|
Ochiq tizimlarning o‘zaro bog‘lanish etalon modelini xavfsizlik arxitekturasi
|
bet | 94/118 | Sana | 17.05.2024 | Hajmi | 8,17 Mb. | | #240348 |
Bog'liq R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshkeOchiq tizimlarning o‘zaro bog‘lanish etalon modelini xavfsizlik arxitekturasi
Ochiq tizimlarni xavfsizlik arxitekturasini aniqlaydigan birinchi xalqaro standartlardan biri ITU-T X.800 tavsiyasidir. Bu standart OTO‘B EM MAT xavfsizligini ta’minlash funksiyasiga umumiy tavsiflarni beradi. Bu funksiya MAT AXni ta’minlash tizimi (AXTT) orqali bajariladi. Boshqacha aytganda, AXTT MAT AXni ta’minlashni kompleks masalasini yechadi.
Xavfsizlikni ta’minlash masalasi qo‘shimcha (shart emas) hisoblanadi, uning bajarilishi esa foydalanuvchi yoki ITS egasining “istagiga” bog‘liq bo‘ladi, shuning uchun AXTT xavfsizlikni ta’minlash bo‘yicha xizmatlarni ko‘rsatish bilan uning oldiga qo‘yilgan maqsadlarga erishishni ta’minlaydi. AXTT doirasidagi xavfsizlikni ta’minlash nimtizimlari, axborot xavfsizligini ta’minlash bo‘yicha nimfunksiyalarni bajarish va xizmatlarni taqdim etish yo‘li bilan xususiy masalalarni yechadigan xizmatlar deyiladi (11.4-rasm).
ITU-T X.800 tavsiyasi quyidagi atamalar va tavsiflarni kiritadi:
- ulanishni boshqarish (access control) — mualliflashtirilmagan resursdan foydalanishning oldini olish, shu jumladan resursdan belgilanmagan usulda foydalanishning oldini olish;
- ulanishni boshqarish ro‘yxati (access control list) — resursga ulanishni taqdim etish uchun mualliflashtirilgan sub’ektlar ro‘yxati (ularning ulanish huquqlarini o‘z ichiga oladigan);
- identifikatsiyalanuvchanlik (accountability) — sub’ektning barcha harakatlari ularni sub’ektga aynan tegishliligini keyingi tasdiqlash maqsadida qayd etilishi mumkinligini kafolatlaydigan xususiyat;
11.4-rasm. MAT xavfsizligini ta’minlash tizimining vazifasi va tarkibi
- aktiv tahdid (active threat) — tizim holatini atayin bo‘lmagan mualliflashtirilmagan o‘zgartirish tahdidi;
- autentifikatsion axborotlar (authentication information) - sub’ektning haqiqiyligini tasdiqlash uchun ishlatiladigan axborotlar;
- autentifikatsion almashlash (authentication exchange) — axborot almashinuvi vositalari yordamida sub’ektning haqiqiyligini tasdiqlash usuli;
- mualliflashtirish (authorization) — ulanish huquqlari asosida ulanishni taqdim etishni o‘z ichiga oladigan huquqlarni qondirish;
- foydalana olishlik (availability) — mualliflashtirilgan sub’ektning so‘rovi bo‘yicha ochiq va texnik ma’qul ulanishni ta’minlaydigan xususiyat;
- ulanish mandati (capability) — resursga ulanishda identifikator sifatida ishlatiladigan belgi, binobarin, bunday belgiga ega bo‘lish resursga ulanish huquqini beradi;
- konfidensiallik (confidentiality) — mualliflashtirilmagan foydalanuvchilar, sub’ektlar yoki jarayonlar tomonidan axborotlarni ochilmasligi yoki foydalana olmaslikni ta’minlaydigan xususiyat;
- ishonish ma’lumotlari (credentials) — ob’ektning autentifikatsion axborotlarini shakllantirish uchun yetkaziladigan ma’lumotlari;
- kriptografik tekshirish yig‘indisi (cryptographic check value) — qandaydir simvollar ketma-ketligini kriptografik o‘zgartirishni amalga oshirish yo‘li bilan olingan axborotlar;
- ma’lumotlarning yaxlitligi (data integrity) — ma’lumotlarni o‘zgartirish yoki ularni qandaydir mualliflashtirilmagan usulda buzilishidan himoyalanishini ta’minlaydigan xususiyat;
- ma’lumotlar manbaini autentifikatsiyalash (data origin authentication) — olingan ma’lumotlar manbai haqiqatda o‘zini kimligini bildirgan hisoblanishini tasdiqlash;
- xizmat ko‘rsatishni rad etish (denial of service) — resursga mualliflashtirilgan ulanishga to‘sqinlik qilish yoki vaqt bo‘yicha chegaraviy hisoblanadigan tartiblarning uzilishi;
- raqamli (elektron raqamli) imzo (digital signature) — dastlabki simvollar ketma-ketligiga qo‘shilgan ma’lumotlar yoki kriptografik o‘zgartirilgan dastlabki simvollar ketma-ketligi, ular bu dastlabki simvollar ketma-ketligini oluvchiga bu ketma-ketlikni jo‘natuvchi va uning yaxlitligiga nisbatan ishonch hosil qilishga, shuningdek ularni, masalan, o‘sha oluvchi orqali soxtalashtirishdan himoyalashga imkon beradi;
- haqiqiylikni tekshirishga asoslangan xavfsizlik siyosati (identity- based security policy) — foydalanuvchilar yoki foydalanuvchilar atributlari, foydalanuvchilar guruhlari yoki foydalanuvchilar nomidan va ularni topshirig‘iga binoan ishlaydigan sub’ektlar va ulanish amalga oshiriladigan resurslar/ob’ektlarning haqiqiyligini tekshirishga asoslangan xavfsizlik siyosati;
- kalit yoki kriptokalit (key) — shifrlash va shifrni ochish tartiblarini boshqarishda bevosita qatnashadigan simvollar ketma-ketligi;
- kalitlarni boshqarish (key management) — xavfsizlik siyosatiga muvofiq kalitlarni generatsiyalash, saqlash, taqsimlash, yo‘q qilish, arxivlashtirish va qo‘llash;
- manipulyatsiyalashni aniqlash (manipulation detection) — ma’lumotlarni modifikatsiyalash dalillarini aniqlash (tasodifiy yoki atayin) uchun qo‘llaniladigan usul;
- maskarad (masquerade) — bitta sub’ek o‘zini boshqa sub’ekt sifatida ko‘rsatadigan vaziyat;
- notarial tasdiqlash (notarization) — uchinchi tomon orqali ishonilgan (UTI) ma’lumotlarni ro‘yxatga olish, bu keyinchalik ularning parametrlari va xarakteristikalarining, masalan, tarkib, manba, vaqt va yetkazilish aniqligini kafolatlashga imkon beradi;
- passiv tahdid (passive threat) — tizimning holatini o‘zgartirmasdan axborotlarni mualliflashtirilmagan ochish tahdidi;
- parol (password) — simvollar ketma-ketligi hisoblanadigan konfidensial autentifikatsion axborotlar;
- o‘zaro ta’sirlashadigan sub’ektni autentifikatsiyalash (peer-entity authentication) – bog‘lanishning qarama-qarshi tomonidagi sub’ekt axborot almashish tartibini (AAT) o‘tkazilishi zarur bo‘lgan sub’ekt ekanligini tasdiqlash;
- fizik xavfsizlik (physical security) — AXga atayin yoki tasodifiy tahdidlarni amalga oshirilishi oqibatlarida resurslarni fizik himoyalashni ta’minlash uchun ishlatiladigan tadbirlar kompleksi;
- maxfiylik (privacy) — foydalanuvchilarning hayot faoliyatiga bog‘liq qandaydir ma’lumotlarini to‘planishi va saqlanishi mumkinligini, shuningdek ular kim orqali va kimga ochilishi mumkinligini nazorat qilish yoki ta’sir etish huquqi;
- rad etish (repudiation) — AAT o‘tkazilishida o‘zaro ta’sirlashadigan sub’ektlardan birining bu tartibda yoki uning alohida bosqichlarida ishtirok etishni rad etishi;
- marshrutlashtirishni boshqarish (routing control) — retranslyatsiya oraliqlari, aloqa kanallari yokima’lum tarmoqlardarad etish yoki tanlash singari marshrutlash tartiblarini bajarilishida qoidalarning qo‘llanilishi;
- qoidalarning qo‘llanilishiga asoslangan xavfsizlik siyosati (rule-based security policy) — barcha foydalanuvchilar uchun mo‘ljallangan yagona qoidalardan foydalanishga asoslangan xavfsizlik siyosati. Bu qoidalar, odatda, ulanish uchun mo‘ljallangan resurslarning chegaraviyligi va foydalanuvchilar nomidan ishlaydigan foydalanuvchilar, sub’ektlar yoki foydalanuvchilar guruhlarining mos atributlari egalari orasidagi kelishtirish hisoblanadi;
- xavfsizlik auditi (security audit) — boshqarish tizimi vositalarining mosligini baholash va ularni qabul qilingan xavfsizlik siyosatiga va qo‘llaniladigan funksional tartiblarga mosligini ta’minlash maqsadida, shuningdek AXni ta’minlash tizimidagi zaif joylarni aniqlash va boshqarish tizimi, xavfsizlik siyosati va mos tartiblarga o‘zgartirishlarni kiritish bo‘yicha tavsiyalarni ishlab chiqish uchun tizim yozuvlari va asosiy faoliyat yo‘nalishlarini mustaqil tekshirish va taftish qilish;
- xavfsizlik auditi uchun dastlabki berilganlar (security audit trail) — xavfsizlik auditini muvaffaqiyatliroq o‘tkazilishi uchun to‘plangan va real ishlatiladigan ma’lumotlar;
- xavfsizlik markeri (security label) — resurs (u simvollar ketma-ketligi bo‘lishi mumkin) bilan to‘g‘ridan-to‘g‘ri bog‘liq bo‘lgan belgi (belgini qo‘yilishi), u bu resursning xavfsizlik atributlarini ishlatishni belgilaydi yoki ko‘zda tutadi;
- xavfsizlik siyosati (security policy) — xavfsizlik xizmatlarining ishlashini to‘g‘riligini baholash mezonlari to‘plami;
- xavfsizlikni ta’minlash bo‘yicha xizmat (security service) — tizimlarni mos himoyalash va ma’lumotlarni yetkazilishini kafolatlaydigan OTO‘B EM arxitekturasi sathlaridan biri taqdim etadigan xizmat (qo‘shimcha nimfunksiya);
- alohida maydonlarni himoyalash (selective field protection) — uzatilishi kerak bo‘lgan xabarning ma’lum maydonlarini himoyalash;
- chegaraviylik (sensitivity) — resursning qiymati va ahamiyatini bildiradigan, shuningdek uning zaifligini o‘z ichiga olishi mumkin bo‘lgan resursning xususiyati;
- tahdid (threat) — xavfsizlikni potensial buzilishi;
- trafik oqimining konfidensialligi (traffic flow confidentiality) — trafikni tahlil qilish tahdidlarini zararsizlantirish uchun konfidensiallikni ta’minlash bo‘yicha xizmat;
- trafikni to‘lib ketishi (traffic padding) — ulanish uchun soxta so‘rovlar, soxta xabarlar yoki xabarlardagi soxta simvollar ketma-ketliklarini generatsiyalash;
- ishonchli ishlash (trusted functionality) — unga nisbatan u qandaydir mezonga muvofiq, masalan, xavfsizlik siyosatiga muvofiq to‘g‘ri bajarilayotganligini ko‘zda tutish mavjud bo‘lgan funksional jarayon.
|
| |