|
Kiberxavfsizlikning asosiy tushunchalar
|
| bet | 2/15 | | Sana | 18.05.2024 | | Hajmi | 0,6 Mb. | | #243006 |
Bog'liq IAKT kurs ishi Norboyev Qilichbek041.Kiberxavfsizlikning asosiy tushunchalar
Axborotni ishlash, uzatish va to'plashning zamonaviy usullarining rivojlanishi foydalanuvchilar axborotini yo'qolishi, buzilishi va oshkor etilishi bilan bog'liq tahdidlarning ortishiga olib kelmoqda, Shu sababli, kompyuter tizimlari va tarmoqlarida axborot xavfsizligini ta'minlash axborot texnologiyalari rivojining yetakchi yo'nalishlaridan biri hisoblanadi.
Axborot xavfsizligi hayotda mavjud timsollarga asoslanadi. Hayotda qonuniy faoliyat olib boruvchi shaxslar mavjud, ular 1.1-rasmda Alisa va Bob timsolida akslantirilgan. Biroq, hayotda qonuniy faoliyat yurituvchi insonlarning faoliyatiga qiziquvchi, ularning ishlariga xalaqit beruvchi insonlar ham mavjud va ular 1.1-tasvirda Tridi timsolida tasvirlangan. Tridi timsoli barcha g'arazli niyatlarni amalga oshiruvchi shaxslarni ifodalaydi.
rasm. Axborot xavfsizligining hayotdagi timsollari
O'quv qo'llanmaning keyingi bo'limlarini yoritishda quyidagi hayotiy senariyni koʻraylik. Ushbu hayotiy senariy Alisaning onlayn banki (AOB) deb ataladi. Bunga koʻra, Alisa onlayn bankning biznes faoliyatini amalga oshiradi. Mazkur senariyda Alisaning xavfsizlik muammosi nima? Alisaning mijozi boʻlgan Bobning xavfsizlik muammosichi? Alisa va Bobning xavfsizlik muammolari bir xilmi? Tridi nuqtai nazaridan qaraganda qanday xavfsizlik muammolari mavjud? Ushbu savollarga keyingi qismlarda javob berib o'tiladi.
Kompyuter tizimlari va tarmoqlarida axborotni himoyalash va axborot xavfsizligiga tegishli bo'lgan ayrim tushunchalar bilan tanishib chiqaylik.
Kiberxavfsizlik hozirda yangi kirib kelgan tushunchalardan biri bo'lib, unga berilgan turlicha ta'riflar mavjud. Xususan, CSEC2017 Joint Task Force manbasida kiberxavfsizlikka quyidagicha ta'rif berilgan: kiberxavfsizlik hisoblashlarga asoslangan bilim sohasi bo'lib, buzg'unchilar mavjud bo'lgan sharoitda amallarni to'g'ri bajarilishini kafolatlash uchun o'zida texnologiya, inson, axborot va jarayonlarni mujassamlashtiradi. U xavfsiz kompyuter tizimlarini yaratish, amalga oshirish, tahlillash va testlashni o'z ichiga oladi. Kiberxavfsizlik ta'limning mujassamlashgan bilim sohasi bo'lib, qonuniy jihatlarni, siyosatni, inson omilini, etika va risklarni boshqarishni o'z ichiga oladi.
Tarmoq sohasida faoliyat yuritayotgan Cisco tashkiloti esa kiberxavfsizlikka quyidagicha ta'rif bergan: Kiberxavfsizlik tizim, tarmoq va dasturlarni raqamli hujumlardan himoyalash amaliyoti. Ushbu kiberxujumlar odatda maxfiy axborotni boshqarishni, almashtirishni yoki yo'q qilishni; foydalanuvchilardan pul undirishni; normal ish faoliyatini buzishni maqsad qiladi. Hozirda samarali kiberxavfsizlik choralarini amalga oshirish insonlarga qaraganda qurilmalar va ularning turlari sonining kattaligi va bizg'unchilar salohiyatini ortishi natijasida amaliy tomondan murakkablashib bormoqda.
Kiberxavfsizlik bilim sohasining zaruriyati birinchi meynfreym kompyuterlar ishlab chiqarilganidan boshlab paydo bo'la boshlagan. Bunda mazkur qurilmalarning va ulaming vazifalarining himoyasi uchun ko'p sathli xavfsizlik choralari amalga oshirilgan. Milliy xavfsizlikni ta'minlash zaruriyatini oshib borishi kompleks va texnologik murakkab ishonchli xavfsizlik choralarini paydo bo'lishiga sabab bo'ladi.
Hozirda axborot texnologiyalari sohasida faoliyat yuritayotgan har bir mutaxassisning kiberxavfsizlikning fundamental bilimlariga ega bo'lishi talab etiladi. Kiberxavfsizlik fani sohasining tuzilishini quyidagicha tasvirlash mumkın (1.2-rasm).
Kiberxavfsizlikni fundamental atamalarini aniqlashda turli yondashuvlar mavjud. Xususan, CSEC2017 JTF manbasıda kiberxavfsizlikning quyidagı 6 ta atamasi keltirilgan:
Konfidensiallik- axborot yoki uni eltuvchisining shunday holatiki, undan ruxsatsiz tanishishning yoki nusxalashning oldi olingan bo'ladi. Konfidensiallik axborotni ruxsatsiz "o'qish dan himoyalash bilan shug'ullanadi. AOB senariysida Bob uchun konfidensiallik juda muhim. Ya'ni, Bob o'z balansida qancha pul borligini Tridining bilishini istamaydi Shu sababli Bob uchun balans xususidagi ma'lumotlarning konfidensialligini ta'minlash muhim hisoblanadi.
Yaxlitlik axborotning buzilmagan ko'rinishida (axborotning qandaydir qayd etilgan holatiga nisbatan o'zgarmagan shaklda) mavjud bo'lishi ifodalangan xususiyati. Yaxlitlik axborotni ruxsatsız "yozish dan (ya'ni, axborotni oʻzgartirishdan) himoyalash yoki kamida oʻzgartirilganligini aniqlash bilan shug'ullanadi. AOB senariysida Alisaning banki qayd yozuvining yaxlitligini Trididan himoyalash shart Masalan, Bob o'zining akkauntida balansning o'zgarishidan yoki Alisa akkauntida balansning oshishidan himoyalashi shart
Shu o'rinda konfidensiallik va yaxlitlik bir xil tushuncha emasligiga e'tibor berish kerak. Masalan, Tridi biror ma'lumotni o'qiy olmagan taqdirda ham uni sezilmaydigan darajada oʻzgartirishi mumkin.
Foydalanuvchanlik avtorizatsiyalangan mantiqiy obyekt so'rovi boʻyicha axborotning tayyorlik va foydalanuvchanlik holatida boʻlishi xususiyati.
Foydalanuvchanlik axborotni (yoki tizimni) ruxsatsiz "bajarmaslik dan himoyalash bilan shug'ullanadi, AOB senariysida AOB web saytidan Bobning foydalana olmasligi Alisaning banki va Bob uchun foydalanuvchanlik muammosi hisoblanadi. Sababi, mazkur holda Alisa pul o'tkazmalaridan daromad ola olmaydi va Bob esa o'z biznesini amalga oshira olmaydı. Foydalanuvchanlikni buzishga qaratilgan hujumlardan eng keng tarqalgani - xizmat ko'rsatishdan voz kechishga undovchi hujum (Denial of service, DOS).
Risk-potensial foyda yoki zarar bo'lib, umumiy holda har qanday vaziyatga biror bir hodisani yuzaga kelish ehtimoli qo'shilganida risk paydo bo'ladi. ISO "risk - bu noaniqlikning maqsadlarga ta'sirn" sifatida ta'rif bergan
Masalan, universitetga o'qishga kirish jarayonini ko'raylik.
Umumiy holda bu jarayonni oʻzi risk hisoblanmaydi. Faqatgina abituriyent hujjatlarini va kirish imtihonlarini topshirganida, u o'qishga kirishi yoki kira olmasligi mumkin. Bu o'z navbatida qabul qilinish yoki qabul qilinmaslık riskinı yuzaga kelishiga sabab bo'ladi
Kiberxavfsizlikda yoki axborot xavfsizligida risklarga salbiy ko'rinishda qaraladi.
Hujumchi kabi fikrlash - bo'lishi mumkin bo'lgan xavfni oldini olish maqsadida qonuniy foydalanuvchining hujumchi kabi fikrlash jarayoni. Tizimli fikrlash - kafolatlangan amallarni ta'minlash uchun ijtimoiy va texnik cheklovlarning o'zaro ta'sirini hisobga oladigan fikrlash Jarayoni.
Bundan tashqari quyidagi tushunchalar ham kiberxavfsizlik sohasini o'rganishda muhim hisoblanadi
Axborot xavfsizligi axborotning holati bo'lib, unga binoan axborotga tasodifan yoki atayin ruxsatsiz ta'sir etishga yoki ruxsatsız undan foydalanishga yo'l qo'yilmaydi, Yoki, axborotni texnik vositalar yordamida ishlanishida uning maxfiylik (konfidensiallik), yaxlitlik va foydalanuvchanlık kabi xarakteristikalarini (xususiyatlarini) saqlanishini ta'minlovchi axborotning himoyalanish darajasi holati
Axborotni himoyalash axborot xavfsizligini ta'minlashga yo'naltirilgan choralar kompleksi. Amalda axborotni himoyalash deganda ma'lumotlarni kiritish, saqlash, ishlash va uzatishda uning yaxlitligini, foydalanuvchanligini va agar, kerak bo'lsa, axborot va resurslarning konfidensialligini madadlash tushuniladi.
Aktiv-himoyalanuvchi axborot yoki resurslar. Yoki, tashkilot uchun qimmatli barcha narsalar.
Tahdid - tizim yoki tashkilotga zarar yetkazishi mumkin bo'lgan istalmagan hodisa. Yoki, tahdid - axborot xavfsizligini buzuvchi potensial yoki real mavjud xavfni tug'diruvchi sharoit va omillar majmui. Tahdid tashkilotning aktivlariga qaratilgan bo'ladi. Masalan, aktiv sifatıda korxonaga tegishli biror bir saqlanuvchi hujjat bo'lsa, u holda ushbu hujjat saqlanadigan xonaga nisbatan tahdid amalga oshirilish mumkin.
Zaiflik bir yoki bir nechta tahdidlarni amalga oshirishga imkon beruvchi tashkilot aktivi yoki boshqaruv tizimidagi kamchilik
Boshqarish vositasi nskni o'zgartiradigan harakatlar bo'lib, natijasi zaiflik yoki tahdidlarni o'zgarishiga ta'sir qiladi. Bundan tashqari, boshqarish vositasining o'zi turli tahdidlar foydalanishi mumkin bo'lgan zaiflikka ega boʻlishi mumkin. Masalan, tashkilotda saqlanayotgan qog'oz ko'rinishidagi axborotni yong indan himoyalash uchun o'chirish vositalari boshqarish vositasi sifatida ko'rilishi mumkin. Yong'in bo'lganida xodimlaming xatti-xarakatlari va yong inni oldini olish boʻyicha ko'rilgan chora-tadbirlar ham boshqarish vositasi hisoblanishi mumkin. Yong'inga qarshi kurashish tizimining ishlamay qolish holatiga esa boshqarish vositasidagi kamchilik sifatida qaraladı.
Axborot xavfsizligi kaberxavfsizlik o'rtasidagi farq "Kiberxavfsizlik" va "axborot xavfsizligi" atamalaridan, ko'pincha o'milari almashgan holda, foydalanishadi. Ba'zilar kiberxavfsizlikka axborot xavfsizligi, axborot texnologiyalari xavfsizligi va (axborot) risklarni boshqarish tushunchalariga sinonim sifatida qarashsa, ayrimlar esa, xususan hukumat sohasidagilar, kompyuter jinoyatchiligi va muhim infrastrukturalar himoyasini o'z ichiga olgan milliy xavfsizlik bilan bogʻliq texnik tushuncha sifatida qaraydilar. Turli soha xodimlari tomonidan o'z maqsadlariga moslashtirish holatlari mavjud bo'lsada, axborot xavfsizligi va kiberxavfsizlik tushunchalari orasida ba'zi muhim farqlar mavjud.
Axborot xavfsizligi sohasi, axborotning ifodalanishidan qat'iy nazar
(qog'oz ko'rinishidagi, elektron va insonlar fikrlashida, og'zaki va vizual)
intelektual huquqlarni himoyalash bilan shug'ullanadi. Kiberxavfsizlik esa elektron shakldagi axborotni (barcha holatdagi, tarmoqdan to qurilmagacha bo'lgan, o'zaro birga ishlovchi tizimlarda saqlanayotgan, uzatilayotgan va ishla ishlanayotgan axborotni) himoyalash bilan shug'ullanadi. Bundan tashqari, hukumatlar tomonidan moliyalashtirilgan hujumlar va rivojlangan doimiy tahidlar
(Advanced persistent threats, APT) ham aynan kiberxavfsizlikka tegishli. Qisqacha aytganda, kiberxavfsizlikni axborot xavfsizligining bir yo'nalishi deb tushunish uni to'g'ri anglashga yordam beradi.
Kiberxavfsizlikning bilim sohalari. CSEC2017 JTF manbasiga ko'ra kiberxavfsizlik 8 ta bilim sohasiga bo'lingan, o'z o'rnida ularning har biri qismsohalarga boʻlinadi (1.3-rasm).
Ma'lumotlar xavfsizligi bilim sohasining maqsadi ma'lumotlarni saqlash, ishlash va uzatishda himoyani ta'minlash. Mazkur bilim sohasida himoyani to'liq amalga oshirish uchun matematik va analitik algoritmlardan foydalaniladi.
"Dasturiy ta'minot xavfsizligi bilim sohasi foydalanilayotgan tizim yoki axborot xavfsizligini ta'minlovchi dasturiy vositalarni ishlab chiqish va foydalanish jarayoniga e'tibor qaratadi
"Tashkil etuvchilar xavfsizligi bilim sohasi katta tizimlarda integrallashgan tashkil etuvchilami loyihalashga, sotib olishga, testlashga, tahlillashga va texnik xizmat ko'rsatishga e'tibor qaratadi Tizim xavfsizligi gohida tashkil etuvchilar xavfsizligıdan farq qiladi. Tashkil etuvchilar xavfsizligi tizimning qanday loyihalanganligiga yaratilganligiga, sotib olinganligiga, boshqa tarkibiy qismlar bilan bog'langanligiga, qanday ishlayotganligiga va saqlanayotganligiga bog'liq bo'ladi.
"Aloqa xavfsizligi bilim sohasi tashkil etuvchilar o'rtasidagi aloqani himoyalashga e'tibor qaratib, oʻzida fizik va mantiqiy ulanishni mujassamlashtiradi.
"Tizim xavfsizligi" bilim sohasi tashkil etuvchilar, ulanishlar va dasturiy ta'minotdan iborat tizim xavfsizligining jihatlariga e'tibor qaratadi. Tizım xavfsizligini tushunish uchun, nafaqat uning tarkibiy qismlari va ulaming bog'lanishlarini tushunish, balki yaxlitlikni ham hisobga olish talab etiladi. Ya'ni, tizimni to'liqligicha ko'rib chiqish talab etiladi. Mazkur bilim sohasi, "Tashkil etuvchilar xavfsizligi” va “Aloqa xavfsizligi bilim sohalari bilan bir qatorda, tashkil etuvchilar bog'lanishlarining xavfsizligi va undan yuqori tizimlarda foydalanish masalasini hal etadi.
"Inson faoliyati xavfsizligi bilim sohasi kiberxavfsizlik bilan bog'liq inson hatti-harakatlarini o'rganishdan tashqari, tashkilotlar (masalan, xodim) va shaxsiy hayot sharoitida ma'lumotlarni va shaxsiylikni himoya qilishga e'tibor qaratadi. "Tashkilot xavfsizligi bilim sohasi tashkilotni kiberxavfsizlik tahdidlaridan himoyalash va tashkilot vazifasini muvaffaqqiyatli bajarishini madadlash uchun risklami boshqarishga e'tibor qaratadi.
Ijtimoiy xavfsizlik bilim sohasi jamiyatda u yoki bu darajadagi ta'sir ko'rsatuvchi kiberxavfsizlik omillariga e'tibor qaratadi, Kiberjinoyatchilik, qonunlar, axloqiy munosabatlar, siyosat, shaxsiy hayot va ularning bir-biri bilan munosabatlari ushbu bilim sohasidagi asosiy tushunchalar hisoblanadi.
Demak aytish mumkinki, kiberxavfsizlik sohasi axborot texnologiyalari mutaxassislari uchun zarur soha hisoblanadi.2
|
| |
