|
Vaqif qasimov informasiya təhlükəsizliyinin əsasları Dərslik Azərbaycan Respublikası Milli Təhlükəsizlik Nazirliyinin Heydər Əliyev adma Akademiyasının Elmi Şurasının 29 aprel 2009-cu IL tarixli iclasının qərarı ilə
|
bet | 54/57 | Sana | 12.12.2023 | Hajmi | 0,6 Mb. | | #117387 | Turi | Dərslik |
Bog'liq Vaqif qasimov informasiya t hl k sizliyinin saslar D rslik Az S={O,T,M,V,B}
Burada O - qorunan obyektlər (informasiya resursları) çoxluğu, T - sistemdə gözlənilən təhlükələr çoxluğu, M - təhlükəsizliyin təmin edilməsi üsulları çoxluğu, V - sistemə və informasiya resurslarına icazəsiz girişin mümkün olduğu zəif yerlər çoxluğu Vz=(r!-,o7), B - müdafiə sədləri çoxluğu, yəni qorunmanın həyata keçirilməsinin tələb olunduğu nöqtələr çoxluğudur. Bu çoxluğun elementləri bm=(ti,m/t,Oj) şəklində müəyyən edilir.
Əgər sistemdə hər bir mümkün təhlükənin qarşısını almaq üçün üsul və ya vasitə mövcuddursa, onda sistemin təhlükəsizliyi mütləq təmin edilmiş hesab edilir. Belə sistemdə şəklində birbaşa daxilolma yolu olmur, obyektə yol yalnız şəklində olur və bu yolun
üzərində bm müdafiə səddini təmin edir.
İnformasiya təhlükəsizliyi sisteminin yaradılması prinsipləri və ona qoyulan tələblər
KSŞ-nin strukturuna analoji olaraq, adətən, onlar üçün reallaşdırılan İTS, eləcə də informasiyanın qorunması prosesi çox səviyyəli struktura malik olur. Bir qayda olaraq, KSŞ-də informasiyanın qorunması üç səviyyədə həyata keçirilir
səviyyə: ayrı-ayrı kompyuterlərin, işçi stansiyaların və terminalların təhlükəsizliyinin təmin edilməsi;
səviyyə: lokal kompyuter şəbəkələrinin və funksional serverlərin təhlükəsizliyinin təmin edilməsi;
səviyyə: korporativ kompyuter şəbəkəsinin ümumi təhlükəsizliyinin təmin edilməsi.
Birinci səviyyədə əməliyyat sisteminin istifadəçilərinin identifikasiyası və autentifikasiyası, malik olduqları hüquq və səlahiyyətlər çərçivəsində subyektlərin obyektlərə girişinə icazə verilməsi, bütün daxilolmaların və daxilolma cəhdlərinin qeydiyyatı və uçotunun aparılması, eləcə də proqram və informasiya təminatının tamlığının təmin edilməsi və qoruma vasitələrinin müntəzəm olaraq nəzarətdə saxlanması funksiyaları reallaşdırılır.
İkinci səviyyədə istifadəçilərin identifikasiyası, sistemə və onun komponentlərinə girişin həqiqiliyinin təyin edilməsi, autentifikasiya məlumatlarının qorunması və serverlərə qoşulma zamanı həqiqiliyin təyin edilməsi məsələlərinin həlli nəzərdə tutulur.
Üçüncü səviyyədə rabitə xətti ilə ötürmə zamanı mənbədən ünvana qədər olan məsafədə informasiyanın tamlığı, autentifikasiya, kommunikasiya xətlərinin həqiqiliyi, məlumatların ötürülməsi və qəbul edilməsi faktlarından tərəflərin imtina etməsinin qarşısının alınması, təqdim olunan xidmətlərin sıradançıxmaya davamlılığı, sistemin fasiləsiz fəaliyyəti, informasiyanın gizliliyi təmin edilir, eləcə də ötürmənin təhlükəsizliyi protokolu reallaşdırılır.
KSŞ-də effektiv İTS-in yaradılmasının əsas prinsipləri aşağıdakılardan ibarətdir:
təhlükəsizliyin təmin edilməsinə sistemli yanaşma olmalıdır;
tətbiq edilən üsul və vasitələr, görülən tədbirlər, qəbul edilən qərarlar kompleks təşkil etməlidir;
qoruma vasitələri tələb olunan dərəcədə olmalıdır;
qoruma vasitələrinin izafiliyi müəyyən həddi aşmamalıdır;
qoruma vasitələrinin idarə edilməsi və tətbiqi çevik olmalıdır;
qoruma mexanizmləri və alqoritmləri aşkar olmalıdır;
qoruma üsullarının, vasitələrinin və tədbirlərinin tətbiqi sadə olmalıdır;
qoruma vasitələri unifikasiya edilməlidir.
Ümumi halda, İTS aşağıdakı şərtlərə cavab verməlidir:
informasiya fəaliyyətinin bütün texnoloji kompleksini əhatə etməlidir;
istifadə olunan vasitələrə görə müxtəlif, iyerarxik, daxilolma ardıcıl və çoxsəviyyəli olmalıdır;
informasiya təhlükəsizliyinin təmin edilməsi sistemi üsul, vasitə və tədbirlərinin dəyişdirilməsi və əlavə edilməsi üçün açıq olmalıdır;
reallaşdırdığı imkanlar baxımından qeyri-standart olmalıdır;
texniki xidmət üçün sadə və istifadəçilər tərəfindən istismar üçün rahat olmalıdır;
etibarlı olmalı, texniki vəsaitlərin istənilən sıradan çıxması informasiyanın sızması üçün nəzarət olunmayan kanallar yaratmamalıdır;
informasiya təhlükəsizliyi sistemi vahid proqram- texniki kompleks şəklində reallaşdırılmalıdır;
informasiya resurslarına giriş üçün istifadəçilərin hüquq və səlahiyyətləri dəqiq müəyyən edilməlidir;
istifadəçilərə tapşırılmış işin yerinə yetirilməsi üçün onlara zəruri olan minimal səlahiyyətlər verilməlidir;
bir neçə istifadəçi üçün ümumi olan qoruma vasitələrinin sayı minimuma endirilməlidir;
konfidensial informasiyaya icazəsiz giriş hallarının və buna cəhdlərin uçotu aparılmalıdır;
informasiyanın konfidensiallıq dərəcəsinin qiymətləndirilməsi təmin edilməlidir;
qoruma vasitələrinin bütövlüyünə nəzarət təmin edilməli və onlar sıradan çıxdıqda dərhal reaksiya verilməlidir.
Əvvəlki fəsillərdə qeyd olunduğu kimi, İTS-in qarşısında qoyulan vəzifələrin və funksiyaların yerinə yetirilməsi, eləcə də informasiya təhlükəsizliyinin zəruri səviyyəsinin təmin edilməsi üçün istifadə olunan üsul və vasitələri əsas beş kateqoriyaya ayırırlar: qanunvericilik tədbirləri, mənəvi-etik normalar, təşkilati tədbirlər, texniki vasitələr və proqram vasitələri.
Təhlükəsizliyin təmin edilməsinin qanunvericilik (hüquqi) tədbirləri Azərbaycan Respublikasmda müvafiq qanunvericilik aktları ilə müəyyən olunur. Adətən, bu normativ-hüquqi sənədlər məhdud girişli informasiyanın istifadəsi, emalı və ötürülməsi qaydalarını nizamlayır və bu qaydaların pozulmasına görə məsuliyyət tədbirlərini müəyyən edir.
Təhlükəsizliyin pozulmasının qarşısının alınmasına yönəlmiş mənəvi-etik tədbirlərə davranış normalarım aid edirlər. Bu normalar şəbəkə və informasiya texnologiyalarının inkişafı prosesində yaranaraq formalaşmışdır. Mənəvi-etik normalar, əsasən, məcburi xarakter daşımır, lakin onlara riayət olunmaması nüfuzun, etibarın və hörmətin itməsinə gətirib çıxarır.
Təşkilati (inzibati) tədbirlər özündə təşkilati-texniki və təşkilati-hüquqi tədbirləri ehtiva edir və telekommunikasiya avadanlıqlarının yaradılması və istismarı prosesində həyata keçirilir.
Təşkilati tədbirlər texniki vəsaitlərin həyat dövrünün bütün mərhələlərində (binanın tikintisi, sistemin layihələndirilməsi, avadanlığın quraşdırılması, sazlanması, sınaqdan keçirilməsi və istismarı) onların bütün struktur elementlərini əhatə edir.
İnformasiya təhlükəsizliyi sisteminin funksional strukturu, əsas modulları və proseduraları
Sistem iyerarxiyasının ən yuxan səviyyəsində reallaşdı- nlan İTS, əsasən, aşağıdakı funksiyaların yerinə yetirilməsini təmin edir:
istifadəçilərin sistemə girişlərinin idarə edilməsi;
sistemə və onun resurslarına girişə nəzarət edilməsi;
sistemə girişlərin və müraciətlərin qeydiyyatının aparılması;
istifadəçinin, sistemin və şəbəkənin həqiqiliyinin müəyyən edilməsi;
istifadəçilərin hüquq və səlahiyyətlərinin nəzarətdə saxlanması;
informasiyanın kriptoqrafik şifrlənməsi və bilavasitə müdaxilədən qorunması xidməti;
elektron imza texnologiyasının tətbiqi və istifadəçi açarlarının idarə edilməsi;
informasiyanın tamlığının təmin olunması və həqiqiliyinin təsdiq edilməsi;
sistemin obyektlərinin vəziyyətinin təhlili və təhlükələrə nəzarət edilməsi;
sistemdə baş verən pozuntuların qarşısının alınması;
təhlükəsizlik sisteminin struktur parametrlərinin yeniləşdirilməsi.
Yuxanda sadalanan funksiyalar reallaşdırılması və bir- biri ilə qarşılıqlı əlaqəsinin qurulması baxımından müxtəlif mürəkkəblik dərəcələrinə malik olurlar. Aşağıda onların yerinə yetirilməsi proseduralarına baxılır.
Qeyd olunduğu kimi, bu funksiyalann yerinə yetirilməsi, başqa sözlə, KSŞ-nin komponentlərinin, o cümlədən informasiya resurslarının qorunması üçün vahid İTS-in, yəni təhlükəsizliyi təmin edən bütün zəruri üsul və vasitələri, modul və proseduraları özündə birləşdirən kompleksin yaradılması zəruridir.
Belə təhlükəsizlik sisteminə daxil olan əsas modul və proseduralar 9.5 saylı şəkildə göstərilmişdir. Şəkildən göründüyü kimi, İTS-in təklif olunan strukturuna tələb edilən
Şək.9.5. informasiya təhlükəsizlik sisteminin əsas modul və proseduraları
funksiyaların yerinə yetirilməsi üçün zəruri olan bütün qoruma üsul və vasitələrini özündə birləşdirən dörd əsas modul daxil edilmişdir.
Girişin idarə olunması modulu
Girişin idarə olunması modulu sistemə giriş zamanı istifadəçilərin identifikasiyası, sistemə və onun resurslarına bütün müraciətlərin qeydiyyatı, sistemdə baş verən nasazlıqlar, sıradan çıxmalar və pozuntular barədə məsul operatora, şəbəkə inzibatçısına və ya "etibarlı monitor"a təcili məlumatın verilməsi, sistemə və onun resurslarına girişlərə məhdudiyyətin qoyulması, istifadəçinin, sistemin və şəbəkənin həqiqiliyinin müəyyən edilməsi funksiyalarını yerinə yetirir.
Bu modul informasiya resurslarının, proqram təminatının icazəsiz istifadəsinin qarşısım almaq yolu ilə onların təhlükəsizliyini, habelə digər istifadəçilərin hüquq və səlahiyyətlərini təmin edir. Ona daxil olan proseduralar aşağıdakı şəkildə qarşılıqlı fəaliyyət göstərirlər.
Sistemdə işləmək üçün hər bir istifadəçi əvvəlcə girişin idarə edilməsi modulu vasitəsilə sistemə daxil olmalıdır. Bu modul sistem haqqmda ümumi məlumatı istifadəçiyə təqdim edir, ona özünün admı (identifikatorunu) və parolunu daxil etməyə imkan verir.
İstifadəçi adını və parolunu daxil etdikdən sonra sistemə və onun resurslarına girişə nəzarət edilməsi prosedurası işə başlayır. Bu modul tərəfindən istifadəçinin adı və parolu qəbul edilir, sistemə və tələb olunan resurslara giriş hüququnun icazəli olub olmaması yoxlanılır. Əgər giriş icazəsiz olarsa, onda istifadəçiyə rədd cavabı verilir.
Girişin icazəli və ya icazəsiz olmasından asılı olmayaraq, girişlərin və müraciətlərin qeydiyyatı modulu tərəfindən sistemə edilən bütün müraciətlərin və girişin qeydiyyatı aparılır. Giriş icazəli olduqda girişlərin qeydiyyatı jurnalında, əks halda girişə icazəsiz cəhd faktı pozuntular jurnalında qeydiyyata alınır. Hər iki halda istifadəçinin daxil etdiyi ad və parol, eləcə də müraciətin tarixi, vaxtı və tələb olunan resursun adı qeydiyyat jurnalına yazılır və saxlanılır.
İstifadəçinin, sistemin və şəbəkənin həqiqiliyinin müəyyən edilməsi prosedurası müvafiq proqramların köməyi ilə istifadəçi sistemdə qeydiyyatdan keçdiyi zaman onun daxil etdiyi adm və parolun həqiqətən ona məxsus olmasını müəyyən edir. Burada ziyankarın və ya hakerin hər hansı həqiqi istifadəçinin adından və parolundan istifadə etməklə onun adı altında sistemə girməsi təhlükəsinin qarşısı alınır.
Bundan əlavə, həqiqi istifadəçi öz adı və parolu ilə sistemə və ya şəbəkəyə girən zaman ziyankar və ya haker xəttə və ya şəbəkəyə qoşula, özünü server kimi qələmə verə və istifadəçidən ad və parolu soruşa bilər. Bu halda əlaqəni serverlə həqiqi əlaqə kimi qəbul edən istifadəçi ad və parolunu daxil etdikdə, ziyankar onlan qəbul edir və sistemin işini saxlayır (guya sistemdə ilişmə baş verdi və s.). Bundan soma, o, bu ad və paroldan istifadə etməklə asanlıqla sistemə daxil ola bilir. Belə təhlükənin qarşısım almaq üçün modul istifadəçiyə qoşulduğu sistemin və ya şəbəkənin həqiqi olub olmamasını müəyyən etməyə imkan verən proseduraları təqdim edir.
İdentifikasiya prosedurasının köməyi ilə hər bir istifadəçiyə, terminala, informasiya resurslarına, proqramlara və digər obyektlərə unikal identifikator mənimsədilir. Səhv identifikasiya hallarının qarşısını almaq məqsədilə bu identifikatorlara yoxlama ədədləri, parollar və ya digər nəzarət vasitələri uyğun qoyulur. Qeyd olunmalıdır ki, identifıkatorun və parolun istifadəsi yalnız onun tanınması üçün deyil, həm də müraciətlərin qeydiyyata almması üçün zəruridir.
Sistemə və onun resurslarına müraciətlərin qeydiyyaü informasiyanın sızmasının səbəbini və ya yerini müəyyənləşdirməyə kömək edə bilər. Əgər sistemdə müəyyən təhlükəsizlik səviyyəsi tələb olunarsa, onda istifadəçinin və sistemin həqiqiliyinin müəyyən edilməsi məqsədilə identifikasiya prosedurundan əlavə digər proseduralar da istifadə edilir.
İdentifikasiya sistemi həqiqiliyin müəyyən edilməsi prosedurası üçün baza rolunu oynayır. Həqiqiliyin müəyyən edilməsi prosedurası müraciət edən şəxsin həqiqətən də daxil edilmiş identifıkatorun sahibi olmasım müəyyən etməlidir. Həqiqiliyin müəyyən edilməsi üçün sistem tərəfindən müraciət edən şəxsdən müxtəlif xarakterli suallara cavab verməsini tələb edə bilər. Bunun üçün çoxsəviyyəli parol sistemi və ya dialoq mexanizmləri tətbiq olunur. Yüksək səviyyəli təhlükəsizliyin təmin edilməsi üçün müəyyən şərtlər daxilində dövri olaraq təkrar yoxlamalar həyata keçirilir.
İstifadəçi tərəfindən sistem və ya şəbəkə ilə qarşılıqlı əlaqə yaratdıqda hər iki tərəfin həqiqiliyinin müəyyən olunması üçün də parol və ya dialoq mexanizmlərindən istifadə olunur.
Sistemə və ya onun hər hansı resursuna icazəsiz daxilolma və ya istifadəçilərin hüquqlarının pozulması zamanı bu barədə sistem tərəfindən operatorun və şəbəkə inzibatçısının terminalına, "etibarh tenninaTa, eləcə də resursun sahibinə və hüququ pozulan istifadəçiyə müvafiq məlumat verilir.
Sistemə və ya resurslara daxilolma prosedurasının funksional sxemi 9.6 saylı şəkildə göstərilmişdir.
İnformasiya emalının idarə olunması modulu
Əgər girişin məhdudlaşdırılması üsullan qaydaları pozan şəxslərin qarşısını saxlaya bilmirsə, onda onlar sistemə daxil olaraq yaddaş qurğularında saxlanılan informasiyanı ələ keçirə, dəyişdirə və ya məhv edə bilər. Emal prosesinə nəzarət prosedurası mühüm məlumatları özündə saxlayan informasiya resurslarının, o cümlədən faylların emalına məhdudiyyətlər qoymağa imkan verir.
Məlum olduğu kimi, ümumiyyətlə, sistemə daxil olan istifadəçi yaddaş qurğusunda olan faylların oxunması, yüklənməsi və ya onlarda dəyişikliklərin aparılması və digər əməliyyatları yerinə yetirə bilər. Bir çox hallarda müəyyən istifadəçilər həmin fayllara baxmaq hüququna malik olur, lakin ona bu fayllarda dəyişikliklər etməyə icazə verilmir. Eyni zamanda, digər istifadəçilər bu fayllara baxa və onlarda dəyişikliklər apara bilər.
Şək.9.6. Girişin idarə olunması modulunun funksional
sxemi
Analoji şəkildə istənilən informasiya resursunun (fayl- lann, qovluqların, disklərin, disk qurğularının, proqramların, məlumat bazalarının və s.) istifadəsinə məhdudiyyətlər qoyula bilər.
Qeyd olunduğu kimi, istifadəçinin və ya şəbəkənin həqiqiliyi təsdiq olunduqdan sonra idarəetmə informasiyanın emalı prosesinin idarə olunması moduluna, o cümlədən bu modula daxil olan istifadəçilərin hüquq və səlahiyyətlərinin nəzarətdə saxlanması prosedurasına, əks halda isə sistemə girişlərin və müraciətlərin qeydiyyatının aparılması prosedurasına ötürülür. İstifadəçilərin hüquq və səlahiyyət-lərinin nəzarətdə saxlanması prosedurası seans müddətində istifadəçilərin işini nəzarətdə saxlayır.
İstifadəçilərin hüquq və səlahiyyətlərinin müəyyən edilməsi üçün ikiölçülü matrisdən istifadə olunur: A = {atj}, i = l,N,j = l,M, burada n - istifadəçilərin, m isə şəbəkə resurslarının sayıdır.
Matrisin sətirləri - abonentləri (istifadəçiləri), sütunları isə resursları göstərir, i sətri ilə j sütununun kəsişməsində yerləşən ay elementi i abonentinin j resursuna giriş kateqoriyasını (hüquq və səlahiyyətlərini) müəyyən edir. Bu matrisdə göstərilən hüquq və səlahiyyətlər şəbəkənin inzibatçısı və ya resursun sahibi tərəfindən müəyyən edilir və yalnız onların icazəsi ilə dəyişdirilə bilər.
Yüksək səviyyəli məxfiliyə malik olan məlumatları özündə saxlayan resurslara icazəsiz müraciət zamanı bu müraciəti həyata keçirən proqramın işinin dayandırılması, əlaqənin kəsilməsi, "ilişmə" vəziyyətinə keçilməsi və s. üçün tədbirlər görülür.
Məlum olduğu kimi, qanuni (avtorizə edilmiş) istifadəçi tərəfindən işə salman və məxfi informasiyam emal edən proqram işini başa çatdırdıqdan soma bu informasiyanın qalıqları əməli yaddaşda və digər yaddaş qurğularında qalır. Bu qalıqlar digər istifadəçilər və ziyankarlar tərəfindən istifadə oluna bilər. Ona görə də təhlükəsizlik sistemində yaddaş qurğularından qalıq məlumatların silinməsi prosedurası da nəzərdə tutulur.
Məlumatların bilavasitə mühafizəsi modulu
İnformasiyanın bilavasitə müdaxilədən qorunması modulu təhlükəsizlik sistemində informasiya daşıyıcılarında saxlanılan, emal olunan və şəbəkə vasitəsilə ötürülən məlumatların icazəsiz istifadədən qorunmasını təmin edir.
Sistemə və resurslara giriş və onların emalı qaydalarını pozan şəxs müvafiq məhdudiyyətləri qeyri-qanuni yollarla adlayıb keçdikdən soma bilavasitə məlumatlara və informasiya resurslarına icazəsiz giriş əldə etmiş olm. Bu halda kriptoqrafık sistemlərin və təhlükəsizlik protokollarının tətbiq edilməsi məlumatlara və informasiya resurslarına icazəsiz girişin qarşısının alınması üçün etibarlı vasitədir.
İTS tərkibinə daxil olan məlumatların kriptoqrafık qorunması modulu autentifıkasiya, məlumatların tamlığının yoxlanması, məlumatların məxfiliyinin təmin edilməsi üçün kriptoqrafık şifrləmə, elektron imza və açarların idarə olunması proseduralarım özündə birləşdirir.
Autentifıkasiya prosedurası məlumatların, istifadəçilərin və sistemin həqiqiliyinin müəyyən edilməsi funksiyala-
nnı yerinə yetirir. Kommersiya və məxfi rabitə sistemləri, eləcə də məxfi məlumatlarla işləyən digər sistemlərin abonentləri üçün autentifikasiyanın həyata keçirilməsi olduqca vacibdir.
İstifadəçinin həqiqiliyinin təyin olunması prosedurası aşağıdakı məsələlərin həllini nəzərdə tutur:
göndərən istifadəçi tərəfindən informasiyanın imzalanması;
informasiyanın həqiqətən identifikasiya olunan istifadəçi tərəfindən göndərildiyinin təsdiq edilməsi;
informasiyanın göndərilən ünvanda həqiqətən nəzərdə tutulan istifadəçi tərəfindən alınması və s.
Şəbəkənin həqiqiliyinin müəyyən edilməsi prosedurası istifadəçinin həqiqiliyinin təyin olunması prosedurasının əksinə olaraq, istifadəçiyə onun işlədiyi mühitin həqiqiliyini, yəni qoşulduğu şəbəkənin və ya sistemin həqiqətən onun qoşulma istəyi şəbəkə və ya sistem olduğunu təsdiq etməyə imkan verir.
Belə ki, ziyankar tərəf özünü qanuni istifadəçi kimi təqdim edə və həmin istifadəçinin adı altında onun ələ keçirilmiş rekvizitlərini istifadə etməklə sistemə daxil ola, məlumatlar hazırlaya, ala, ötürə, habelə öz məqsədləri üçün istifadə edə bilər.
Şəbəkədə informasiyanı alan və ya ötürən tərəflər (bəzən hər iki tərəf) onun həqiqiliyinin, yəni rabitə xətti vasitəsilə ötürülən zaman onun məzmununun təhrif olunmamasının təsdiqini tələb edə bilər.
Burada informasiyanın həqiqətən göndərilən şəkildə (təhrif olunmadan) ünvana çatması böyük əhəmiyyət kəsb edir. Bu məqsədlə məlumatların tamlığının təmin edilməsi prosedurasından istifadə edilir. Bu prosedura informasiyanın saxlanması, emalı və ötürülməsi zamanı onun tamlığının təmin edilməsi vasitələrini özündə birləşdirir, alman informasiyanın ilkin formaya və şəklə malik olmasım müəyyən edir.
Nəticə müsbət olduqda informasiyanın bilavasitə müdaxilədən qorunması və istifadəçilərin açarlarının idarə edilməsi modullarına bu barədə təsdiqedici məlumat qaytarır və onlar fəaliyyətini davam etdirirlər. Əks halda, bu xassələrin pozulması haqqında məlumat həmin modullara verilir və müvafiq tədbirlərin görülməsi barədə qərar isə onlar tərəfindən qəbul edilir.
Məlumatın məğzinin gizlədilməsi və icazəsiz müdaxilədən etibarlı qorunması üçün kriptoqrafik şifrləmə üsullarından istifadə edilir. Bu üsulların işlənib hazırlanması zamanı aşağıdakı amil nəzərə alınmalıdır: sistemə (o cümlədən sistemdə olan məlumatlara) giriş əldə etmiş ziyankar məlumatın şifrini açmaq, yəni məğzini (ilkin formasım) əldə etmək üçün olduqca böyük güc və vaxt sərf etməlidir və ya şifrin açılması real vaxt kəsiyində mümkün olmamalıdır.
Əvvəlki fəsillərdə qeyd edildiyi kimi, kriptoqrafik şifrləmə (o cümlədən asimmetrik şifrləmə) üsullarının və elektron imza texnologiyasının reallaşdırılması üçün açarlar tələb olunur. Bu baxımdan açarların generasiyası və ötürülməsi (onların sahiblərinə çatdırılması) İTS-in əsas problemlərindən biridir. Belə ki, gizli açarların tərəflərə etibarlı çatdırılması, asanlıqla yozulmayan (açılmayan) açarların generasiyası informasiya təhlükəsizliyinin təmin edilməsinin əsas şərtlərindən biridir.
Açarların generasiyası və paylanması mərkəzinin işi açarların idarə edilməsi prosedurası tərəfindən təşkil edilir, açarların ünvana çatdırılması üçün müvafiq təhlükəsiz mübadilə protokolları reallaşdırılır.
Bu modul açarların generasiyası, paylanması və saxlanması ilə yanaşı, köhnəlmiş açarların dəyişdirilməsi, istifadəçilər arasında açıq açarların mübadiləsi və digər funksiyaları yerinə yetirir.
Təhlükələrə nəzarət, vəziyyətin təhlili və qərarların qəbul edilməsi modulu
Vəziyyətin təhlili və təhlükələrə nəzarət modulu digər modullara nisbətən daha geniş funksiyalara malik olur. Bu funksiyalar bir neçə hissəyə bölünür:
diaqnostika;
sistemin fəaliyyətinin etibarlılığının təmin edilməsi;
təhlükələrin və pozuntuların aşkar olunması.
Sistemə və onun resurslarına istənilən icazəsiz giriş və ya digər pozuntular barəsində məlumat daxil olduqda birinci növ funksiyalar işə düşür. Onlar istifadəçilərin sistemə girişlərinə, hüquq və səlahiyyətlərinə nəzarətin diaqnostikasım həyata keçirirlər.
Sistemin fəaliyyətinin etibarlılığının təmin edilməsi funksiyaları təhlükəsizlik sisteminin bütün modul və proseduralarının işini tənzimləyir və nəzarətdə saxlayır. Əgər sistemin hər hansı elementi sıradan çıxarsa, onda bu barədə şəbəkə inzibatçısına məlumat verilir və zərurət yarandıqda idarəetmə təhlükəsizlik sisteminin struktur parametrlərinin yeniləşdirilməsi moduluna verilir.
Üçüncü hissə funksiyalar təhlükələrin və pozuntuların aşkar olunması üzrə tədbirləri həyata keçirir. Bu funksiyalar dövri olaraq yerinə yetirilir, təhlükəsizlik sisteminin bütün qovşaqlarım, açarların mübadiləsi protokolunu və paylanması mərkəzinin işini yoxlayan test prosedurasını həyata keçirir.
Sistemin resurslarına icazəsiz giriş təhlükəsi, istifadəçilərin hüquq və səlahiyyətlərinin pozulması hallan aşkar olunduqda sistemin inzibatçısına xəbərdarlıq edilir və idarəetmə baş verən pozuntuların qarşısının almması moduluna verilir.
Sistemdə istənilən icazəsiz giriş və ya pozuntu hallan olduqda baş verən pozuntuların qarşısınm alınması modulu işə düşür. Bu modul sistemin işinin dayandınlması, pozuntu nəticəsində ziyan vurulduqda sistemin bərpası, ziyanın aradan qaldınlması, yaddaş qurğularından “qalıq”- lann silinməsi və s. funksiyalarını yerinə yetirir.
Sistemdə təhlükəsizlik baxımından zəif yerlər aşkar olunduqda idarəetmə sistemin struktur parametrlərinin yeniləşdirilməsi moduluna verilir.
Təhlükəsizlik sisteminin struktur parametrlərinin yeniləşdirilməsi modulu idarəetməni qəbul etdikdən sonra sistemin inzibatçısının rəhbərliyi altmda sistemin konfiqurasiyasında dəyişikliklərin aparılmasına başlayır. Bu modul sıradan çıxmış istənilən modulu təhlükəsizlik sistemində ayıra, başqası ilə əvəzləyə və ya yeni modulu əlavə edə bilər və s.
Aydındır ki, KSŞ-də və ya informasiya emalı sistemlərində həyata keçirilən istənilən, o cümlədən icazəsiz və qeyri-qanuni əməllər (hərəkətlər) onun vəziyyətini dəyişir. Ona görə də şəbəkənin və sistemin vəziyyəti daima nəzarətdə saxlanılır, onun konfiqurasiyasının zəif tərəfləri aşkar olunur, qoruma vasitələrində ən zəif yerlər müəyyən edilir və aradan qaldırılır.
Vəziyyətin təhlili üçün təhlükəsizliyin pozulmasına yönəlmiş bütün cəhdlər müntəzəm olaraq protokollaşdırılır və ekspert təhlili aparılır. Zəruri hallarda, gələcəkdə yerinə yetirilməsi tələb olunan tədbirlər barədə müvafiq qərarlar qəbul edilir. Məsələn:
İTS-ə daxil olan qoruma üsullarının dəyişdirilməsi və ya təkmilləşdirilməsi;
İTS-ə yeni qoruma üsul və vasitələrinin daxil edilməsi;
KSŞ-nin və ya informasiya sisteminin, eləcə də İTS-in konfiqurasiyasının dəyişdirilməsi.
İTS paylanmış mürəkkəb kompleks olduğundan onun idarə edilməsi prosesinin səmərəliyini təmin etmək üçün süni intellektual üsul və vasitələrindən istifadə olunması daha effektiv nəticəni təmin edir. İTS-də məlumatların qorunması proseslərini üç kateqoriyaya ayırmaq olar:
sürətlə baş verən proseslər - sistem resurslarına giriş hüquqlarının yoxlanması zamanı xidməti məlumat bazalarında növbələrin əmələ gəlməsi və çəkilməsi;
asta baş verən proseslər - qoruma funksiyalarının reallaşdırılması barədə sorğuların intensivliyinin dəyişməsi;
- çox asta baş verən proseslər - açarların və parolların köhnəlməsi.
Bu proseslərin izlənməsi və baş verməsinin təhlili üçün müvafiq ekspert sisteminin yaradılması tövsiyə olunur. Şəbəkədə və ya sistemdə baş verən pozuntu və ya sıradan çıxma halları aşkar olunduqda reaksiyanın verilməsini avtomatlaşdırmaq və sürətləndirmək məqsədilə informasiya təhlükəsizliyinin təmin edilməsi vasitələrinin idarə olunması üzrə qərarların qəbul edilməsi prosedurası zəruri funksional komponentləri özündə birləşdirir (şək.9.7).
Təhlükəsizlik sisteminin funksional nəzarəti altsistemi qoruma vasitələrinin normal işləməsini yoxlamaq üçün test əmrlərini formalaşdırır və şəbəkəyə göndərir. Yoxlamaların nəticələri real vaxt masştabında bu altsistem tərəfindən toplanılır. Bu, baş verən pozuntulara operativ reaksiyanın verilməsi imkanlarını təmin edir.
Yoxlamanın nəticəsi haqqmda sistemdən daxil olan məlumatlar onun cari vəziyyəti haqqmda bilikləri yeniləşdirmək üçün istifadə olunur və əvvəlki biliklərlə birlikdə zəruri idarəedici tədbirlərin (təsirlərin) həyata keçirilməsi üçün əsas rolunu oynayır.
Daxil olan informasiyanın biliklər bazasının daxili formatına çevrilməsi və təhlükəsizlik sisteminin işinin modelləşdirilməsi üçün ilkin məlumatların formalaşdırılması nəticələrin interpretasiyası altsistemi tərəfindən yerinə yetirilir.
Məntiqi nəticə çıxarma bloku sistemdə və şəbəkədə baş verən pozuntu hallarmm qarşısının alınması və ya kompensasiyası məqsədilə yerinə yetirilən idarəedici təsirlərin,
Şək.9.7. Qərar qəbuletmə prosedurasının funksional strukturu sistemin və ya şəbəkənin elementlərinin və qoruma vasitələrinin növlərini müəyyən etmək üçün nəzərdə tutulmuşdur.
Şəbəkədə informasiyanın sızmasına, itməsinə və ya dəyişdirilməsinə gətirib çıxara biləcək pozuntu halları aşkar olunan zaman icazəsiz daxilolma yerinin dəqiqləşdirilməsi və lokallaşdınlması, eləcə də informasiyanın sızması kanalının müəyyənləşdirilməsi üçün süni intellekt aparatının elementlərindən istifadə etmək olar.
Qərarların qəbul edilməsi prosedurasının funksiyalarının yerinə yetirilməsi, eləcə də ekspert sisteminin reallaşdırılması üçün süni intellekt və qeyri-səlis çoxluqlar nəzəriyyələrinin imkanlarından istifadə edilir.
Ekspert sistemi təhlükəsizlik sisteminin vəziyyətini daim nəzarətdə saxlayır, biliklər bazasını real vaxt inter- valında aparılmış yoxlamalar nəticəsində alman məlumatlarla doldurur və məntiqi nəticə çıxarır.
Giriş hüquqlarının və səlahiyyətlərin pozulması hallan, sistemdə zəif yerlər və informasiyanın sızması kanalları, şifrləmə üsullarında və informasiya mübadiləsi protokol- lannda boşluqlar aşkar edildikdə, eləcə də digər müvafiq hallarda məsul operatora idarəedici əmrlər və məlumatlar verilir. Bu əmrlərə nümunə kimi aşağıdakıları göstərmək olar:
seansı təcili dayandırmaq;
sıradan çıxmış qovşağı sistemdən və ya şəbəkədən ayırmaq;
qoruma vasitəsini və mübadilə protokolunu yenisi ilə əvəz etmək;
- mütəmadi olaraq abonentlərin (istifadəçilərin) açarlarını dəyişdirmək və s.
Belə qurulmuş ekspert sistemi iş prosesində İTS-in fəaliyyətinin səmərəliyini və etibarlılığını təmin edir. Mövcud özünü adaptasiyaetmə bloku məntiqi nəticə çıxarma prinsipinə əsaslanaraq, sistemin etibarlığını və modullulu- ğunu yüksəltmək məqsədilə onun parametrlərini dəyişdirir.
Burada modulluluq dedikdə sistemin elementlərinin müstəqil və bir-birindən asılı olmadan reallaşdırılması və fəaliyyət göstərə bilməsi qabiliyyəti başa düşülür. Belə ki, hər hansı element sıradan çıxdıqda belə sistemdə informasiya sızmasma və onun işinin dayanmasına gətirib çıxarmamalıdır.
İnformasiya təhlükəsizliyinin təmin edilməsinin idarə olunması prosesində izahetmə blokunun və dialoq prosessorunun köməyi ilə məsul operatora və ya şəbəkə inzibatçısına məlumat göndərilir. Məsul operator və ya şəbəkə inzibatçısı istənilən mərhələdə idarəetmə prosesinə qarışmaq və idarəedici əmrlər vermək hüququna malikdir. Onun bütün hərəkətləri (əmrləri və idarəedici təsirləri) biliklər bazasında qeydiyyata alınmalı və ekspert sistemi tərəfindən real vaxtda təhlil olunmalıdır.
TÖVSİYƏ OLUNAN ƏDƏBİYYAT
Normativ-hüquqi aktlar
"İnformasiya, informasiyalaşdırma və informasiyanın qorunması haqqında" Azərbaycan Respublikasının Qanunu. Bakı. 3 aprel 1998-ci il.
“Elektron imza və elektron sənəd haqqında” Azərbaycan Respublikasının Qanunu. Bakı. 9 mart 2004-cü il.
"Milli təhlükəsizlik haqqında" Azərbaycan Respublikasının Qanunu. 3 avqust 2004-cü il.
“Dövlət sirri haqqında” AR. Qanunu. Bakı, 7 sentyabr 2004-cü il.
“Məlumat toplularının hüquqi qorunması haqqında” Azərbaycan Respublikasının Qanunu. 14 sentyabr 2004-cü il.
“Elektron ticarət haqqında” Azərbaycan Respublikasının Qanunu. 10 may 2005-ci il.
“İnformasiya əldə etmək haqqında” Azərbaycan Respublikasının Qanunu. 30 sentyabr 2005-ci il.
“Azərbaycan Respublikasının milli təhlükəsizlik konsepsiyası”. 23 may 2007-ci il.
Azərbaycan dilində
“İnformasiya təhlükəsizliyi”. İnformasiya bülleteni. Azərbaycan Respublikasının Prezidenti yanında Dövlət Sirrinin Mühafizəsi üzrə İdarələrarası Komissiya. 2008. Na 1.
“İnformasiya təhlükəsizliyi”. İnformasiya bülleteni. Azərbaycan Respublikasının Prezidenti yanında Dövlət Sirrinin Mühafizəsi üzrə İdarələrarası Komissiya. 2008. Na 2.
Abbasov Ə.M., Əliyev F.Ə., Əliyev Ə.Ə., Əhmədov F.B. İnformatika, telekommunikasiya və radioelektro- nika üzrə ingiliscə-rusca-azərbaycanca lüğət. - Bakı. Elm, 2004. -296 s.
Əliquliyev R.M., İmamverdiyev Y.N. Rəqəm imza texnologiyası. Bakı. Elm, 2003. - 132 s.
Əliquliyev R.M., İmamverdiyev Y.N. Kriptoqrafıya- nm əsaslan. Bakı, "İnformasiya texnologiyalan". 2006. - 688 s.
Əliquliyev R.M., İmamverdiyev Y.N. Kriptoqrafiya tarixi. Bakı, "İnformasiya texnologiyaları". 2006. - 192 s.
Qasımov V.Ə. İnformasiya təhlükəsizliyi: kompyuter cinayətkarlığı və kibertenorçuluq. Bakı. Elm, 2007. - 192 s.
Rus dilində
A66acoB A.M., AnryjineB P.M., KacyMOB B.A. IIpoö- jıeMM HH(|)opMaıiHOHiıoH öesonacHOCTn b KOMiibioıep- hbix cerax. Baıcy: Əjim, 1998. - 235 c.
AanreeB M.F. BBcacıme b KpunTorpa^mo. - Poctob- HaJloııy: IYu-bo Poctobckofo FY, 2002. -36 c.
Ajı^epOB A.Ü., 3y6oB A.K)., Kvibmuh A.C., Hepe- MymKMH A.B. Ochobm KpnnTorpa^ım.-M.: Feımoc APB, 2001.- 480 c.
AnapuanoB B.H., EopojiHH B.A., Cokojiob A.B. «IHımoHCKne ııiTyviKn» h ycıponciBa hjis 3aınnTbi oöbcktob h MH(|jopMauHH. CaHKT-üeTepöypr, Jlaıib. 1996. 272 c.
BepeHT C., IIəhh C. KpınrrorpatjjHa. O(J)nunajibnoe pyKOBO^CTBO RSA Security. -M.: OOO «Bhhom- IIpecc», 2007. -384 c.
EnflHycB T.A. BesonacHOCTB KopnoparHBiibix ceTefi. Yhcöhoc nocoGne.// CaHKT-IIeTepöypr. CII6 İY HTMO, 2004. -161 c.
Bojiotob A.A. h ap. OjıeMCHTapHoe bbc;ichhc b əji- jnınTnHecKyıo KpnnTorpa^Hio. AjıreöpannecKHe h ajıropHTMHHecKHe ochobm. -M.: KoMKınıra, 2006. 328 c.
Bapjıaraa C.K., IIIaxaHOBa M.B. Annaparao-npor- paMMiibie epeaCTBa h MCToabi 3am,HTt>ı nH(|)opMau,nn. - BjıaaHBocTOK: Pha-Bo ^IBITY. 2007. 318 c.
BacHJieHKo O.H. TeopeTHKO-HHCJioBbie a.uropHTMbi b KpunTorpa^HH. — M.: MIJHMO, 2003. -328 c.
rajıareHKo B.A. CraııaapTbi HHfjjopMannoHHon öe3o- nacHocTH. -M.: HHTYHT.PY 'HnTcpııCT-yHHBcp- cnreT HT", 2004. - 328 c.
rpHÖyHHH BT., Okob H.H., TypHHijeB H.B. U,n(j)po- Baa CTeraHorpa^na. -M.: ConoH-IIpecc, 2002. 265 c.
rpoysep JJ. 3amHTa nporpaMMHoro oöecneneHiıa. - M.: Paano h CB5i3i>, 1992. -286 c.
rpymo A.A., TnMomnHa E.E. TeopeTnnecKne ocho- Bbi 3amnibi HH(|)opMaıiHH. -M.: HsaaıenbCTBo AreH- CTBa "RxTCMeHT", 1996. -192 c.
r'yöeıiK'OB A.A., BafiöypnH B.B. HııcJıopMaıiHOHHaa 6e3onacHocTi>. -M.: 3AO "Hobhh H3aarenbCKHH 30M", 2005.-128 c.
TKcjibHHKOB B. KpnıiToı pa(J)HM ot nannpyca ao KOMiibiorepa. -M.: ABF, 1996.
3enKAi>ı n.fl. Teopna n npaKTUKa o6ecııeııeHHa hh- ^opMauHOHHofi 6c3OiıacHOCTH. M.: HsaaıeıibCTBo ArencTBa ".Hxtcmcht". 1996. -192 c.
3nMa B.M., Mojiaobsh A.A., Mojı,n,OB5iH H.A. Be3- onacHOCTb ıjıoöajibiibix cctobbix Texnonornö. -CII6.: BXB-IIeTep6ypr, 2003. - 368 c.
>Kejıe3HHK B.K. 3aınnTa HH^opMaıjnn ot vtchkh no TexHHHecKMM KananaM: yHCÖHoe nocoöne. LYAII. - CII6., 2006. - 188 c.
3y6oB A.K). KpnnTorpa(J)HHCCKne Meroabi sanımu MH(J)opMauHH. CoBepmeHHbic mnc|)pbi: yHCÖHoe noco- 6ne. -M.: Teımoc APB, 2005. - 192 c.
KasapuH O.B. Be3onacHocTi> nporpaMMnoro oöecne- Heıına KOMiibiorcpHbix chctcm. MoHoıpacJiHM. - M.: MTYJI, 2003.-212 c.
Kan fl. Bijiomihhkh kojiob. -M.: HsaaTejibciBo ”IJeHTpnojmrpa^“, 2000. - 473 c.
KoHeeB H.P., BejıaeB A.B. HH^opMannoHHaa 6e30- nacHOCTb npeanpuMTHM. - CII6.: BXB-üeTepöypr, 2003.
KopınomnH Ü.H., KocTepnn C.C. HHfjjopMaıjnoHHaa 6e3onacHocu>. -Bjıa;ınB0CT0K. HıaaTCJibCTBo flajib- HeBOCTOHHoro EY, 2003. -155 c.
KoxaııoBHH f.0.. IIy3BipeHK0 A.K). KoMiiBioTepHaa CTeranorpa(J)HM. Teopna n npaKTUKa. - M.: MK- Ilpecc, 2006. 288 c.
JleBHH Eapo.au K. CeK'pcabi HHTepneT. -Khcb: ^(najıeKTMKa, WH^opMeimın KOMiibiorcp ƏHTepnpafia, 1996. -544 c.
JleBHH M. Kpınrrorpatjma 6e3 ceıcpeTOB: Pvkobo.ictbo nojn>3OBaTejıa. -M.: "Hobbih H3,aaTeabCKHH ziom".
- 320 c.
Mc.iBcaoBCKHH H.fl., Ccmbjihob II.B., JIcohob flT. Axana na HurepHCT. - M.: flMK, 2000. - 336 c.
Okob H.H. KpHnTorpa(J)HHecKHe cuctcmbi saııiHTbi HH^opMaıpın. - CI16.:, BYC, 2001. -236c.
P>KaBCKHH K.B. PİH(J)opManHOHHaa öeaonacHOCTb: npaKTnnecKaa saniHia HH(|)opManHOHHBix tcxhojio- rıriı h TeacKOMMyHHKauHOHHbix ceTefi. YneOnoc nocoöne. - Bonrorpa^. Ü3-bo BojiFY, 2002. -122 c.
PoManep KD.B., TuMOtjıeeB Ü.A., IHaHBrnn B.Q. 3an;HTa HH(J)opMaıiHH b KOMnBioTepHBix cncTeMax n ceTax. -M.: Pa^no n cb«3b, 2001. -376 c.
Caaep^HHOB A.A., TpainıeB B.A., Oe^ynoB A.A. ÜH^opMaıiHOHHaa 6e3onacHOCTB ııpcanpHMTHM. YHeÖHoe nocoöne. -M.: "^(aniKOB n K°", 2005. - 336c.
Cuhtx C. Knara ko.iob: Tainıaa ncropua ko.iob n hx "B3JiOMa". -M.: ACT:AcTpejiB, 2007. -447c.
CKjıapoB ^.B. HcKyccTBO 3amnTBi n B3JioMa HHtjıop- MaıiHH. -CaHKT-IIeTepöypr: BHV-CaHKT-IIeTep- 6ypr, 2004. -288 c.
Cxıapı H. KpunTorpatjjna. -M.: Texnoctjıepa, 2006. - 528 c.
Cokojiob A.B., OrenaınoK O.M. 3anprra ot kom- ntıOTepHoro Teppopn3xıa. CnpaBOHHoe nocoöne. - CII6.: BXB-EIeTep6ypr; Apjnrr, 2000. - 496 c.
Cokojiob A.B., IIlaHrnH B.O. laıunıa HH(J)opMaunn b pacnpcacjıeHHbix KopnopaTHBHbix ccTflx u cncıe- Max. U flMK Ilpecc, 2002. -656 c.
CnecMBiıeB A.B., Bernep B.A„ KpyraKOB A.K). h jjp. 3amma HHtJjopMaumı b nepcoHajn>Hi>ıx ƏBM. - M.: Pajjno n cbmsb, 1992. -192 c.
Ctcht fl., MyH C. CeKpeTM öesonacHOCTn ceTen. - Khob: flnajıeKTHKa, HHcJjopMeüııiH KOMiibiorcp 3h- Tepnpaıİ3, 1996. -544 c.
TaneHÖayM Ə. KoMnbiorepıibie ccth. -CI16.: üırrep,
- 992 c.
TopOKHH A.A. HH/KeHCpHO-TCXHHHCCKaM 3aiHHTa HH^opMamm. -M.: Tennoc APB, 2005. -960 c.
ytjjuMijeB E.A., Epo^eeB E.A. HH^opMannonnaa 6e3onacHOCTi> Pocchm. -M.: “ƏK3aMeH”, 2003. - 560c.
Xh/khhk II.JI. ITnıneM Bupyc n ... aHTHBnpyc. -M.: WHTO, 1991.-90 c.
Xoc|)(J)MaH CoBpcMemibie mcto^m jaıuHTbi
HHfjıopMaıjnH. -M.: Cobctckoc pa/pıo, 1980. 264 c.
IIIeHHOH K. PaöoTM no Teopnn HH(j>opMannH h Kn- öepHeTHKH / Ilep. c aHrjı. -M.: HHocıpaınıafl jihtc- paıypa, 1963. - 829 c.
K)cynoB P.M. U ay Ka u HanHonajibHaa öcsoııac- hoctb. - CII6.: Hayxa, 2006. -290.
-Hkobjicb B.A. 3amma MH^opManjm Ha ochobc KO^OBoro 3aınyMjıeHna. Hacab 1. Teopna KoaoBoro saınyMjıenna. / floa pe^. B.H. Kop>KHKa.- C.II6.: BAC, 1993.-245C.
ÜKOBjıeB A.B., BesöoroB A.A., Pojihh B.B., IIIaM- khh B.H. KpHiiTorpa(|)nııecKaa sanıma MH(|)opMa- hhh. - TaMöOB: HsaarejibCTBo TTTy, 2006. -140 c.
üpoHKMH B.H. Hn^opManjıoHHaa 6esonacnocTi>. - M.: TpHKCia, 2005. -544 c.
|
|
Bosh sahifa
Aloqalar
Bosh sahifa
Vaqif qasimov informasiya təhlükəsizliyinin əsasları Dərslik Azərbaycan Respublikası Milli Təhlükəsizlik Nazirliyinin Heydər Əliyev adma Akademiyasının Elmi Şurasının 29 aprel 2009-cu IL tarixli iclasının qərarı ilə
|