|
-BOB. Tahdid va shaxsiy ma'lumotlarni himoya qilish tizimlarini tahlil qilish
|
bet | 2/8 | Sana | 13.06.2024 | Hajmi | 0,85 Mb. | | #263439 |
Bog'liq Axmadaliyev Ulugbek1-BOB. Tahdid va shaxsiy ma'lumotlarni himoya qilish tizimlarini tahlil qilish.
Shaxsiy ma'lumotlarni himoya qilish tizimlarini qurishning umumiy printsipi.
Shaxsiy ma'lumotlarni himoya qilish talablarini ishlab chiqishda ularni himoya qilish tizimlarini qurishning umumiy tamoyillarini hisobga olish kerak, chunki Talablar ular ishlab chiqilayotgan axborot tizimiga moslashtirilishi kerak.
1. Ma'lumotlarni himoya qilish quyi tizimi (PS).
Dasturiy ta'minot quyidagi funktsiyalarni amalga oshiradi.
1.1. Kirish avtorizatsiyasi.
ish stantsiyasini ishga tushirish bosqichida foydalanuvchi nomi va parol uchun so'rov amalga oshiriladi. Agar siz to'g'ri nom va parolni kiritsangiz, tizim yuklashni davom ettiradi. Agar nom yoki parol noto'g'ri kiritilgan bo'lsa, ish stantsiyasini yuklash jarayoni to'xtaydi; agar ish stantsiyasiga o'rnatilgan ISA kengaytirish platasi shaklida ishlab chiqarilgan apparat moduli mavjud bo'lsa, foydalanuvchi autentifikatsiya jarayoni operatsion tizim yuklanishidan oldin sodir bo'ladi. Bundan tashqari, foydalanuvchi muvaffaqiyatli autentifikatsiya qilinmaguncha, har qanday turdagi mediadan yuklash mumkin bo'lmaydi.
Shaxsiy ma'lumotlarni himoya qilish tizimlarini qurishda bunday tizimlar 1-rasmda ko'rsatilganidek, quyidagi quyi tizimlarning ishlashini ta'minlashi kerak deb taxmin qilinadi.
Kengaytirish platasi bo'lmagan tizimdan foydalanilganda, autentifikatsiya jarayoni operatsion tizimni yuklash boshlangandan so'ng darhol amalga oshiriladi. Shu bilan birga, operatsion tizimni qattiq diskdan boshqa ommaviy axborot vositalaridan yuklash imkoniyatini butunlay istisno qilish mumkin emas. Agar Smart Card o'quvchi mavjud bo'lsa, foydalanuvchi shaxsiy kartani ko'rsatish orqali aniqlanadi; parallel portga ulangan apparat kalitidan foydalanilganda uning noyob kodi foydalanuvchi identifikatsiyasi uchun ishlatiladi. Ushbu kalitsiz tizim yuklay olmaydi;
Vaqt bo'yicha kirishni avtorizatsiya qilish ham mumkin: haftaning har bir kuni uchun Administrator tizimga kirishga ruxsat beriladigan vaqt oralig'ini belgilashi mumkin. Belgilangan vaqt oralig'idan tashqarida tizimga kirish taqiqlanadi.
1.2. Kirish nazorati.
mahalliy fayllarga. Mahalliy mashinadagi fayllarga foydalanuvchilarning ushbu fayllarga qanday kirishini aniqlaydigan atributlar to'plami beriladi;
tarmoq resurslariga. Har bir foydalanuvchi uchun tarmoq resurslari ro'yxati va ularga kirish atributlari aniqlanadi. Shu bilan birga, kirish atributlari fayl serverida ko'rsatilgan resurslarga kirish ruxsatnomalaridan oshmasligi kerak. Kirish nazorati har qanday turdagi serverlarda joylashgan har qanday turdagi tarmoq resurslari uchun amalga oshiriladi;
printerlarga. Har bir foydalanuvchi tarmoq va mahalliy printerlarga kirishni farqlay oladi; Internet manbalariga. Har bir foydalanuvchi uchun siz kirish taqiqlangan Internet saytlari va sahifalari ro'yxatini saqlashingiz mumkin. Bunday tugunlarni belgilashda siz joker belgilardan foydalanishingiz mumkin, masalan, *kiev.ua; tizim sozlamalariga. Foydalanuvchiga operatsion tizim va uskunalarning konfiguratsiyasini o'zgartirishni taqiqlashga ruxsat beriladi, xususan: tarmoq sozlamalari, apparat, ish stoli, o'rnatilgan ilovalar.
1.3 Ob'ektlarning yaxlitligini nazorat qilish.
Kirish atributlari bilan bir qatorda ushbu ob'ektlarning yaxlitligini boshqarish darajasi ob'ektlar bilan bog'langan: boshqaruv o'chirilgan: ob'ektning yaxlitligi boshqarilmaydi; talab bo'yicha nazorat: ob'ektning yaxlitligi nazorat operatsiyasi foydalanuvchi yoki Administrator tomonidan amalga oshirilgandagina nazorat qilinadi; avtomatik boshqaruv: ob'ektning yaxlitligi tizimning har bir boshlanishida nazorat qilinadi. Bundan tashqari, ob'ektning yaxlitligi buzilganligi aniqlanganda xavfsizlik tizimining har qanday reaktsiyalarini belgilashga ruxsat beriladi:
voqeani qayd etish;
foydalanuvchi ogohlantirishi;
administratorni darhol ogohlantirish;
ishni blokirovka qilish;
2. Elektron hujjat aylanishi.
Xavfsiz elektron hujjat aylanishi mexanizmini amalga oshirish uchun quyidagi funktsiyalar amalga oshiriladi:
foydalanuvchilar, ish stantsiyalari, foydalanuvchilar guruhlari va kompyuterlar, foydalanuvchilar toifalarining xavfsiz ma'lumotlar bazasini yuritish.
har bir foydalanuvchi va foydalanuvchi toifasi uchun bir juft kalit saqlanadi: maxfiy va ommaviy; maxfiy kalit foydalanuvchining paroli bilan himoyalangan;
faylni yuborishda hujjatni oluvchilar foydalanuvchilarining ochiq kalitlari talab qilinadi.
Hujjatni imzolash uchun elektron raqamli imzo qo'llaniladi. Hujjatni imzolash uchun foydalanuvchi o'z parolini kiritadi va shu bilan o'zining maxfiy kalitini hal qiladi.
foydalanuvchi interfeysi kontekst menyusidan fayllarni shifrlash va shifrini ochish, shuningdek, shifrlangan fayllar uchun qo'shimcha xususiyat varaqasi ko'rinishidagi raqamli imzoni tekshirish imkonini beruvchi Windows Explorer kengaytmasi sifatida ishlab chiqilgan.
imzoni tekshirish to'g'ridan-to'g'ri qo'shimcha mulk varag'idan va hujjatning shifrini ochishda amalga oshiriladi.
3. Statik ma'lumotlarni shifrlash.
Quyi tizim quyidagi funktsiyalarni bajaradi:
256 bitli kalit bilan GOST 28147-89 algoritmidan foydalangan holda foydalanuvchi fayllarini shifrlash va parolini hal qilish. Algoritmning bir martalik kaliti har bir shifrlangan fayl uchun psevdo-tasodifiy raqamlar generatori yordamida alohida ishlab chiqariladi;
algoritmni almashtirish jadvali butun tashkilot uchun bir xil bo'lib, markazlashtirilgan ma'lumotlarni saqlash va replikatsiya quyi tizimida (ShK) saqlanadi;
RSA algoritmidan foydalangan holda turli foydalanuvchilar uchun faylga kirishni ajratish uchun kriptografik jihatdan kuchli algoritmni amalga oshirish;
tizimning har bir foydalanuvchisi uchun 1024 bit o'lchamli RSA algoritmining kalitlari juftligi yaratiladi, ular foydalanuvchining ochiq va maxfiy kalitlari deb ataladi;
foydalanuvchining ochiq kaliti shaxsiy kompyuter quyi tizimida saqlanadi;
Tizim konfiguratsiyasiga qarab foydalanuvchining maxfiy kaliti saqlanishi mumkin:
markazlashtirilgan ma'lumotlarni saqlash quyi tizimida;
asosiy ma'lumotlarni saqlash imkonini beruvchi smart-karta, iButton yoki boshqa jismoniy foydalanuvchi identifikatorida;
foydalanuvchi fayli bir martalik kalit yordamida GOST algoritmi tomonidan shifrlangan;
faylga kirish kerak bo'lgan har bir foydalanuvchi uchun bir martalik kalit qabul qiluvchi foydalanuvchining ochiq kalitidan foydalangan holda RSA algoritmi yordamida shifrlanadi; faylga kirish kerak bo'lgan har bir foydalanuvchilar toifasi uchun bir martalik kalit toifaning ochiq kalitidan foydalangan holda RSA algoritmi yordamida shifrlanadi;
fayl uchun ikkita xesh qiymati hisoblanadi - ochiq ma'lumotlar va shifrlangan ma'lumotlar uchun;
4. Ma'lumotlarni dinamik shifrlash.
Dinamik diskni shifrlash tizimi barcha kerakli ma'lumotlarni himoya qilish funktsiyalarini amalga oshirishga imkon beruvchi ko'p funktsiyali murakkab tizimdir. Tizim quyidagi quyi tizimlardan iborat:
virtual disk kontrollerlari va virtual disklar uchun drayverlar to'plami;
shifrlangan disklarni boshqarish, boshqarish va yaratish uchun dastur.
Har bir quyi tizim mustaqil modul yoki modullar guruhi bo'lib, ularning har biri alohida ishlatilishi mumkin, maksimal ta'sir faqat barcha quyi tizimlardan foydalanilganda erishiladi.
|
| |