|
Har bir usulni amalga oshirishning afzalliklari va qo'shiladigan qismlarini ko'rish
|
| bet | 12/16 | | Sana | 20.05.2024 | | Hajmi | 0,85 Mb. | | #246043 |
Bog'liq Qodirov D 2.3. Har bir usulni amalga oshirishning afzalliklari va qo'shiladigan qismlarini ko'rish
Shaxsiy ma’lumotlarni himoyalash axborot tizimini shaxsiy ma’lumotlarni himoyalash tizimining tuzilmasi 2.1-rasmda keltirilgan.
KRIPTOPRO to‘plamiga asoslangan tasdiqlash markazini ochish yoki kriptografik himoya vositalari uchun asosiy ma’lumotlarni sotib olish kerak.
Ruxsatsiz foydalanishdan himoya vositalari quyidagi keltirilgan komponentalardan namoyon bo‘ladi:
“eToken PKI Client” drayverlar to‘plami;
“eToken Network Logon” DT;
“eToken PRO (Java) / 72K” USB-kalitlar;
eToken TMS 2.
2.1-jadval.
Ruxsatsiz foydalanishdan himoya tizimi komponentalarini jaoylashuvi.
Komponenta
|
Joylashuv
|
«eToken PKI Client 5.1» drayverlar to‘plami
|
Serverlarda dasturiy ta’minot va Windows oilasining operatsion tizimida ishlaydigan shaxsiy ma’lumotlarning avtomatlashtirilgan ish joyi axborot tizimi.
|
«eToken PRO (Java)/72K» USB kaliti
|
Shaxsiy ma’lumotlarning axborot tizimi foydalanuvchilari
|
eToken TMS 2
|
Yaratilgan dasturiy ta’minot shaklida avtomatlashtirilgan boshqaruv zonasida shaxsiy ma’lumotlarni himoya qilish tizimi joylashtirilgan.
|
«eToken Network Logon» DT.
|
Serverlarda va avtomatlashtirilgan ish joylarida dasturiy ta’minot shaklida Windows oilasining operatsion tizimida shaxsiy ma’lumotlarning axborot tizimlari.
|
2.1-rasm. Shaxsiy ma’lumotlarni himoyalash axborot tizimini shaxsiy ma’lumotlarni himoyalash tizimining tuzilmasi
Ruxsatsiz foydalanishdan himoya tizimi komponentalarini jaoylashuvi 2.1-jadvalda keltirilgan.
2.2-rasmda ruxsatsiz foydalanishdan shaxsiy ma’lumotlarni himoyalash axborot tizimini himoyalash tizim osti komponentalari orasida o‘zaro aloqa ko‘rsatilgan.
2.2-rasm. Ruxsatsiz foydalanishdan shaxsiy ma’lumotlarni himoyalash axborot tizimini himoyalash tizimosti komponentalari ishlash tamoyili
Ruxsatsiz foydalanishdan himoyalash tizimosti komponentalari ishlash rejimlari 2.2-jadvalda keltirilgan.
2.2-jadval.
Ruxsatsiz foydalanishdan himoyalash tizimosti komponentalari ishlash rejimlari.
Komponenta
|
Rejim
|
«eToken PKI Client» drayverlari to‘plami.
|
Foydalanuvchi ish vaqti
|
«eToken Network Logon» DT.
|
Foydalanuvchi ish vaqti
|
«eToken PRO (Java)/72K» USB kaliti.
|
Foydalanuvchi ish vaqti
|
eToken TMS 2.0.
|
Har kuni (24/7)
|
«КриптоПро» Sertifikatlash markazi.
|
Har kuni (24/7).
|
«КриптоПро УЦ» qayd qilish markazi.
|
Har kuni (24/7).
|
Qayd qilish markazi ma’muriyati avtomatlashtirilgan ishchi joyi
|
Ma’murni ish vaqti
|
Nizoli vaziyatlarni hal qilish avtomatlashtirilgan ishchi joyi
|
Ma’murni ish vaqti
|
"Aladdin" kompaniyasiga ruxsatsiz kirishdan himoya qilish vositalari:
"eToken" apparat identifikatori xotirasida ochiq va xususiy kalitlarni xavfsiz saqlash;
foydalanuvchilarni identifikatsiya qilish va ikki faktorli autentifikatsiya qilish operatsion tizimga kirish/chiqish paytida shaxsiy ma’lumotlarning axborot tizimi yoki ilova;
foydalanuvchining apparat identifikatorini o‘chirib qo‘yishda ARMni blokirovka qilish va foydalanuvchining majburiy chiqishi.
Symantec tomonidan ishlab chiqarilgan "Symantec Endpoint Protection" tugunni himoya qilish uchun keng qamrovli yechim antivirus vositasi, shaxsiy xavfsizlik devori vositasi, olinadigan ommaviy axborot vositalarini boshqarish vositasidir.
"Symantec Endpoint Protection" Symantec Antivirus texnologiyasiga asoslangan virus va josuslarga qarshi dasturlardan to‘liq Real vaqtda himoya qilish va avtomatik lokalizatsiya va tahdidlarni o‘chirish vositalari bilan integratsiyalashgan himoya qiladi.
2.3-jadval.
"Symantec Endpoint Protection" komponentasini joylashtirish.
Komponenta
|
Joylashuv
|
«Symantec Endpoint Protection Client».
|
SHMAT foydalanuvchilari avtomatlashtirilgan ishchi joyida DT ko‘rinishida
|
«Symantec Endpoint Protection Manage».
|
Boshqaruv zonasida joylashgan yaratilgan serverdagi dasturiy ta’minot shaklida shaxsiy ma’lumotlarni himoya qilish tizimi.
|
«Symantec Endpoint Protection Manager Console».
|
Mavjud avtomatlashtirilgan ma’mur ish joyida dasturiy ta’minot shaklida .
|
"Symantec Endpoint Protection" ga asoslangan yechim quyidagi komponentlardan iborat:
"Symantec Endpoint Protection Client" axborot tashuvchilarni boshqarish vositasi, shaxsiy xavfsizlik devorining antivirus himoyasi kompleks integratsiyalangan vositasi "Symantec Endpoint Protection Client";
“Symantec Endpoint Protection Manage” boshqaruv serveri;
"Symantec Endpoint Protection Manager Console" server boshqaruv konsoli.
"Symantec Endpoint Protection" komponentasini joylashtirish 2.3-jadvalda keltirilgan. "Symantec Endpoint Protection" komponentalari o‘rtasidagi o‘zaro bog‘liqlik 2.3-rasmda keltirilgan.
2.3-rasm. “Symantec Endpoint Protection” komponentasini joylashtirish
“Symantec Endpoint Protection” komponentlari 2.4-jadvalda berilgan rejimlarda ishlashi kerak.
2.4-jadval.
“Symantec Endpoint Protection” ishlash vositalarinin rejimlari
Komponenta
|
Rejim
|
«Symantec Endpoint Protection Client» ommaviy axborot vositalarin.
|
Foydalanuvchi ish vaqti
|
«Symantec Endpoint Protection Client» antivirusni himoya qilish vositalari
|
Foydalanuvchi ish vaqti
|
«Symantec Endpoint Protection Client» tarmoqlararo ekran
|
Foydalanuvchi ish vaqti
|
«Symantec Endpoint Protection Manage» boshqaruv serveri.
|
Har kuni (24/7).
|
«Symantec Endpoint Protection Manager Console» boshqaruv konsoli.
|
Ma’murni ish vaqti
|
"Symantec Endpoint Protection Client" antivirusni himoya qilish vositalari quyidagilarni ta’minlaydi:
odatda andozalar yoki imzolarga ko‘ra viruslar va boshqa zararli dasturlarning mavjudligini avtomatik tekshirish;
evristik tahlil yordamida viruslar va boshqa zararli dasturlarning mavjudligini avtomatik tekshirish;
aniqlangan zararli dasturlarni avtomatik ravishda bloklash, zararli dasturlarni olib tashlash qobiliyati;
jadval bo‘yicha tekshiruvlar o‘tkazish imkoniyati;
barcha fayllarni to‘g‘ridan-to‘g‘ri ishga tushirish, yaratish yoki o‘zgartirish vaqtida antivirus tekshiruvi;
Microsoft Office formatidagi hujjatlardagi makrolar bajarilishini nazorat qilish, xavfli makro qo‘mondonni qulflash;
bajariladigan skriptlarni antivirus tekshiruvi;
ishonchli ilovalarning fayl faolligini antivirus tekshiruvidan chiqarib tashlash imkoniyati;
dasturning holati va faoliyati haqida ma’lumot olish imkoniyati, turli darajadagi hisobotlarning turli xil variantlarini qo‘llash;
mashhur zararkunada dastur shablonlarini davriy yangilash;
zararli dasturlarni aniqlash, blokirovkalash, olib tashlash va antivirus vositasini ishlatish bilan bog‘liq voqealarni ro‘yxatga olish.
"Symantec Endpoint Protection Client" olinadigan ommaviy axborot vositalarini boshqarish atrof-muhit jihozlarining ulanishini va uning ishlash usullarini boshqarishni ta’minlaydi.
"Symantec Endpoint Protection Client" tarmoqlararo ekran - Microsoft Windows-ga asoslangan avtomatlashtirilgan ish joylari va serverlarni shaxsiy himoya qilishni ta’minlovchi shaxsiy xavfsizlik devori.
Shaxsiy ma’lumotlarni himoya qilish tizimining tarkibiy qismlarini tarmoq darajasida joylashtirish uchun 2.5-jadvalda keltirilgan himoyalangan zonalar ajratiladi.
Tarmoqlararo himoya vositalari Cisco ASA 5500 seriyali xavfsizlik devorlari (ITU) va "Symantec Endpoint Protection" shaxsiy xavfsizlik devorlari tomonidan taqdim etiladi. Bundan tashqari, tarmoqlararo hamkorlikni himoya qilish jarayonlarida virtual lokal tarmoqlarni (VLAN) tashkil etishni ta’minlaydigan korxonada mavjud bo‘lgan tarmoq infratuzilmasi vositalari, VLAN o‘rtasida sertifikatlangan xavfsizlik devori orqali o‘tadigan trafikni filtrlash bilan shug‘ullanadi.
2.5-jadval.
Tarmoq sathidagi shaxsiy ma’lumotlar himoyalash tizimi xavfszilik zonasi
№ VLAN
|
Zona nomi
|
Izoh
|
10
|
Serverlar zonasi
|
Zona shaxsiy ma’lumotlarning axborot tizimi serverlarning ko‘plab hududlarini belgilash uchun ishlatiladi.
Bundan tashqari, ushbu hudud boshqa serverlarni joylashtirish uchun ishlatilishi mumkin shaxsiy ma’lumotlarning axborot tizimi alohida segmentga ajratilmagan.
|
20
|
Tizimga aloqador bo‘lmagan serverlar zonasi
|
|
30
|
Tizim foydalanuvchilari avtomatlashtirilgan ishchi joyi zonasi
|
|
40
|
Tizim foydalanuvchilariga taalluqli bo‘lmagan avtomatlashtirilgan ishchi joyi zonasi.
|
|
50
|
Boshqaruv zonasi
|
Ushbu zonada shaxsiy ma’lumotlarni himoya qilish tizimi va shaxsiy ma’lumotlarni himoya qilish tizimlarining avtomatlashtirilgan ma’mur ishlarini boshqarishda ishtirok etuvchi serverlar mavjud
|
60
|
Internet tarmog‘iga ulanish zonasi
|
Ushbu zonada ommaviy tarmoqqa ulanadigan va Internet tarmog‘idagi tugunlar bilan o‘zaro aloqada bo‘lgan komponentlar mavjud.
|
2.6-jadval.
Joylashgan tizimosti komponentalari keltirilgan.
Komponenta
|
Joylashuv
|
Cisco ASA 5500 Series.
|
Server zonasi o‘rtasida shaxsiy ma’lumotlar axborot tizimi va boshqa hududlar o‘rtasida ajratilgan dasturiy-apparat vositasi.
|
Himoyalangan zonalarning o‘zaro ta’siri shaxsiy ma’lumotlarning axborot tizimi faqat tarmoqlararo ekran vositalarining ishtirokida amalga oshirilishi mumkin. Buni amalga oshirish mumkin:
Shaxsiy tarmoqlararo ekran (Symantec Endpoint Protection);
Cisco 5500 seriyali xavfsizlik devori (joylashtirish 2.4-rasmda ko‘rsatilgan).
2.6-rasmda tarmoqlararo ekran komponentlarini joylashtirish printsipi ko‘rsatilgan.
2.4-rasm. Tarmoqlararo ekran komponentalari joylashtirish tamoyili
Tarmoqlararo ekran quyi tizimining tarkibiy qismlari 2.7-jadvalda keltirilgan quyidagi rejimlarda ishlaydi.
2.7-jadval.
Tarmoqlararo ekran quyi tizimining tarkibiy qismlari
Komponenta
|
Rejim
|
«Cisco ASA 5500 Series» tarmoqlararo ekran.
|
Har kuni (24/7).
|
Boshqaruv konsoli
|
Ma’murni ish vaqti
|
Tarmoqlararo o‘zaro ta’sirni himoya qilish quyi tizimi quyidagilarni ta’minlaydi:
barcha tugunlarni ajratish shaxsiy ma’lumotlarning axborot tizimi virtual lokal tarmoqlarni tashkil etish (VLAN)bilan ta’minlangan himoyalangan zonalarga;
xavfsizlik himoyasi vositalarini chetlab o‘tishda 10 va 30 himoyalangan zonalarning tugunlarining o‘zaro ta’sirini taqiqlash;
xavfsiz hududlar o‘rtasida tarmoq trafigini yo‘naltirish;
OSI modelining 3-4-sath protokollari parametrlari asosida zonalar orasidagi trafikni filtrlash;
filtrlangan paketlarni ro‘yxatdan o‘tkazish va hisobga olish. Ro‘yxatga olish parametrlari filtrlash manzili, vaqti va natijasini o‘z ichiga oladi;
ichki jarayonlarni ishga tushirishni ro‘yxatga olish;
tizimga (tizimdan) xavfsizlik devori administratorining kirish (chiqishi) yoki tizimni yuklab olish va ishga tushirish va uning dasturiy to‘xtashini ro‘yxatga olish (tizimdan chiqishni ro‘yxatga olish xavfsizlik devori apparatini o‘chirib qo‘yish vaqtida amalga oshirilmaydi).
Kriptografik himoya vositalari quyidagi komponentlar bilan ifodalanadi:
egaligingizni tasdiqlash, qo‘shimcha imkoniyatlar uchun;
S-terra VPN mijozi "CSP VPN Client" hisoblanadi.
Quyi tizim joylashtirish komponenti 2.8-jadvalda keltirilgan.
2.8-jadval.
Quyi tizim joylashuv komponentasi
Komponenta
|
Joylashuv
|
«S-terra CSP VPN Gate» kriptoshlyuz.
|
Axborot tizimi serverlari zonasi chegarasida joylashgan paket shaklida.
|
S-terra «CSP VPN Client» VPN mijoz.
|
Masofaviy axborot tizimi foydalanuvchisining avtomatlashtirilgan ish joyiga o‘rnatilgan dasturiy ta’minot shaklida.
|
Quyi tizim komponentlari o‘rtasidagi o‘zaro bog‘liqlik 2.5-rasmda ko‘rsatilgan.
Kriptografik himoya quyi tizimining tarkibiy qismlari 2.9-jadvalda keltirilgan quyidagi rejimlarda ishlaydi.
2.9-jadval.
Kriptografik himoya qilish vositalarning ishlash rejimlari
Komponenta
|
Rejim
|
«S-terra CSP VPN Gate» kriptoshlyuz.
|
Har kuni (24/7).
|
S-terra «CSP VPN Client» VPN mijoz.
|
Foydalanuvchi ish vaqti
|
2.5-rasm. Kriptografik himoya qilish vositalarning joylashish tamoyili
Kriptografik himoya quyi tizimi beradi:
nazoratsiz aloqa kanallari orqali uzatilganda himoyalangan axborotni shifrlash;
nazoratsiz aloqa kanallari orqali ularni uzatishda boshqaruv buyruqlarini shifrlash;
kriptografik kalitlarni boshqarish;
imzo kalitlari sertifikatlarini tayyorlash.
bekor qilingan (bekor qilingan va to‘xtatilgan) imzo kalitlari sertifikatlarining ro‘yxatini tuzish.
Shaxsiy ma’lumotlarni himoyalash axborot tizimi xavfsizligi bilan bog‘liq voqealarni ro‘yxatga olish (imzo kalitlaridan foydalanish, himoyalangan ulanishni yaratish, tugatish, imzo kalitlarini tekshirish).
Kriptografik ma’lumotlarni muhofaza qilish quyi tizimi beradi:
himoyalangan axborotni shifrlash;
kriptografik kalitlarni ishlab chiqarish;
kriptografik kalitlarni boshqarish.
Buzib kirishlarni aniqlash vositalari IBM dasturiy ta’minot mahsuloti - "Proventia Intrusion Prevention Appliance" tomonidan taqdim etilgan.
Komponentni joylashtirish 2.10-jadvalda keltirilgan.
2.10-jadval.
Buzib kirishlarni aniqlash vositalarini joylashtirish komponentalari
Komponenta
|
Joylashuv
|
«IBM Proventia Prevention Appliance».
|
Internetga ulanish zonasida joylashgan dasturiy va apparat vositasi.
|
Boshqaruv konsoli
|
Xavfsizlik boshqaruvchisining ish soatlarida.
|
Quyi tizim komponentlari va shaxsiy ma’lumotlarning axborot tizimlari o‘rtasidagi o‘zaro bog‘liqlik 2.6-rasmda keltirilgan.
"IBM Proventia IPS" buzib kirishni aniqlash vositasi quyidagilarni ta’minlaydi:
ma’lumotlar oqimidan ma’lum bo‘lgan tarmoq hujumining trafigini aniqlash;
tarmoq faoliyatining anormal yoki taqiqlangan xavfsizlik siyosatini aniqlash;
aniqlangan bosqinchilikka avtomatik javob berish qobiliyati;
aniqlangan hujum imzolarini davriy yangilash;
shaxsiy ma’lumotlarning axborot tizimlari xavfsizligi bilan bog‘liq voqealarni ro‘yxatga olish.
2.11-jadval.
Aniqlash quyi tizimining komponentini joylashtirish hujum.
Komponenta
|
Joylashuv
|
MaxPatrol Server Audit.
|
Yaratilgan avtomatlashtirilgan ish o‘rinlari bo‘yicha dasturiy ta’minot shaklida axborot xavfsizligi auditori barcha zonalarga ulanishi mumkin.
|
Xavfsizlikni tahlil qilish vositalari "MaxPatrol" komponentasi bilan ifodalanadi.
Joylashtirish quyi tizim komponenti 2.11-jadvalda keltirilgan.
2.7-rasmda shaxsiy ma’lumotlar himoylash axborot tizimi komponentalari bilan himoyalanganlikni tahlillash vositalari keltirilgan.
2.6-rasm. Buzib kirishni aniqlash quyi tizimining tarkibiy qismlarining ishlashi va joylashishi printsipi
2.7-rasm. Xavfsizlikni tahlil qilish quyi tizimining tarkibiy qismlarining ishlashi va joylashishi printsipi
"MaxPatrol" xavfsizligini tahlil qilish vositasi quyidagilarni ta’minlaydi:
tarmoq tugunlari va xizmatlarini inventarizatsiya qilish va o‘zgarishlarni aniqlash;
shaxsiy ma’lumotlar axborot tizimlari va tizimlarining dasturiy-apparat zaifliklarini aniqlash shaxsiy ma’lumotlarni himoya qilish tizimlari shaxsiy ma’lumotlarni himoya qilish tizimlarining samaradorligini tekshirish;
xavfsizlik siyosatining bajarilishini nazorat qilish;
zaifliklar va tekshiruvlar bazasini kunlik yangilash; aniqlangan zaifliklar va ularni bartaraf etish imkoniyatlari haqida hisobot yaratish.
"EToken Network Logon" DT tomonidan" eToken PRO (Java) / 72K "USB tugmachalari identifikatorlari bilan birgalikda ishlatiladigan "eToken PKI Client" drayveri to‘plami ishlatiladi. Operatsion tizimga kirish/chiqish paytida shaxsiy ma’lumotlar axborot tizimlarining eToken foydalanuvchilarining asosiy funktsiyalari, avtomatlashtirilgan ish joyini blokirovka qilish va foydalanuvchining apparat identifikatorini o‘chirishda majburiy foydalanuvchi chiqishi hisoblanadi.
"Symantec Endpoint Protection" yechimi quyidagi komponentlardan iborat:
"Symantec Endpoint Protection Client – antivirusni himoya qilish vositalari, olinadigan vositalarni boshqarish vositalari, shaxsiy xavfsizlik devori;
"Symantec Endpoint Protection Manage – boshqaruv serveri;
"Symantec Endpoint Protection Manager Console" - boshqaruv konsoli.
"Symantec Endpoint Protection Client" antivirusni himoya qilish vositalari Microsoft Windows-ga asoslangan ARM va serverlarga antivirus himoyasini ta’minlaydi.
"Symantec Endpoint Protection Client" olinadigan ommaviy axborot vositalarini boshqarish atrof-muhit jihozlarining ulanishini va uning ishlash usullarini boshqarishni ta’minlaydi.
"Symantec Endpoint Protection Client" shaxsiy xavfsizlik devori Microsoft Windows-ga asoslangan ARM va serverlarni shaxsiy himoya qilishni ta’minlovchi shaxsiy xavfsizlik devori.
Xavfsizlik devori uchun shaxsiy ma’lumotlar axborot tizimlarining barcha tugunlarini ajratish va shaxsiy ma’lumotlarni xavfsiz hududlarga himoya qilish tizimi virtual lokal tarmoqlar (VLAN) tashkiloti tomonidan ta’minlanadi, Cisco ASA 5500 seriyali xavfsizlik devorlarini chetlab o‘tishda himoyalangan zonalar tugunlarining o‘zaro ta’sirini taqiqlaydi. Cisco ASA 5500 seriyasini amalga oshiradi:
xavfsiz hududlar o‘rtasida tarmoq trafigini yo‘naltirish;
OSI modelining 3-4 sath protokollari parametrlari asosida zonalar orasidagi trafikni filtrlash;
filtrlangan paketlarni ro‘yxatdan o‘tkazish va hisobga olish. Ro‘yxatga olish parametrlari manzilni, vaqtni va filtrlash natijasini o‘z ichiga oladi.
"S-terra CSP VPN Gate" va "CSP VPN Client" ning bir qismi sifatida kriptografik muhofaza qilish quyi tizimi nazoratsiz aloqa kanallari orqali uzatilganda himoyalangan ma’lumotlarni shifrlash, kriptografik kalitlarni boshqarish imkonini beradi.
Buzib kirishni aniqlash "IBM Proventia Prevention Appliance" vositasi ma’lum bir tarmoq hujumi, g‘ayritabiiy yoki taqiqlangan tarmoq faoliyati xavfsizligi siyosati, aniqlangan tajovuzga avtomatik javob berish qobiliyatini aniqlashni ta’minlaydi.
III BOB. MA'LUMOTLAR BAZASINI HIMOYA QILISHNING AMALIY ASOSLARI
|
| |
