2.3. Kompyuter tarmoqlariga hizmat ko’rsatish maqsadida kompyuter tarmog'ining xavfsizligini ta'minlash
Kompyuterning "xavfsizlik" holati uchta jarayon orqali erishiladigan kontseptual idealdir: tahdidning oldini olish, aniqlash va javob berish. Ushbu jarayonlar turli xil siyosat va tizim komponentlariga asoslanadi, ular quyidagilarni o'z ichiga oladi:
Tizim fayllari va ma'lumotlarini himoya qila oladigan foydalanuvchi hisobiga kirishni boshqarish va kriptografiya.
Kompyuter tarmoqlari xavfsizligi nuqtai nazaridan eng keng tarqalgan oldini olish tizimlari bo'lgan xavfsizlik devorlari. Buning sababi shundaki, ular (agar to'g'ri sozlangan bo'lsa) ichki tarmoq xizmatlariga kirishni himoya qila oladi va paketli filtrlash orqali ma'lum turdagi hujumlarni bloklaydi. Faervollar apparat yoki dasturiy ta'minot bo'lishi mumkin.
Intrusion Detection Systems (IDS), bu jarayonda tarmoq hujumlarini aniqlash va hujumdan keyin yordam ko'rsatish uchun mo'ljallangan, audit yo'llari va kataloglari esa alohida tizimlar uchun xuddi shunday vazifani bajaradi.
"Javob" albatta individual tizimning baholangan xavfsizlik talablari bilan belgilanadi va himoyaning oddiy yangilanishidan tegishli organlarni xabardor qilish, qarshi hujum va hokazolargacha bo'lishi mumkin. Ba'zi maxsus holatlarda buzilgan yoki shikastlanganni yo'q qilish yaxshidir. tizim, chunki hamma resurslar ham topilmasligi mumkin.
Bugungi kunda kompyuter tarmog'ining xavfsizligi asosan xavfsizlik devori yoki tizimdan chiqish tartib-qoidalari kabi "profilaktik" choralarni o'z ichiga oladi.
Xavfsizlik devori xost yoki tarmoq va Internet kabi boshqa tarmoq o'rtasida tarmoq ma'lumotlarini filtrlash usuli sifatida aniqlanishi mumkin. U real vaqt rejimida filtrlash va blokirovka qilishni ta'minlash uchun tarmoq stekiga (yoki UNIX-ga o'xshash tizimlar bo'lsa, OS yadrosiga o'rnatilgan) ulanadigan mashinada ishlaydigan dasturiy ta'minot sifatida amalga oshirilishi mumkin. Yana bir amalga oshirish tarmoq trafigini alohida filtrlashdan iborat bo'lgan "jismoniy xavfsizlik devori" deb ataladi. Bunday vositalar Internet tarmog'iga doimiy ulangan kompyuterlar orasida keng tarqalgan bo'lib, kompyuter tarmoqlarining axborot xavfsizligini ta'minlash uchun faol foydalaniladi.
Ba'zi tashkilotlar ilg'or doimiy tahdidlarni aniqlash uchun ma'lumotlar mavjudligi va mashinani o'rganish uchun katta ma'lumotlar platformalariga (masalan, Apache Hadoop) murojaat qilmoqdalar.
Kompyuter tizimlarining to'g'riligini rasmiy tasdiqlash mumkin bo'lsa-da, bu hali keng tarqalgan emas. Rasmiy sinovdan o'tgan operatsion tizimlar orasida seL4 va SYSGO PikeOS mavjud, ammo ular bozorning juda kichik qismini tashkil qiladi.
Tarmoqdagi axborot xavfsizligini ta'minlovchi zamonaviy kompyuter tarmoqlari ikki faktorli autentifikatsiya va kriptografik kodlardan faol foydalanmoqda.Bu quyidagi sabablarga ko'ra xavflarni sezilarli darajada kamaytiradi.
Bugungi kunda kriptografiyani buzish deyarli mumkin emas. Uni amalga oshirish uchun ma'lum bir kriptografik bo'lmagan kiritish (noqonuniy ravishda olingan kalit, oddiy matn yoki boshqa qo'shimcha kriptoanalitik ma'lumotlar) talab qilinadi.
Ikki faktorli autentifikatsiya - bu tizimga ruxsatsiz kirish yoki maxfiy ma'lumotni yumshatish usuli. Xavfsiz tizimga kirish ikki elementni talab qiladi:
"Sizda nima bor" - karta, kalit, mobil telefon yoki boshqa jihozlar.
Bu kompyuter tarmoqlarining xavfsizligini oshiradi, chunki ruxsatsiz foydalanuvchi kirish uchun ikkala elementga bir vaqtning o'zida kerak bo'ladi. Xavfsizlik choralariga qanchalik qat'iy rioya qilsangiz, shunchalik kamroq buzilishlar sodir bo'lishi mumkin.
Tizimlaringizni doimiy ravishda xavfsizlik tuzatishlari va yangilanishlari, maxsus skanerlar yordamida yangilab turish orqali buzg'unchilar ehtimolini kamaytirishingiz mumkin. Ma'lumotlarning yo'qolishi va buzilishining ta'sirini ehtiyotkorlik bilan zaxiralash va saqlash orqali yumshatish mumkin.
Uskuna ham tahdid bo'lishi mumkin. Masalan, xakerlik ishlab chiqarish jarayonida zararli tarzda kiritilgan mikrochiplardagi zaifliklar yordamida amalga oshirilishi mumkin. Kompyuter tarmoqlarida ishlash uchun apparat yoki yordamchi xavfsizlik ham muayyan himoya usullarini taklif etadi.
Kirish kalitlari, ishonchli platforma modullari, tajovuzni aniqlash tizimlari, diskni blokirovka qilish, USB portlarni o'chirish va mobil qurilmalarga kirish kabi qurilmalar va usullardan foydalanish saqlangan ma'lumotlarga jismoniy kirish zarurati tufayli xavfsizroq hisoblanishi mumkin. Ularning har biri quyida batafsilroq tavsiflanadi.
Ishonchli platforma boshqaruvi (TPM) qurilmalari mikroprotsessorlar yoki chipdagi kompyuterlar deb ataladigan qurilmalar yordamida kriptografik imkoniyatlarni kirish qurilmalariga birlashtiradi. Server tomonidagi dasturiy ta'minot bilan birgalikda ishlatiladigan TPMlar apparat qurilmalarini aniqlash va autentifikatsiya qilish hamda tarmoq va ma'lumotlarga ruxsatsiz kirishni oldini olishning ajoyib usulini taklif etadi.
Kompyuterga kirishlarni aniqlash tugmachali tugma yordamida amalga oshiriladi, u mashina korpusi ochilganda ishga tushadi. Mikrodastur yoki BIOS qurilma keyingi yoqilganda foydalanuvchini ogohlantirish uchun dasturlashtirilgan.
Kompyuter tarmoqlarida axborotni himoya qilish funksiyalari imtiyozlarni ajratish va kirish darajasiga asoslanadi. Bunday ikkita model keng qo'llaniladi - kirishni boshqarish ro'yxatlari (ACL) va xususiyatga asoslangan xavfsizlik.
Dasturlarni cheklash uchun ACL dan foydalanish ko'p holatlarda xavfli ekanligi isbotlangan. Masalan, asosiy kompyuterni aldab, bilvosita cheklangan faylga kirishga ruxsat berish mumkin. Bundan tashqari, ACLning faqat bitta foydalanuvchiga ob'ektga kirish huquqini berish haqidagi va'dasini amalda hech qachon kafolatlab bo'lmasligi ko'rsatilgan. Shunday qilib, bugungi kunda barcha ACL-ga asoslangan tizimlarda hali ham amaliy kamchiliklar mavjud, ammo ishlab chiquvchilar ularni faol ravishda tuzatishga harakat qilmoqdalar.
Xususiyatlarga asoslangan xavfsizlik asosan tadqiqot operatsion tizimlarida qo'llaniladi, tijorat operatsion tizimlari esa hali ham ACLlardan foydalanadi.
