|
Internet va DOD xavfsizlik arxitekturalari orasidagi farq
|
bet | 103/118 | Sana | 17.05.2024 | Hajmi | 8,17 Mb. | | #240348 |
Bog'liq R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshkeInternet va DOD xavfsizlik arxitekturalari orasidagi farq.
Asosan DOD hisoblanadigan Internet xavfsizlik arxitekturasi, DOD arxitekturasidan bir necha jixatlari bo‘yicha farq qiladi.
a). DOD arxitekturasi xavfsizlikni ta’minlashning asosiy usuli sifatida axborot konfidensialligini (shifrlashga) ta’minlashga asosiy e’tibor qaratadi, bunda ma’lumotlar ketma-ketligini konfidensialligi eng muhim hisoblanadi. Bunday yondashuv sabablari ma’lum: maxfiy axborotni himoyalash va “troyan otlari”dan himoyalash. Bundan tashqari, DOD arxitekturasida qat’iy belgilangan ulanishning ma’muriy boshqaruviga urg‘u beriladi (ma’lum qoidalar asosida).
Internet da axborotlarni shifrlash vositalari keng qo‘llaniladi, biroq global tarmoqda liniyali (kanalli) shifratorlarni qo‘llash kam uchraydi. Boshqa so‘z bilan aytganda, Internet da ma’lumotlar oqimini konfidensialligini ta’minlashga qat’iy talablar yo‘q.
Shu bilan birga, xalqaro, milliy, regional va territorial Internet segmentlariga xizmat ko‘rsatuvchi tarmoq kompaniyalari, ma’lumotlar uzatish tarmog‘ining normal ishlashini ta’minlab beruvchi maxsus xizmat axborotlari uzatiladigan boshqaruv kanalini himoyalashga e’tibor qaratadi. Biroq, xizmat axboroti foydalanuvchi axboroti bilan bir oqimda uzatiladi, shuning uchun tarmoqning turli segmentlarini egalari, magistral kanallarni himoyasi uchun fizik sathda shifrlashni qo‘llab, bir vaqtning o‘zida ikkala ko‘rinishda uzatiladigan axborotlarni himoyalaydi (Internet foydalanuvchilari axborotni kriptografik himoyalashni talab qilmasa ham bo‘ladi). Shuning uchun ushbu aspektda aniq qarama-qarshiliklar mavjud.
b). DOD arxitekturasining keyingi muhim jihati maxfiy (himoyalangan) operatsion tizim bo‘lib, vakolatlarni tekshirish tizimi sifatida faoliyat yuritadi (bu tijorat kompyuterlariga “ishonchsizlik” natijasi hisoblanadi).
DOD arxitekturasining ushbu prinsipini Internet arxitekturasi uchun ham qo‘llab bo‘lmaydi. Global tarmoq uchun (tijorat kompyuterlarini ommaviy qo‘llashga yo‘naltirilgan ochiq tizim sifatida) foydalanuvchilarga xavfsizlik usullari va vositalarini maksimal darajadagi spektrini taqdim qilish maqsadga muvofiq bo‘ladi, bunda axborotlarni himoyalash bo‘yicha har qanday kafolatlarni rad etadi. Masalan, Internetning ko‘pchilik foydalanuvchilari ishchi stansiya uchun qo‘shimcha dasturiy ta’minot o‘rniga, aloxida kompyuter uchun qo‘shimcha tashqi kriptografik qurilmaga (qimmat bo‘lgan) pul to‘lashini tasavvur qilish qiyin. Bundan tashqari, Internet foydalanuvchilarining ko‘pchiligini, xavfsizlik nuqtai nazaridan oxirgi va oraliq tizimlarda qo‘llaniladigan, xavfsizlik usullari va vositalarining ishonchliligi qiziqtirmaydi. Ularni ko‘proq axborotni himoyalashning tezkor vositalari qiziqtiradi.
Internet foydalanuvchilarning ko‘pchiligi noqonuniy ulanishlardan himoyalanish uchun IP-adreslash asosidagi paketli filtrlashni qo‘llaydi. Bunday filtrlash unchalik ishonchli emas. Shu bilan birga yuqori darajadagi xavfsizlik usullari va vositalarini qo‘llash talab etiladi, axborot almashinish sub’ektlarini autentifikatsiyasi, xabarlar yaxlitligi va konfidensialligini ta’minlash hamda identifikatorlar asosida kirishni boshqarish shular jumlasidandir. Biroq bu usullar va vositalarning ishonchliligi eng minimal bo‘lishi mumkin.
v). Nihoyat, kriptografik kalitlarni boshqarish sohasida jiddiy farqlar mavjud. DODxavfsizlik arxitekturasi, o‘zining qoidalari asosida kirishning yuqori ishonchli boshqaruviga javobgarligi tufayli, faqat kalitlar orqali markazlashgan boshqaruv tizimlarini ko‘rib chiqadi. Buning sabablaridan biri DODni simmetrik kriptografik tizimlarga yo‘naltirish hisoblanadi, ya’ni juda murakkab bo‘lgan texnologik vazifani aks ettiruvchi “yuqori sifatli” kalitlar generatsiyasini nazarda tutadi, u qat’iy xavfsizlik sharoitida yaxshi amalga oshiriladi. Boshqa so‘z bilan aytganda, agar kirishni boshqarish kalitni tekshirish asosida amalga oshirilsa, u holda bu jarayon faqat yuqori ishonchlilikka ega tizim orqali amalga oshirilishi kerak.
Internet muhitida, kalitlar taqsimlangan asosda generatsiyalanadi, asosan har qanday muvofiqliksiz. Internet da autentifikatsiya asosida kirishni boshqarish qo‘llangani uchun, kalitlar va identifikatorlar orasida katta o‘zaroaloqa mavjud (yoki kalitlar va elektron sertifikatlar orasida). Autentifikatsiyalashni tarmoq tizimidan foydalanish, masalan X.509, hech qanday markazlashtirish talab etilmaydigan o‘zaro aloqani ta’minlaydi.
|
| |