|
O‘zbekiston xalqaro islom akademiyasi Islom iqtisodiyoti va xalqaromunosabatlar fakulteti
|
| bet | 6/8 | | Sana | 12.02.2024 | | Hajmi | 1.22 Mb. | | #155176 |
Bog'liq Kurs ishi Менің курс жұмысым, Azamat1, 3-kurs (ПП) 01-19 vedomost qayta, Тема, iqtibos, Презентация 1, R, Diplom ishi, Kurs ishi Iqtisodiyot sikllari, 1, BUyruq, 1-mustaqil ta'lim topshirig'i
Boshqaruv nazorati operatsiyalarni to‘g‘ri yo‘nalishga yo‘naltirish, noto‘g‘ri va zararli xatolarning oldini olish yoki aniqlash va zaifliklar haqida erta ogohlantirish. Tashkilotlar deyarli har bir faoliyat yo‘nalishida quyidagi asosiy tamoyillarga asoslangan nazoratni o‘rnatdilar:
Shaxsiy javobgarlik;
Audit;
Vazifalarni ajratish.
Asrlar davomida qandaydir shaklda e’tirof etilgan ushbu tamoyillar juda yaxshi tushunilgan kompyuterdan oldingi operatsion protseduralarning asosi hisoblanadi.
Individual javobgarlik savolga javob beradi: bu bayonot yoki harakat uchun kim javobgar? Uning maqsadi nima sodir bo‘lganligi, kim ma’lumot va resurslarga ega bo‘lganligi va qanday choralar ko‘rilganligini kuzatib borishdir. Har qanday haqiqiy tizimda haqiqiy operatsiya har doim ham egalarining asl niyatlarini aks ettirmasligi uchun ko‘plab sabablar mavjud: odamlar xato qiladilar, tizimda xatolar bor, tizim ma’lum hujumlarga zaif, keng siyosat batafsil tavsiflarga to‘g‘ri tarjima qilinmagan, egalari o‘z fikrlarini o‘zgartirdilar va hokazo. Ishlar noto‘g‘ri bo‘lganda, nima bo‘lganini va kim sababchi ekanligini bilish kerak. Ushbu ma’lumotlar kompyuter tizimidan tashqarida zararni baholash, yo‘qolgan ma’lumotlarni qayta tiklash, zaifliklarni baholash va kompensatsiya choralarini, masalan, huquqiy ta’qib qilishni boshlash uchun asosdir.
Shaxsiy javobgarlik tamoyilini qo‘llab-quvvatlash uchun foydalanuvchi autentifikatsiyasi deb nomlangan xizmat talab qilinadi. Ishonchli identifikatsiya bo‘lmasa, javobgarlik bo‘lishi mumkin emas. Shunday qilib, autentifikatsiya axborot xavfsizligining hal qiluvchi asosidir. Ko‘pgina tizimlar zaif yoki yomon boshqariladigan autentifikatsiya xizmatlari buzilganda, masalan, noto‘g‘ri tanlangan parollarni taxmin qilish orqali kirib kelgan.
Autentifikatsiya orqali taqdim etiladigan asosiy xizmat ma’lum bir foydalanuvchi tomonidan bayonot yoki harakat qilinganligi haqidagi ma’lumotdir. Biroq, ba’zida foydalanuvchi keyinchalik unga tegishli bayonot soxta ekanligini va uni hech qachon qilmaganligini da’vo qila olmasligiga ishonch hosil qilish kerak. Qog‘oz hujjatlar dunyosida bu imzoni notarial tasdiqlashdan maqsad; notarius mustaqil va juda ishonchli dalillarni taqdim etadi, ular ko‘p yillar o‘tgach ham imzoning haqiqiy va soxta emasligiga ishontiradi. Autentifikatsiya qilishning noaniqlik deb ataladigan yanada qattiqroq shakli bugungi kunda bir nechta kompyuter tizimlari tomonidan taklif etilmoqda, garchi buning qonuniy ehtiyoji kompyuter vositachiligidagi tranzaksiyalar biznesda keng tarqalganligi sababli oldindan ko‘rish mumkin.
Shuningdek agar yashirin kirish mumkin bo‘lsa, ko‘plab tizimlar ham buzilgan bo‘lishi mumkin, javobgarlik eng muhim chora hisoblanadi. Auditorlik xizmatlari hisobdorlikni qo‘llab-quvvatlash uchun zarur bo‘lgan yozuvlarni tuzadi va saqlaydi. Odatda ular autentifikatsiya va avtorizatsiya bilan chambarchas bog‘langan (foydalanuvchi yoki tizim ma’lum maqsadda ishonchli yoki ishonchli ekanligini aniqlash xizmati - quyida muhokamaga qarang), shuning uchun har bir autentifikatsiya, ruxsat berilgan yoki ruxsat etilmagan har bir kirishga urinish kabi qayd etiladi. Auditning muhim rolini hisobga olgan holda, audit qurilmalari ba’zan tajovuzkorning birinchi nishoni bo‘ladi va shunga mos ravishda himoyalanishi kerak.
Tizimning audit yozuvlari, odatda audit izi deb ataladi, hisobdorlikni belgilashdan tashqari, boshqa potensial maqsadlarda ham foydalanish mumkin. Masalan, shubhali kirish shakllari uchun audit tekshiruvini tahlil qilish va shuning uchun ham qonuniy foydalanuvchilar, ham maskaradlar tomonidan noto‘g‘ri xatti-harakatlarni aniqlash mumkin bo‘lishi mumkin. Asosiy kamchiliklar audit ma’lumotlarini qayta ishlash va sharhlashdir.
Tizimlar doimiy ravishda o‘zgarishi mumkin, chunki xodimlar va uskunalar kelib-ketadi va ilovalar rivojlanadi. Xavfsizlik nuqtai nazaridan, o‘zgaruvchan tizim takomillashtiruvchi tizim bo‘lishi mumkin emas. Xavfsizlik choralarining bosqichma-bosqich emirilishiga qarshi faol turish uchun dinamik ravishda to‘plangan audit izini (nima bo‘lganini aniqlashda foydali) konfiguratsiyani hujumga ochiq emasligini tekshirish uchun statik tekshiruvlar bilan to‘ldirish mumkin. Statik audit xizmatlari dasturiy ta’minot o‘zgarmaganligini, fayllarga kirishni boshqarish vositalarining to‘g‘ri o‘rnatilganligini, eskirgan foydalanuvchi hisoblari o‘chirilganligini, kiruvchi va chiquvchi aloqa liniyalari to‘g‘ri yoqilganligini, parollarni taxmin qilish qiyinligini va hokazolarni tekshirishi mumkin. Virus tekshiruvlaridan tashqari, bozorda bir nechta statik audit vositalari mavjud.
Vazifalarni ajratishning yaxshi o‘rnatilgan amaliyoti shuni ko‘rsatadiki, muhim operatsiyalar bir shaxs tomonidan amalga oshirilmaydi, aksincha (kamida) ikki xil odamning roziligini talab qiladi. Shunday qilib, vazifani ajratish boshqaruvni bir qo‘li bilan buzishning oldini olish orqali xavfsizlikni kuchaytiradi. Shuningdek, u bir kishining harakatlarini boshqa shaxs tomonidan mustaqil tekshirishni ta’minlash orqali xatolarni kamaytirishga yordam beradi.
Vazifalarni ajratish - bu ma’lum bir maqsadda kimga ishonishini aniqlashga harakat qiladigan kengroq boshqaruv sinfiga misol. Ushbu turdagi nazorat odatda foydalanuvchi avtorizatsiyasi sifatida tanilgan. Avtorizatsiya biror narsa qilish soʻrovi manbai sifatida autentifikatsiya qilingan maʼlum bir foydalanuvchiga ushbu operatsiyani bajarish uchun ishonchli yoki ishonchli ekanligini aniqlaydi. Avtorizatsiya, shuningdek, biror narsa qilish mumkin bo‘lgan vaqtni (faqat ish vaqtida) yoki uni so‘rash mumkin bo‘lgan kompyuter terminalini (faqat menejer stolidagi) nazorat qilishni o‘z ichiga olishi mumkin.
5-rasm.
Qayta tiklash boshqaruvlari xavfsizlik buzilishining oldini olish o‘rniga javob berish vositalarini taqdim etadi. Qayta tiklash mexanizmidan foydalanish tizimdagi nuqsonni ko‘rsatishi shart emas; Ba’zi tahdidlar uchun aniqlash va qayta tiklash to‘liq oldini olishga urinishlarga qaraganda ancha tejamkor bo‘lishi mumkin. Xavfsizlik buzilishidan qutqarish, masalan, intizomiy yoki qonuniy choralar ko‘rish, tasodifan buzilgan tomonlarni xabardor qilish yoki siyosatlarni o‘zgartirishni o‘z ichiga olishi mumkin. Texnik nuqtai nazardan, xavfsizlikning buzilishi noto‘g‘ri uskuna, dasturiy ta’minot yoki operatsiyalar natijasida yuzaga keladigan nosozlik bilan juda ko‘p umumiy xususiyatlarga ega. Odatda, ba’zi ishlarni bekor qilish kerak bo‘ladi va tizimning bir qismi yoki barchasi toza holatga qaytarilishi kerak.
Ideal holda, nazorat elementlari ehtiyotkorlik bilan tahlil qilish natijasida tanlanadi.Amalda, eng muhimi, qanday boshqaruv vositalari mavjudligidir. Kompyuter tizimlarini xaridorlarning ko‘pchiligi o‘z ehtiyojlarini qondirish uchun noldan ishlab chiqilgan tizimga ega bo‘la olmaydilar, bu ayniqsa xavfsizlik ehtiyojlari uchun to‘g‘ri ko‘rinadi. Shunday qilib, mijoz aniqlangan ehtiyojlarga mos kelishiga umid qilib, oldindan mavjud bo‘lgan turli xil echimlar orasidan tanlaydi.
Ba’zi tashkilotlar bir qator xavflar bo‘yicha berilgan zaifliklar uchun tegishli nazorat choralarini aniqlaydigan nazorat matritsasi yordamida kompyuter bilan bog‘liq xavfni boshqarish tartibini rasmiylashtiradi. Bunday matritsadan qo‘llanma sifatida foydalanib, ma’murlar turli manbalar uchun mos boshqaruv elementlarini tanlashlari mumkin. Muammoni hal qilishda ko‘pincha qo‘pol kesma qo‘llaniladi: biznes qanchalik tizimga bog‘liq? Muvaffaqiyatsizlikning eng yomon turi nima va
Kompyuter sanoati aniq ifodalangan xavfsizlik ehtiyojlariga javob berishini kutish mumkin, agar bunday ehtiyojlar mijozlarning etarlicha keng bazasiga tegishli bo‘lsa. Bu mudofaa hamjamiyatiga nisbatan Orange Book vizasi bilan sodir bo‘ldi - lekin asta-sekin, chunki sotuvchilar mijozlar bazasi ishonchli texnologiyaga tezlashtirilgan investitsiyalarni kafolatlash uchun etarlicha katta ekanligiga ishonch hosil qilmaganlar.
|
| |
