• 8. Boshlangich xarajatlar Sarflangan katta xarajatlar malumotlar bazasini amalga oshirishda tosiq boladi. 9. Ishlash
  • Pastki chiziq
  • II BOB. MALUMOTLAR BAZASINI HIMOYALASH USULLARINI ORGANISH VA QOLLASH
    		•

    O‘zbekiston resрublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti




    Download 0,85 Mb.
    bet8/16
    Sana20.05.2024
    Hajmi0,85 Mb.
    #246043
    1   ...   4   5   6   7   8   9   10   11   ...   16
    Bog'liq
    Qodirov D

    6. Murakkablik
    Ma'lumotlar bazasi ancha murakkablashishi mumkin. ko'plab xususiyatlarga ega bo'lgan bir nechta jadvallar mavjud.


    7. Zarar xavfi
    Ma'lumotlar bazasi barcha korporativ ma'lumotlarni saqlash va boshqarish uchun yagona oyna bo'lganligi sababli, unga har qanday zarar barcha ilovalarga ta'sir qilishi mumkin.


    8. Boshlang'ich xarajatlar
    Sarflangan katta xarajatlar ma'lumotlar bazasini amalga oshirishda to'siq bo'ladi.


    9. Ishlash
    Ma'lumotlar bazasi strategiyasi faqat bitta emas, balki ko'plab ilovalarni qo'llab-quvvatlash uchun ishlab chiqilganligi sababli, ba'zi ilovalar avvalgidan sekinroq ishlashi mumkin.

    Bottom of Form


    Pastki chiziq
    Ma'lumotlar bazalari va boshqa BI va hisoblash vositalaridan foydalangan holda, tashkilotlardagi mutaxassislar yaxshiroq va samaraliroq qarorlar qabul qilishlari, moslashuvchan bo'lishlari va biznesda uzoq vaqt qolishlari uchun ma'lumotlarni tartibga solishlari mumkin. Ma'lumotlar bazalari turli xil ma'lumotlar bazalari, texnologiyadan foydalanishdagi o'zgarishlar, avtomatlashtirish va bulutni yaxshilash tufayli yangi yo'nalishlarda ketmoqda.


    Axborot xavfsizligi tizimlarini qurishda, shuningdek, korxona uchun xavflarni boshqarish strategiyasini aniqlash kerak. Bugungi kunda risklarni boshqarishning bir necha yondashuvlari ma’lum. Eng keng tarqalgan yondashuvlardan biri tegishli usullar va himoya vositalaridan foydalanish orqali xavfni kamaytirishdir. Xatarlardan qochish bilan bog‘liq yondashuv mohiyatiga ko‘ra yaqindir. Ba’zi xavf toifalaridan qochish mumkin: masalan, tashkilotning veb-serverini mahalliy tarmoqdan ko‘chirish veb-mijozlarning mahalliy tarmoqqa ruxsatsiz kirish xavfini oldini oladi.
    Shaxsiy ma'lumotlarini himoyalash tizimini qurishda axborot (ma'lumotlar) risklari, quyidagilar kabi muhim muammo bo'lishi mumkin:

    • Keshlash yoki ma'lumotlar yig'ish: Agar shaxsiy ma'lumotlar to'plami yaxshi himoyalangan bo'lmasa, ularga nusxalash yoki onlayn tashqarida saqlash jarayonida ma'lumotlar yo'qolib ketishi ehtimoli mavjud. Bu kabi holatlarda ma'lumotlar uchraydi va mavjud bo'lishi mumkin.

    • Ma'lumotlar yuborish va olish jarayoni bo'yicha xavfsizlik: Ma'lumotlar o'zaro almashinuv va uzatish jarayonlarida to'g'ri himoyalanmagan holda bo'lishi mumkin. Agar biror tizim yoki tarmoq yaroqliliklari, xavfsizlik protokollari yoki shifrlashning kamchiligini yoki yo'qotilishini ta'minlamasa, ma'lumotlar atashdan, o'chirishdan yoki so'zlanishdan xavotirlanishi mumkin.

    • Xakerlarning xavfli sergili: Shaxsiy ma'lumotlar himoyalash tizimlarining yomon tashkilotlanganligi yoki noaniq tuzilganligi sababli xakerlar unga kirishga harakat qilishi mumkin. Xakerlar, ma'lumotlarni o'zgartirish, o'chirish yoki xavfsizlashtirish, yoki hech bo'lmaganda, shaxsiy ma'lumotlarni vaqtinchalik yoki o'zgarishsiz olib tashlash uchun foydalanish mumkin.

    • Xodimlar yoki hujjat tarkibi bilan bog'liq xavfli sergilari: Agar shaxsiy ma'lumotlarni tashkil qiluvchi tizimda ishlayotgan shaxslar yoki hujjatlarga ruxsat berilmasa, ular ma'lumotlarga yondashish, o'zgartirish yoki o'chirishga harakat qilishlari mumkin. Bu xavf, zararli amalga oshirishga, ma'lumotlarni xavfsizligi va foydalanuvchilar tomonidan boshqarilmasi ko'nikmalarini buzishga olib kelishi mumkin.

    • Qonun bilan xavfli sergili: Shaxsiy ma'lumotlarni saqlash va ishlab chiqish jarayonlari, huquqiy tartib bilan mos kelishi kerak. Agar shaxsiy ma'lumotlar muhofaza qilish qoidalarini buzilsa, oshkorlar uchun raqamli foydalanish, talabalar yoki xodimlar tomonidan to'plangan

    Nihoyat, ba’zi hollarda xavfni qabul qilish maqbuldir. Bu yerda quyidagi dilemma to‘g‘risida qaror qabul qilish muhimdir: korxona uchun nima foydaliroq - risklar yoki ularning oqibatlari bilan kurashish. Bunday holda, optimallashtirish muammosini hal qilish kerak bo‘ladi.
    Xavfni tahlil qilishning muhim bosqichlaridan biri ma’lum bir tashkilot uchun axborot xavfsizligini buzuvchi modelni aniqlashdir. Bu model qandaydir tarzda (qasddan yoki tasodifan, harakat yoki harakatsizlik bilan) axborot tizimiga zarar yetkaza oladigan tajovuzkorlar turlarining tavsifidir.
    Davlat Texnik Komissiyasining (RD SCC) "Axborotga ruxsatsiz kirishdan himoya qilish" boshqaruv hujjatiga ko‘ra, buzg‘unchining modelini yaratish vazifasi kirishni boshqarish qoidalarini buzuvchining mavhum rasmiylashtirilgan yoki rasmiylashtirilmagan tavsifi hisoblanadi. Buzg‘unchi modelining tavsifi har xil darajadagi tafsilotga ega bo‘lishi mumkin va obyekt (bo‘lim) rahbariyati tomonidan potentsial qoidabuzarlar kontingenti, ularning harakatlarining sabablari va motivatsiyasi to‘g‘risida qabul qilingan qarashlar tizimini aks ettiruvchi mazmunli tavsifga ega bo‘lishi mumkin. UAni tayyorlash va amalga oshirish jarayonida ko‘zlangan maqsadlar va harakatlarning umumiy xarakteri.
    Buzg‘unchi modeli uning amaliy va nazariy jihatlari - imkoniyatlar, bilim, harakat vaqti, joyi va boshqalarni aks ettiradi. O‘z maqsadlariga erishish uchun buzg‘unchi ba’zi harakatlarni amalga oshirishi, ma’lum resurslarni sarflashi kerak. Huquqbuzarliklarning sabablarini o‘rganib, bu sabablarning o‘ziga ta’sir qilishi (albatta, agar iloji bo‘lsa) yoki ushbu turdagi huquqbuzarlik yoki jinoyatdan himoya qilish tizimiga qo‘yiladigan talablarni aniqroq aniqlash mumkin.
    Buzg‘unchilarning ta’sir qilish senariysi algoritmlar va bosqichlarni aniqlagan holda harakatlarni turlarini belgilaydi. Buzg‘unchilarning ta’sirining matematik modeli-bu jinoyatchilarning instrumental harakatlarini mantiqiy algoritmik modellashtirish, ta’sir natijalarini tavsiflovchi miqdoriy qiymatlar va elementlar bilan huquqbuzarlarning o‘zaro ta’sirining davom etayotgan jarayonlarini tavsiflovchi funktsional bog‘liqliklar shaklida skriptlarning rasmiylashtirilgan tavsifi. Mana shu turdagi model ob’ektning zaifligini va himoya qilish samaradorligini miqdoriy baholash uchun ishlatiladi.
    Buzg‘unchi SHMAT hayot tsiklining turli bosqichlarida harakat qilishi mumkin. Ushbu bosqichlar quyidagilardan iborat: vositalarni loyihalash, ishlab chiqarish, saqlash, tashish, ishga tushirish (joriy qilish va sozlash ishlari) va ekspluatatsiya.
    Tizim vositalarini ishlab chiqarish, saqlash va tashish, ishga tushirishga tayyorgarlik bosqichlarida hujum ob’ektlari faqat tizimning texnik va dasturiy vositalari va ular uchun hujjatlardir.
    Hujumlarning maqsadlari:

    • qurollar haqida ma’lumot olish (tizim vositalarining xususiyatlari haqida,ularni ishlab chiqarish va ishlatish shartlari to‘g‘risida);

    • tizim vositalariga turli xil zaifliklarni kiritish;

    • hujjatlarga ruxsatsiz o‘zgartirishlar kiritish;

    • tizim vositalarining noto‘g‘ri konfiguratsiyasi.
      Asosiy hujum kanallari:

    • axborotga ruxsatsiz kirishdan tashkiliy-texnik chora-tadbirlar bilan himoyalanmagan tashqi aloqa kanallari;

    • shtatli vositalar;

    • hujum obyektiga to‘g‘ridan-to‘g‘ri kirish kanallari (vizual,jismoniy);

    • mashina saqlash vositalari;

    • foydalanilmaydigan ma’lumotlarni tashuvchilar.

    Doimiy yoki bir martalik foydalanish huquqiga ega bo‘lish nuqtai nazaridan SHMAT joylashtirish ob’ektlarining nazorat qilinadigan zonasida (NZ), barcha shaxslarni quyidagi ikkita toifaga bo‘lish mumkin:

    • NZ da ruxsatsiz kirish huquqiga ega bo‘lmagan tashqi qoidabuzarlar;

    • NZ ga doimiy yoki bir martalik kirish uchun ruxsat etilgan imkoniyatlarga ega bo‘lgan ichki qoidabuzarlar.

    SHMAT buzg‘unchilarni ularga muntazam ravishda avtomatlashtirilgan tizimlar (AS) va kompyuter texnikasi (SVT) orqali taqdim etilish imkoniyatlar darajasiga ko‘ra tasniflash mumkin. Tasniflash ierarxikdir, ya’ni har bir keyingi daraja oldingisining funksionalligini o‘z ichiga oladi. Ushbu imkoniyatlarning to‘rtta darajasi mavjud (1.1-rasm):

    1.1-rasm. Buzg‘unchilarning imkoniyat darajasi bo‘yicha tasnifi
    H1 - ushbu toifaga SHMAT da dialog qobiliyatining eng past darajasiga ega bo‘lgan qoidabuzarlar kiradi: oldindan belgilangan funktsiyalarni amalga oshiradigan sobit to‘plamdan vazifalarni (dasturlarni) ishga tushirish, axborotni qayta ishlash;
    H2 - ushbu toifadagi buzg‘unchi SHMAT da ma’lumotlarni qayta ishlash uchun yangi funktsiyalarga ega o‘z dasturlarini yaratish va ishga tushirish qobiliyatiga ega;
    H3 - ushbu toifaga AS faoliyatini boshqarish, ya’ni. tizimning asosiy dasturiy ta’minotiga va uning jihozlarining tarkibi va konfiguratsiyasiga ta’sir qilish imkoni bor buzg‘unchilar kiradi;
    H4 - ushbu toifadagi shaxslarning umumiy imkoniyatlari bilan belgilanadi; SHMAT texnik vositalarini loyihalash, joriy etish va ta’mirlashni amalga oshirish, SVTga axborotni qayta ishlashning yangi funktsiyalariga ega bo‘lgan o‘z texnik vositalarini kiritishgacha.
    Yuqori darajadagi buzg‘unchilarning qobiliyatlari oldingi sinflarning buzuvchilarining imkoniyatlarini o‘z ichiga oladi.
    Tahdid maydonini shakllantirish, boshqacha aytganda, tahdid modelini ishlab chiqish axborot xavfsizligi tizimini yaratishda xavflarni baholash jarayonining ajralmas bosqichidir. Ushbu bosqichda ko‘rib chiqilayotgan axborot tizimiga tahdidlarning to‘liq to‘plami aniqlanadi.
    Mantiqiy zanjirni ko‘rib chiqish asosida axborot xavfsizligini buzish jarayonlarini modellashtirish maqsadga muvofiqdir: "tahdid - tahdid manbai - amalga oshirish usuli - zaiflik - oqibatlar - moddiy zarar". Ushbu tahlil davomida siz ishonch hosil qilishingiz kerakki, ko‘plab mumkin bo‘lgan tahdid manbalari va ko‘plab mumkin bo‘lgan zaifliklar, shuningdek ularni amalga oshirish usullari aniqlab beradi.
    Axborot xavfsizligiga tahdid - bu himoya ob’ektiga qarshi qaratilgan harakat axborotni buzish va yo‘qotish xavfida namoyon bo‘lishidir. Tahdidlar xavfsizlik maqsadlarini buzgan holda munosabatlar sub’ektiga zarar yetkazish ehtimoli bo‘yicha tasniflanadi. Zarar har qanday subyekt tomonidan yuzaga kelishi mumkin, shuningdek, namoyon bo‘lish predmetidan mustaqil oqibat bo‘lishi mumkin. Barcha tahdid manbalarini ommaviy axborot vositalarining turiga qarab sinflarga bo‘lish mumkin, sinflar joylashuvi bo‘yicha guruhlarga bo‘linadi.
    Zaifliklar, shuningdek, zaifliklar manbasiga mansubligiga ko‘ra sinflarga, namoyon bo‘lishiga ko‘ra guruhlarga va kichik guruhlarga bo‘linishi mumkin.
    Amalga oshirish usullarini amalga oshirish usullariga ko‘ra guruhlarga bo‘lish mumkin. Shu bilan birga, "usul" atamasining o‘zi faqat antropogen manbalar tomonidan tahdidlarni amalga oshirishni ko‘rib chiqishda qo‘llanilishini hisobga olish kerak. Texnogen va tabiiy manbalar uchun bu tushuncha "old shart" tushunchasiga aylantiriladi.
    Tahdidlarni, ya’ni hujumlarni amalga oshirish imkoniyatlarini tasniflash - bu hujum maqsadlarini amalga oshirishga olib keladigan zaifliklardan foydalangan holda amalga oshirishning ma’lum usullari bilan tahdid manbai harakatlarining mumkin bo‘lgan variantlari to‘plamidir. Hujumning maqsadi tahdidlarni amalga oshirish maqsadi bilan mos kelmasligi va tahdidni keyingi amalga oshirish uchun zarur bo‘lgan oraliq natijani olishga qaratilgan bo‘lishi mumkin. Agar hujumning maqsadlari tahdidni amalga oshirish maqsadiga to‘g‘ri kelmasa, hujumning o‘zi tahdidni amalga oshirishga qaratilgan harakatlarni amalga oshirishga tayyorgarlik bosqichi, ya’ni qonunga xilof harakatni “qabul qilishga tayyorgarlik ko‘rish” sifatida qaraladi. Hujumning natijasi tahdidni amalga oshirish va/yoki bunday amalga oshirishga hissa qo‘shadigan oqibatlardir.
    Axborot xavfsizligi holatini tahlil qilish va baholash yondashuvi tahdid va zaiflik manbalari uchun xavf-xatarning og‘irlik nisbatlarini hisoblash, ushbu koeffitsientlarni oldindan belgilangan mezonlarga solishtirish va mumkin bo‘lgan tahdid va zaifliklarning to‘liq ro‘yxatini ma’lum bir ob’ekt uchun minimal darajada kamaytirilishiga (chiqarib tashlash) asoslangan.
    Baholash va tahlil qilish uchun dastlabki ma’lumotlar bu munosabatlar subyektlarini so‘roq qilish natijalari bo‘lib, ular faoliyat yo‘nalishini, xavfsizlik maqsadlarining taxminiy ustuvorliklarini, avtomatlashtirilgan tizim tomonidan hal qilinadigan vazifalarni, shuningdek ularni joylashtirish va ishlatish shartlarini tushunishga qaratilgan.
    Ushbu yondashuv tufayli quyidagilar imkonli:

    1. munosabatlar sub’ekti uchun xavfsizlik maqsadlarining ustuvor yo‘nalishlarini belgilash;

    1. tegishli tahdid manbalari ro‘yxatini aniqlash;

    2. joriy zaifliklar ro‘yxatini aniqlash;

    3. tahdidlar, tahdidlar manbalari va zaifliklarning o‘zaro bog‘liqligini baholash;

    4. ob’ektga mumkin bo‘lgan hujumlar ro‘yxatini aniqlash;

    5. tahdidlarni amalga oshirishning mumkin bo‘lgan oqibatlarini tavsiflash.

    Baholash va tahlil natijalaridan tahdidlarni bartaraf etishning adekvat optimal usullarini tanlashda, shuningdek, uni saqlash maqsadida obʼyektning axborot xavfsizligining real holatini tekshirishda foydalanish mumkin. Axborot xavfsizligi masalalariga bag‘ishlangan adabiyotlarda axborot xavfsizligiga tahdidlar modellarining turli xil variantlarini topishingiz mumkin. Bu axborotga ta’sir qilishning turli holatlarini aniqroq tasvirlash va eng adekvat choralarni aniqlash istagi bilan bog‘liq. Tamoyil jihatdan, agar u axborot xavfsizligiga ta’sir etuvchi omillarning eng ko‘p sonini tavsiflasa har qanday modeldan foydalanish mumkin. Lekin, birinchi navbatda, shuni unutmaslik kerakki, foydalanuvchi, ya’ni korporativ tarmoq tomonidan taqdim etilayotgan ma’lumot -axborot xizmatlari iste’molchisi uchun ma’lumotni o‘z vaqtida olish-olmasligi muhim. Texnik vositalarning noto‘g‘ri ishlashi, server xonasidagi yong‘in yoki buzg;unchining harakatlari tufayli axborot buzilgan shaklda olinadi yoki hatto yo‘qotiladi. Unda barcha holatlarda natija bir xil – zararga olib keladi (ma’naviy yoki moddiy).
    Axborot xavfsizligiga tahdid - bu axborotni buzish va yo‘qotish xavfida namoyon bo‘ladigan himoya ob’ektiga qarshi qaratilgan harakatdir.
    Shuni ham hisobga olish kerakki, xavfsizlik tahdidlarining manbalari korxona ichida ham - ichki manbalar ko‘rinishida, ham uning tashqarisida - tashqi manbalar ko‘rinishida bo‘lishi kerak. Bunday bo‘linish bir xil tahdid (masalan, o‘g‘irlik) uchun tashqi va ichki manbalarni qaytarish usullari boshqacha bo‘lishi bilan tasdiqlanadi.
    Tahlil asosida korporativ tarmoqda aylanayotgan axborot xavfsizligiga tahdidlarning barcha manbalarini uch.asosiy guruhlarga bo‘lish mumkin:

    1. Subyektning harakatlaridan kelib chiqadigan tahdidlar (antropogen tahdidlar).

    2. Texnik vositalardan kelib chiqadigan tahdidlar (texnogen tahdidlar).
    3. Tabiiy manbalardan kelib chiqadigan tahdidlar.
    Birinchi guruh tahdidlarni bartaraf etishni tashkil etish nuqtai nazaridan eng keng qamrovli va eng katta qiziqish uyg‘otadi, chunki sub’ektning harakatlarini har doim baholash, bashorat qilish va tegishli choralar ko‘rish mumkin. Ushbu tahdidlarga qarshi kurashish usullari boshqarish mumkin va bevosita axborot xavfsizligi tashkilotchilarining xohishiga bog‘liq.
    Shuni ta’kidlash kerakki, har birining og‘irlik koeffitsientlarini baholash uchun tahdidlarning namoyon bo‘lishining yuqori kechikishi va bu masala bo‘yicha tushunarli statistik ma’lumotlarning yo‘qligi sababli ancha qiyin. Shuning uchun zamonaviy adabiyotlarda turli baho shkalalarini uchratish mumkin. Shu bilan birga, kompyuter jinoyatlari sohasidagi turli mutaxassislar tomonidan olib borilgan tahlillar va o‘zlarining kuzatishlari asosida xavfsizlikka tahdidning namoyon bo‘lish chastotasini quyidagicha ajratish mumkin:

    1. Dasturiy ta’minotni o‘g‘irlash (nusxalash).

    2. Axborotni almashtirish (ruxsatsiz kiritish).

    3. Saqlash vositalaridagi ma’lumotlarni o‘chirish (yo‘q qilish).

    1. Virus hujumlari tufayli noto‘g‘ri ishlash (uzilish).

    2. Saqlash vositalaridagi ma’lumotlarni o‘zgartirish (modifikatsiya).

    3. Axborotni ushlab turish (ruxsatsiz olib tashlash).

    1. Resurslarni o‘g‘irlash (ruxsatsiz nusxa ko‘chirish).

    2. Aloqa kanallarining normal ishlashini (ortiqcha yuklanishi) buzish.

    3. Kutilmagan yo‘qotishlar.

    Axborot xavfsizligi tahdidlarining tarkibini tavsiflab, ularning ta’sirini modellashtirish muammosi yechish loizm. Bu tahdidlarning barchasi korporativ tarmoqning har bir nuqtasida turlicha namoyon bo‘ladi. Shuning uchun, qaysi tahdid eng katta xavf tug‘dirishini odatiy mantiqqa asoslanib baholash kerak. Axborot xavfsizligi tahdidlarini korporativ tarmoq modeliga kiritish ularning xavfini birinchi taxmin sifatida baholash va bartaraf etish usuli bilan ma’lum bir ob’ekt uchun eng dolzarb himoya vositalarini aniqlash imkonini beradi. Bundan tashqari, birinchi taxminiylik sifatida zarur ish hajmini baholash va axborotni himoya qilishni ta’minlashning asosiy yo‘nalishini tanlash mumkin.

    II BOB. MA'LUMOTLAR BAZASINI HIMOYALASH USULLARINI O'RGANISH VA QO'LLASH


    Download 0,85 Mb.
    1   ...   4   5   6   7   8   9   10   11   ...   16




    Download 0,85 Mb.
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    O‘zbekiston resрublikasi raqamli texnologiyalar vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti

    Download 0,85 Mb.