvalo o'zlarining eng zarur tizimlaridagi
dasturlarga tuzatishlarni o'rnatib zarur xostlarni himoyalashlari zarur. Chunki
tuzatishlar tez-tez yuzaga kelib turadi va ularni barcha kompyuterlarda o'rnatib
chiqishga ulgurmay qolish mumkin. Odatda tuzatishlar faqat dastur ishlab
chiqargan korxonadangina olinishi shart.
Intranet-tarmoq xavfsizligida uchratilgan defektlarni albatta tuzatish.
Shuning bilan birga quyida keltirilgan boshqa himoya vositalaridan ham
foydalanishlari zarur.
Tajovuzni payqash vositalari (Intrusion Detection)dan foydalanish lozim.
Tajovuzni payqash tizimlari tajovuzlarni operativ payqab aniqlaydilar. Tarmoq
ichkarisidan bo'ladigan tajovuzlarni payqash uchun ular brandmauer orqasiga
qo'yiladi, branmauerga bo'ladigan tajovuzlarni aniqlash uchun esa- uning oldiga
o'rnatiladi. Bunday vositalar turli imkoniyatlarga ega. Quyidagi saytdan bu xaqda
qo'shimcha
ma'lumotlar
olish
mumkin.
http://www.icsa.net/services/consortia/intrusion/educational_material.shtml
Viruslar va "troyan ot" dasturlarini o'z vaqtida payqashga intilish kerak. Harqanday
tarmoqning xavfsizligi uchun virusga qarshi dasturlar himoyaning ajralmas
qismidir. Ular kompyuter ishini nazorat qilib zarar keltiruvchi dasturlarni topib
beradilar. Ular tufayli yuzaga keladigan yagona muammo shundaki, himoya
maksimal samara berishi uchun ular tarmoqning barcha kompyuterlariga
o'rnatilgan bo'lishlari va muntazam yangilanib turilishlari shart. Buning uchun ko'p
vaqt ketadi, lekin aks holda vosita kutilgan samarani bermaydi. Kompyuterdan
foydalanuvchilarga buni qanday amalga oshirishni o'rgatib qo'yish kerak, ammo
faqat ularga bu ishni to'la topshirib qo'ymaslik zarur. Virusga qarshi dasturlar bilan
bir qatorda pochta serverida elektron xatlarga ilovalarni skanerlash ham lozim. Bu
yo'l bilan foydalanuvchilar kompyuteriga yetib borishi mumkin bo'lgan
viruslarning yo'li to'siladi.
Bardoshi bo'sh joylarni skanerlab turish lozim. Bunday skanerlovchi dasturlar aniq
biror turdagi tajovuzlarga qaltis (bardoshi bo'sh)kompyuterlarni topish uchun
tarmoqni skanerlaydi. Ular qaltis joylar haqida kattagina ma'lumotlar bazasiga ega
bo'lib, undan u yo boshqa kompyuterda qaltis joy bor-yo'qligini topishda
foydalaniladi. Tijoratli va bepul skanerlar mavjud. Tizim administratorlari davriy
tarzda bunday dasturlarni o'zlarining tarmoqlariga nisbatan o'z vaqtida bardoshi
bo'sh kompyuterlarni o'zlari topib tegishli chora ko'rib qo'yishlari lozim.
Alohida qurilmalarni himoyasidagi zaif bo‘g‘inlarni payqab olish uchun qaltislik
darajasini baholash lozim.
Tarmoq topologiyasini aniqlash va port skanerlarini ishga solib turish lozim.
Bunday dasturlar tarmoq qanday tuzilganligi, unda qanaqa kompyuterlar ishlashi,
har bir mashinada qanday xizmatlar bajarilishii haqida to'la manzarani ochib
beradi. Hujumkorlar bu dasturlarni qaltis kompyuterlar va dasturlarni aniqlash
uchun ishga soladilar. Tarmoq administratorlari ham bunday dasturdan ularning
tarmoqlarida qanday dasturlar qaysi kompyuterlarda ishlayotganini aniqlashtirish
uchun foydalanadilar. Noto'g'ri konfiguratsiyalangan kompyuterlarni topib ularga
tuzatishlar kiritish uchun bu yaxshi vositadir.
Parol ochuvchilar (Password Crackers)ni ishlatib turish lozim. Xakerlar ko'pincha
parollar bilan shifrlangan fayllarni o'g‘irlash uchun kompyuterlarning bardoshi
bo'sh joylaridan foydalanishga intiladilar. So'ngra parol ochuvchi maxsus
dasturlarni ishga soladilar va ular orqali shu shifrlangan fayllardagi bardoshi bo'sh
parollarni topib oladilar. Bunday parol qo'lga kirishi bilan kompyuterga odatdagi
foydalanuvchi kabi kompyuterga va tarmoqqa bildirmay kirishning turli
usullaridan foydalanadilar. Garchi bu vosita niyati buzuq kimsalar tomonidan
ishlatilsa ham bu tizim administratori uchun ham foydalidir. Tizim
administratorlari davriy tarzda bunday dasturlarni o'zlarining shifrlangan fayllariga
nisbatan o'z vaqtida bardoshi bo'sh parollarni o'zlari topib tegishli chora ko'rib
qo'yishlari lozim.
Jangovor muloqot o'rnatuvchilar(war dialer)ga nisbatan ziyrak bo'lish lozim.
Foydalanuvchilar ko'pincha tashkilot tarmog'i himoyasi vositalarini chetlab o'tib
o'z kompyuterlariga keladigan telefon qo'ng'iroqlari qabul qilib olishga ruxsat
beradilar. Ular ba'zan Ishdan qaytish oldidan modemni ulab kompyuterni uydan
turib modem orqali unga ulanib tarmoqdan foydalanishni ko'zlab o'z dasturlarini
shunga sozlab ketadilar. Tajovuzkorlar jangovar muloqot o'rnatuvchi dasturlardan
foydalanib ko'plab telefon nomerlariga qo'ng'iroq qilib ko'radilar va shu tariqa
chetdan modem orqali kirishga yo'l qoldirgan bunday tarmoqlarga suqulib kirib
tajovuz uyushtiradilar. Foydalanuvchilar ko'pincha o'z kompyuterlarini o'zlari
konfiguratsiyalashlari tufayli bunday kompyuterlar tajovuzlardan yomon
himoyalangan bo'ladilar va tarmoqqa tajovuz qilishga yana bitta imkoniyat
tug'diradilar. Tizim administratorlari jangovor muloqot o'rnatuvchilardan
muntazam suratda foydalanib o'z foydalanuvchilarining telefon raqamlarini
tekshirib turishlari va unga mos qilib konfiguratsiyalangan kompyuterlarni o'z
vaqtida topib chorasini ko'rishlari lozim. Tijoratli va bepul tarqaltiladigan jangovor
muloqot o'rnatuvchi dasturlar mavjud.
Xavfsizlikka oid tavsiyalar (security advisories)dan o'z vaqtida xabordor bo'lib,
ularga amal qilish lozim. Xavfsizlikka oid tavsiyalar – kompyuter jinoyatlariga
qarshi kurash guruhlari va dastur ishlab chiqaruvchilar tomonidan yaqin orada
payqalgan dasturning qaltis joylari haqida e'lon qilinadigan ogohlantirishlar.
Tavsiyalar juda foydali bo'lib, o'qish uchun juda kam vaqt oladi va payqab
qolingan qaltis joylar tufayli yuzaga kelishi mumkin bo'lgan eng jiddiy xavf-
xatarlardan ogoh etadi. Ular xavf-xatarni ifodalab uning oldini olish uchun
maslahatlar beradi. Ularni qator joylardan olish mumkin. Ikkita eng foydali bo'lgan
tavsiyalar kompyuter jinoyatlariga qarshi kurash guruhi e'lon qilib turadigan
tavsiyalar bo'lib CIAC va CERT saytlaridan olish mumkin.
Xavfsizlik bilan bog'liq hodisalarni tekshirish guruhi muntazam faoliyat olib
borishi lozim. Har qanday tarmoqda ham xavfsizlik billan bog'liq hodisalar sodir
bo'lib turadi(yolg'on trevoga bo'lsa ham). Tashkilot xizmatchilari avvaldan u yo bu
holda nima qilishni bilishlari shart. Qaysi hollarda huquqiy-himoya organlariga
murojaat qilish kerak, qaysi hollarda kompyuter jinoyatlariga qarshi kurash
guruhini chaqirish va qaysi hollarda tarmoqni Internetdan uzib qo'yish kerak va
ahamiyatli serverning qulfi buzilganda nima qilish kerak. CERT AQSH doirasida
bu borada maslahatlar beradi. FedCIRC AQSH jamoat va davlat tashkilotlariga
maslahatlar berish uchun mas'uldir. Harbir davlatda bunday maslahat olish joylari
bo'lishi maqsadga muvofiqdir.
Kompyuter tajovuzlariga oid qo'shimcha ma'lumotlar tajovuz uyushtirish
mo'ljallangan ayrim dasturlarga bag'ishlangan quyidagi maqola dan topilishi
mumkin.
Kompyuter xavfsizligi bo'yicha umumiy axborot quyidagi manzillardan olinishi
mumkin:
NIST Computer Security Resource Clearinghouse
Federal Computer Incident Response Capability
Center for Education and Research in Information Assurance and Security
Carnegie Mellon Emergency Response Team
Bugungi kunda axborot xavfsizligini ta'minlashda an'anaviy qo'llanilib kelingan
yondoshuvlar va vositalar yetarli bo'lmay qoldi. Bunday sharoitda axborot
himoyasining eng ishonchli va sinalgan usuli bo'lgan kriptografiyaning ahamiyati
yanada oshdi. Quyida Internet va Intranetda axborot himoyasining kriptologiya
yo'nalishi haqida batafsil to'xtalamiz.
5. SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR
Kriptografik tizim, yo qisqacha, kriptotizim shifrlash ham shifrni ochish
algoritmlari, bu algoritmlarda ishlatiladigan kalitlar, shu kalitlarni boshqaruv tizimi
hamda shifrlanadigan va shifrlangan matnlarning o'zaro bog'langan majmuasidir.
Kriptotizimdan foydalanishda matn egasi shifrlash algoritmi va shifrlash kaliti
vositasida avvalo dastlabki matnni shifrlangan matnga o'giradi. Matn egasi uni o'zi
foydalanishi uchun shifrlagan bo'lsa (bunda kalitlarni boshqaruv tizimiga hojat
ham bo'lmaydi ) saqlab qo'yadi va kerakli vaqtda shifrlangan matnni ochadi.
Ochilgan matn asli (dastlabki matn)ga aynan bo'lsa saqlab qo'yilgan axborotning
butunligiga ishonch hosil bo'ladi. Aks holda axborot butunligi buzilgan bo'lib
chiqadi. Agar shifrlangan matn undan qonuniy foydalanuvchiga(oluvchiga)
mo'ljallangan bo'lsa u tegishli manzilga jo'natiladi. So'ngra shifrlangan matn
oluvchi tomonidan unga avvaldan ma'lum bo'lgan shifr ochish kaliti va algoritmi
vositasida dastlabki matnga aylantiriladi.
Bunda kalitni qanday hosil qilish, aloqa qatnashchilariga bu kalitni maxfiyligi
saqlangan holda yetkazish, va umuman, ishtirokchilar orasida kalit uzatilgunga
qadar xavfsiz aloqa kanalini hosil qilish asosiy muammo bo'lib turadi. Bunda yana
boshqa bir muammo – autentifikatsiya muammosi ham ko'ndalang bo'ladi. Chunki:
Dastlabki matn(xabar) shifrlash kalitiga ega bo'lgan kimsa tomonidan shifrlanadi.
Bu kimsa kalitning haqiqiy egasi bo'lishi ham, begona (mabodo kriptotizimning
siri ochilgan bo'lsa) bo'lishi ham mumkin.
Aloqa ishtirokchilari shifrlash kalitini olishganda u chindan ham shu kalitni
yaratishga vakolatli kimsa tomonidan yo tajovuzkor tomonidan yuborilgan bo'lishi
ham mumkin.
Bu muammolarni turli kriptotizimlar turlicha hal qilib beradi.
Kriptotizimda axborotni shifrlash va uning shifrini ochishda ishlatiladigan
kalitlarning bir-biriga munosabatiga ko'ra ular bir kalitli va ikki kalitli tizimlarga
farqlanadilar. Odatda barcha kriptotizimlarda shifrlash algoritmi shifr ochish
algoritmi bilan aynan yo biroz farqli bo'ladi. Kriptotizimning ta'bir joiz bo'lsa
"qulfning" bardoshliligi algoritm ma'lum bo'lgan holda faqat kalitning himoya
xossalariga, asosan kalit axborot miqdori(bitlar soni)ning kattaligiga bog'liq deb
qabul qilingan.
Shifrlash kaliti shifr ochish kaliti bilan aynan yo ulardan biri asosida ikkinchisi
oson topilishi mumkin bo'lgan kriptotizimlar simmetrik(sinonimlari: maxfiy kalitli,
bir kalitli) kriptotizim deb ataladi.
Bunday kriptotizimda kalit aloqaning ikkala tomoni uchun bir xil maxfiy va
ikkovlaridan boshqa hech kimga oshkor bo'lmasligi shart.
Bunday tizimning xavfsizligi asosan yagona maxfiy kalitning himoya xossalariga
bog'liq.
Simmetrik kriptotizimlar uzoq o'tmishga ega bo'lsa-da, ular asosida olingan
algoritmlar kompyuterlardagi axborotlarni himoyalash zarurati tufayli ba'zi
davlatlarda standart maqomiga ko'tarildilar. Masalan, AQSHda ma'lumotlarni
shifrlash standarti sifatida 56 bitli kalit bilan ishlaydigan DES(Data Encryption
Standart) algoritmi 1977 yilda qabul qilingan. Rossiya(sobiq SSSR)da unga
o'xshash standart (GOST 28147-89) sifatida 128 bitli kalit bilan ishlaydigan
algoritm 1989 yilda tasdiqlangan. Bular dastlabki axborotni 64 bitli bloklarga
bo'lib alohida yoki bir-biriga bog'liq holda shifrlashga asoslanganlar.
Algoritmlarning matematikaviy asosida axborot bitlarini aralashtirish, o'rniga
qo'yish, o'rin almashtirish va modul bo'yicha qo'shish amallari yotadi. Unda kirish
va chiqishdagi matnlarning axborot miqdorlari deyarli bir xil bo'ladi.
Simmetrik kriptotizimni ishlashini bu kungi davrimizning Kumush va Otabeklari
orasida elektron maktublar almashish misolida ko'rib chiqamiz. pinhona aloqaga
nisbatan tajovuzkor shaxsni Homid deb ataymiz.
Faraz qilaylikki, Otabek Kumushga pinhona maktub yo'llamoqchi. Ular orasida
aloqa boshlanguncha o'zlarining yagona o'zaro maxfiy kalit K nusxalarini bir-
birlariga berib, maktubni faqat shifrlangan shaklda yuborishga kelishib qo'ygan
edilar. Otabek Kumushga m maktubini yozib, uni K kaliti bilan shifrlaydi. Natijada
m maktubi shifrlangan matn C ga aylanadi. So'ngra Otabek shifrlangan maktubni
elektron pochta orqali Kumushga jo'natadi. Kumush shifrlangan maktub C ni qabul
qilib olgach uni o'zidagi o'zaro maxfiy kalit K bilan uning shifrini ochib Otabek
yozgan m maktubiga aylantirib uni o'qiydi.
| 