|
-BOB. Korxonada shaxsiy ma'lumotlarni himoya qilish choralarini ishlab chiqish
|
| bet | 5/8 | | Sana | 13.06.2024 | | Hajmi | 0,85 Mb. | | #263439 |
Bog'liq Axmadaliyev Ulugbek2-BOB. Korxonada shaxsiy ma'lumotlarni himoya qilish choralarini ishlab chiqish.
2.1 LAN va ma'lumotlar bazasini himoya qilish choralari.
Shakl 2. - xavfsizlikni oshiruvchi LAN
LANni himoya qilish uchun uni 4 ta segmentga bo'lish kerak:
1). umumiy tibbiy (faqat to'liq ism, tug'ilgan sana, jins, uy manzili, karta raqami, seriya va siyosat raqami haqida umumiy ma'lumotlarni saqlaydi); 2). maxsus tibbiy (sog'liqni saqlash holati to'g'risidagi ma'lumotlarni , laboratoriya tekshiruvlarini va maxsus toifaga tegishli boshqa shaxsiy ma'lumotlarni saqlaydi); 3). buxgalteriya hisobi va xodimlar (xodimlar to'g'risidagi ma'lumotlarni saqlaydi); 4). umumiy (barcha qolgan tarmoq abonentlari joylashgan). Loyihalashtirilgan tarmoq 2-rasmda ko'rsatilgan.
Tarmoqni tashkil etishdagi o'zgarishlardan so'ng, bir nechta taqsimlangan qismlardan iborat bo'lgan ma'lumotlar bazasini tashkil qilish o'zgaradi. Fayl serverida (SRV2) asosiy maqsadiga qo'shimcha ravishda (turli xil foydalanuvchi fayllarini saqlash) o'zlari va ma'lumotnoma ma'lumotlarini saqlaydigan jadvallardan iborat bo'lgan ma'lumotlar bazasi yaratiladi. Ushbu ma'lumotlar bazasi quyidagilarni o'z ichiga oladi:
Familiyalar, ismlar, otasining ismi haqidagi ma'lumotnomalar;
O'zbekiston sub'ektlari, aholi punktlari, sub'ektlarning ma'muriy-hududiy birliklari, ko'chalar bo'yicha ma'lumotnomalar;
Kasalliklarning xalqaro tasnifi (ICD) bo'yicha diagnostika qo'llanmalari;
Sug'urta kompaniyalarining ma'lumotnomalari (sug'urta kompaniyasining nomi va u chiqaradigan bir qator siyosatlarni o'z ichiga oladi).
Shunday qilib, ushbu ma'lumotlar bazasi faqat shaxsiylashtirilmagan ma'lumotlarni o'z ichiga oladi (jadvallar o'rtasida hech qanday aloqa yo'q).
Umumiy tibbiy ma'lumotni saqlaydigan server (SRV4) quyidagi ma'lumotlarni o'z ichiga oladi:
Karta raqami ;
Tug'ilgan kun;
Qavat;
Familiyasi, ismi, otasining ismi indeksi, yashash joyi;
Ish joyi;
Telefon;
Tibbiy faoliyat uchun zarur bo'lgan, ammo shaxsiy ma'lumotlar bilan bog'liq bo'lmagan boshqa ma'lumotlar.
Barcha indekslar SRV2 ma'lumotnomalaridan olingan bo'lib, natijada muassasa ishiga ziyon etkazmasdan shaxsiy ma'lumotlar miqdorining kamayishiga olib keladi.
Maxsus tibbiy ma'lumotlar serveri (SRV5) quyidagi ma'lumotlarni o'z ichiga oladi:
Karta raqami;
ICD diagnostikasi indeksi;
Salomatlik holati to'g'risida ma'lumot (kasallik tarixi);
Shaxsiy ma'lumotlarning maxsus toifasi bilan bog'liq tibbiy faoliyat uchun zarur bo'lgan boshqa ma'lumotlar.
Barcha indekslar SRV2 kataloglaridan ham olinadi. Jadvallar o'rtasidagi munosabatlar "PD + karta raqami" asosida o'rnatiladi,
Buxgalteriya bo'limi va kadrlar bo'limining ma'lumotlar bazasi xodimlar to'g'risidagi ma'lumotlarning to'liq to'plamini o'z ichiga oladi, chunki ma'lum bir ichki tuzilishga ega dasturiy ta'minot ishlatiladi, masalan, "1C Enterprise". Ushbu dasturiy ta'minot keyingi paragrafda muhokama qilinadi.
Alohida-alohida, SRV2, SRV4 va SRV5 ma'lumotlar bazalari shaxsiy emas, bu oxir-oqibat ISPD sinfini pasaytirish imkonini beradi. Tarqalgan ma'lumotlar bazasini tashkil etishning batafsil diagrammasi ilovada keltirilgan.
Loyihalashtirilgan tarmoq tarmoqning salomatligi va xavfsizligini ta'minlash uchun turli funktsiyalarni bajaradigan turli xil uskunalardan iborat.
SRV2, SRV4, SRV5 serverlari Debian GNU/Linux 5.0 operatsion tizimi tomonidan boshqariladi. Ushbu operatsion tizim Linux yadrosiga asoslangan, barqaror va moslashuvchan operatsion tizim bo'lib, ko'plab arxitekturalarni qo'llab-quvvatlaydi va General Public License (GPL) ostida litsenziyalangan.
MySQL 5.5 DBMS sifatida ishlatiladi. MySQL juda ko'p afzalliklarga ega, jumladan:
Yuqori ishlash. MySQL, shubhasiz, juda tezdir. Ishlab chiqaruvchining ko'rsatkichlarini http://www.mysql.com/why-mysql/benchmarks/ saytida ko'rish mumkin. Ushbu ko'rsatkichlarning aksariyati MySQL raqobatdosh mahsulotlarga qaraganda tezroq kattaroq buyurtma ekanligini ko'rsatadi.
Arzon. MySQL to'plami ochiq kodli dasturiy ta'minot litsenziyasi ostida bepul mavjud yoki agar ilova talab qilsa, tijorat litsenziyasini kichik to'lov evaziga sotib olish mumkin.
Foydalanish qulayligi. Ko'pgina zamonaviy ma'lumotlar bazalari SQL dan foydalanadi. MySQL-ni o'rnatish shunchalik osonki, siz serverni 10 daqiqada ishga tushirishingiz mumkin.
Portativlik. MySQL ko'plab turli UNIX tizimlarida, shuningdek, Microsoft Windows da ishlatilishi mumkin.
SSL qo'llab-quvvatlash. SSL - bu mijoz va server o'rtasida xavfsiz ulanishni ta'minlovchi kriptografik protokol. Protokol TCP/IP-dan foydalangan holda mijoz va server o'rtasida ma'lumotlar almashinuvining maxfiyligini ta'minlaydi va shifrlash uchun assimetrik ochiq kalit algoritmidan foydalaniladi. Ochiq kalitni shifrlash ikkita kalitdan foydalanadi, ularning har biri xabarni shifrlash uchun ishlatilishi mumkin. Shunday qilib, agar bitta kalit shifrlash uchun ishlatilsa, demak, shifrni ochish uchun boshqa kalitdan foydalanish kerak. Bunday vaziyatda ochiq kalitni nashr qilish va maxfiy kalitni sir saqlash orqali xavfsiz xabarlarni olish mumkin.
SSL protokoli ikkita kichik protokoldan iborat: SSL yozish protokoli va qo'l siqish protokoli. SSL yozish protokoli ma'lumotlarni uzatish uchun ishlatiladigan formatni belgilaydi. SSL protokoli birinchi ulanish paytida server va mijoz o'rtasida bir qator xabarlar almashish uchun SSL yozish protokoli yordamida qo'l siqishni o'z ichiga oladi. SSL serverdan SSL sertifikatiga ega bo'lishini talab qiladi.
SSL 3 ta asosiy xususiyatga ega kanalni taqdim etadi:
Autentifikatsiya. Server har doim autentifikatsiya qilinadi, mijoz esa algoritmga qarab autentifikatsiya qilinadi.
Butunlik. Xabarlar butunlikni tekshirishni o'z ichiga oladi.
Kanal maxfiyligi. Shifrlash ulanish o'rnatilgandan so'ng ishlatiladi va barcha keyingi xabarlar uchun ishlatiladi. Trafikni ushlab qolishdan himoya qilishning eng mashhur yechimi SSL yordamida ulanishni shifrlashdir. O'zaro platforma OpenSSL mahsuloti MySQL DBMS, Apache veb-serveri kabi ko'plab muhim dasturlarga integratsiyalashgan. Tarmoqdagi foydalanuvchini markazlashtirilgan autentifikatsiya qilish uchun SAMBA va OpenLDAP, LDAP protokolining ochiq ilovasi yordamida domen yaratiladi. Samba - bu SMB/CIFS protokoli yordamida turli xil operatsion tizimlardagi tarmoq drayverlariga kirish imkonini beruvchi dastur. U mijoz va server qismlariga ega. Bu GPL litsenziyasi ostida chiqarilgan bepul dasturiy ta'minot. Uchinchi versiyadan boshlab, Samba turli xil Microsoft Windows mijozlari uchun fayl va chop etish xizmatlarini taqdim etadi va Windows Server operatsion tizimi bilan asosiy domen boshqaruvchisi, zaxira domen boshqaruvchisi yoki domen a'zosi sifatida integratsiyalashishi mumkin. Bundan tashqari, u Active Directory domenining bir qismi bo'lishi mumkin. LDAP - bu katalog xizmatiga kirish uchun mijoz/server tarmoq protokoli. U dastlab X.500 ga qo'shimcha sifatida ishlatilgan, lekin u mustaqil va boshqa turdagi katalog xizmatlarida ham qo'llanilishi mumkin. Yilni filtrlaydigan xavfsizlik devorlarida trafikni bir tarmoqdan ikkinchisiga etkazish siyosat qoidalari to'plami bilan belgilanadi. Agar qoida ma'lum trafikka aniq ruxsat bermasa, tegishli paketlar xavfsizlik devori tomonidan rad etiladi yoki o'chiriladi. Asosiy xususiyatlar - foydalanuvchining turli xil tarmoq resurslariga kirishini tartibga solish, serverning har bir tarmoq interfeysi orqali o'tadigan IP-trafikni boshqarish. ViPNet Office Firewall-ning asosiy vazifasi serverning har bir interfeysi (tarmoq adapteri) orqali o'tadigan har qanday IP-paketlarni ushlab turish va filtrlash (o'tkazish yoki bloklash)dir. ViPNet Office Firewall Linuxni sozlash har bir adapter uchun odatiy filtrlash qoidasini (xavfsizlik rejimi deb ataladi) tanlash va uni ma'lum protokollar, manzillar va portlar uchun qo'shimcha filtrlar bilan o'zgartirishdan iborat. Bundan tashqari, ViPNet Office Firewall tarmoq manzillarini tarjima qilishni (NAT) qo'llab-quvvatlaydi. Xodimlar haqida PDni saqlash uchun terminalga kirish huquqiga ega sertifikatlangan Windows Server 2008 bilan ishlaydigan server ishlatiladi. Unda "Buxgalteriya hisobi", "Ish haqi va xodimlarni boshqarish" konfiguratsiyasi bilan 1C Enterprise 8.2 o'rnatilgan. Terminal seanslari shifrlash standartlari asosida SSL yordamida kanal shifrlash bilan himoyalangan. Oldingi versiyalar bilan taqqoslaganda, 8.2 identifikatsiya va autentifikatsiya mexanizmlarini, auditni va ma'lumotlarni himoya qilishni amalga oshiradi. Tarmoq hujumlarini aniqlash uchun hujumni aniqlash tizimini (NIDS) o'rnatish tavsiya etiladi. Ular OSI modeli bo'yicha tarmoq darajasida ishlaydi va o'rnatilgan ulanishlarni nazorat qiladi, tarmoq paketlarining tuzilishi va mazmunini tahlil qiladi. NIDS tizimi alohida kompyuterda ham, ajratilgan serverda ham (shlyuz, marshrutizator) o‘tayotgan barcha trafikni tahlil qiladi. Honeypot menejeri hujumni aniqlash tizimi sifatida ishlatiladi. Honeypot Manager maxsus tuzoqlar (sensorlar) yordamida ma'lumotlarni saqlash tizimini (Oracle DBMS yoki fayl serveri) taqlid qiladi, undagi faoliyatni nazorat qiladi va ushbu ma'lumotlarga ruxsatsiz kirish faktlari haqida xabar beradi.
IDS ning ishlash printsipi asal idishi menejer .
Xavfsizlik ma'muri tizimga kim kirishga harakat qilayotgani va hozirda kim harakat qilayotgani haqida ma'lumotga ega, shuningdek, xodim haqiqiy server nomini aralashtirib yuborganmi va tasodifan tuzoqqa tushib qolganmi yoki ataylab harakat qilganmi va tarmoqda haqiqatan ham buzg'unchilar borligini aniqlashi mumkin. kompaniya uchun qimmatli ma'lumotlar bilan ishlaydigan serverlar yoki xizmatlarni topishga harakat qilish.
Mahsulotning asosiy xususiyatlari quyidagilardan iborat:
real ma'lumotlarni saqlash tizimlarini simulyatsiya qilish;
tizim tomonidan taqlid qilingan ma'lumotlarga UA faktlarini aniqlash va ro'yxatdan o'tkazish;
UA ushbu ma'lumotlarga kirishga urinishlari haqida manfaatdor tomonlarni xabardor qilish;
tajovuzkor tomonidan o'zgartirilgan tizimni asl holatiga qaytarish imkoniyati;
ma'lum vaqt oralig'ida tizimning ishlashi to'g'risida hisobotlarni shakllantirish;
bir nechta tuzoqlarni (datchiklarni) markazlashtirilgan boshqarish;
tizim boshqaruviga kirishni avtorizatsiya qilish va nazorat qilish;
ishlash monitoringi mexanizmi (diagnostika);
UA urinishlariga javob berish qoidalarining moslashuvchan konfiguratsiyasi;
haqiqiyga o'xshash simulyatsiya ma'lumotlarini yaratish;
tuzoqlarning (sensorlarning) IP manzillarini davriy o'zgartirish.
Himoya ishonchliligini oshirish uchun har bir tarmoq segmentida problarni (NIDSli kompyuterlar) joylashtirish orqali butun tarmoq arxitekturasini nazorat qilish kerak. Ushbu kompyuterlar server bo'lishi shart emas; NIDS oddiy ish stantsiyasiga o'rnatilishi mumkin.
Prob 1 maksimal potentsial tarmoq xavfi zonasida joylashgan. Bu erda barcha kiruvchi va chiquvchi trafik tahlil qilinadi va ko'p sonli noto'g'ri pozitivlar ehtimoli yuqori. Tarmoq yukining ortishi bilan NIDS butun trafik oqimini qayta ishlay olmaydigan vaziyat yuzaga kelishi mumkin va tahlil usullari, masalan, tekshirilishi kerak bo'lgan imzolar sonini kamaytirish orqali qo'pollashtiriladi.
2,3,4-zondlar nazariy jihatdan eng xavfsiz hudud hisoblangan mahalliy tarmoq trafigini tahlil qiladi. Oddiydan tashqari har qanday tarmoq faoliyatiga e'tibor bering. Ushbu zonada noto'g'ri signallar soni eng kam bo'lishi kerak va shuning uchun tekshiruv hisobotlariga ko'proq e'tibor qaratish lozim.
|
| |
