Ақпараттық қауіпсіздікті қолдаудың келесі үш мақсаты

Ақпараттық қауіпсіздікті қолдаудың келесі үш мақсатын қарастырамыз: құпиялық (конфиденциальность), тұтастық (целостность)  және әзірлік (готовность).

 Қауіпсіздікті қолдау мақсаттарын жүйелеу

Ақпараттық қауіпсіздіктің  негізгі үш аспектісі 2 – суретте келтірілген. Олар:

- әзірлік (қол жетерлік), яғни тиімді уақыт аралығында қажетті ақпараттық қызметті алу;

- тұтастық (бүтіндік),  яғни  ақпараттың қайшылықсыз және лездік, оны құрту мен рұқсат етілмеген  өзгерістерден қорғау;

- құпиялық (жасырын), яғни рұқсат етілмегенді  оқып шығудан  қорғау).

Ақпараттық қауіпсіздіктің негізгі қауіптері

Қазіргі заманғы ақпараттық жүйелердің күрделі екені белгілі. Олар әртүрлі сатылы бір-бірімен байланысты үлкен санды компоненттерінен жиналып, деректермен алмасады. Тәжірибе жүзінде әрбір компонент саптан шығуы немесе сыртқы әрекетке ұшырауы мүмкін. Автоматтандырылған ақпараттық жүйенің компоненттерін мына топтарға бөлуге болады:

1) аспаптық құрал – компьютер  және оның құрылымы  (процессор, монитор, терминал, шеткі (перифериалдық) құралдар – дисковод, принтер, контроллер, кабель, байланыс сызықтары және  т.б.);

2) бағдарламалық қамтамасыз ету - операциялық жүйелер және жүйелік бағдарламалар (компиляторлар, құрастырушылар және т.б.), утилиттер, диагностикалық бағдарламалар және т.б.;

3) деректер - магнитті таратушыда терілген, архивтегі жүйелі журналдарда тұрақты және уақытша сақталады;

4) персонал – қолданушы және қызмет ету персоналы.

Компьютерлік ақпараттық жүйелерге қауіпті әрекеттерді кездейсоқ және әдейілеп жасалынған деп бөлуге болады. Жұмыс кезінде кездейсоқ әрекеттердің себебі мыналар болып табылады:

-        электр көздерін сөндіру және апаттылық кезіндегі ахуал;

-        аспаптардың жұмыс істеуден шығуы;

-   бағдарламалық қамтамасыз етудегі қателіктер;

-   персонал жұмысындағы қателіктер.

Сыртқы ортаның әрекетінен желі байланыстарындағы бөгеуіл деп отырғанымыз - әдейілеп жасалынған әрекеттер -  бұл бұзушының мақсат қойған әрекеті. Бұзушы ретінде: жұмысшы, келуші, бәсекелесуші және тағы басқалар болуы мүмкін. Сондықтан қауіптердің келесі түрлерін қарастыруға болады:

- Өздік қауіптер (стихиялық апаттар, от, заттың уақыт өте бұзылуы және т.б.).

- Ұрлап алу.

- Рұқсатсыз оқу/жазу.

- Ақпараттың жойылуы.

- Электр қорек көзінің тұрақсыздығы.

Қауіптердің пайда болу жолдары келесі:

- Өздігінен болатын қауіптер (техниканың өзіне байланысты) .

- Қызметкерлердің абайсыздығынан (құлату, сындыру, т.с.с.).

- Заңсыз бұзу арқылы.

- Табиғи апаттар.

- Заңсыз ақпарат алу арналарының топтары.

- Байланыс сымдарына қосылу.

- Жүйеге зақым келтіріп, ақпарат алуға мүмкіндік беретін бағдарламаларды енгізу.

- Ақпарат сақтағыштарды ұрлау.

- Ақпарат сақтағыштардағы ақпаратты көшіру.

Ақпараттың бұзылу себептеріне тоқтасақ, олар:

- құралдардың ескіруі (дискінің фрагментациясы);

- физикалық көрсеткіштердің белгілі бір шамадан ауытқуы (кернеу, ылғалдылық т.б.);

- зиянды бағдарламалардың салдары.

Сонымен біздің қарастырған ақпараттық қауіпсіздіктің негізгі қауіптері:

- Ақпараттың бүтіндігінің бұзылуы.

- Қызметкерлердің абайсыздығынан (құлату, сындыру т.с.с.).

- Заңсыз бұзу арқылы.

- Жүйеге зақым келтіріп, ақпарат алуға мүмкіндік беретін бағдарламалық енгізу.

- Ақпарат сақтағыштардағы ақпаратты көшіру.

Ақпараттық қауіпсіздікті қамтамасыз ету

Жоғарыда қарастырылған қауіптерге төтеп беруді және шабуылдармен күресу жолдарын қарастырайық:

- Сервердегі ақпараттың көшірмесін жасаймыз.

- UPS орнатамыз.

- Вирустарға төтеп беретін бағдарламаларды орнатамыз.

- Ақпаратты көшіруге тыйым салынады (яғни  салмақты ақпаратты көшіру мүмкіндіктері тек қана әкімші арқылы іске асырылады).

Серверде белгілі құқықтары бар пайдаланушыларды, топтарды құрамыз (әр пайдаланушыға өз аты, кілті беріледі және жасайтын жұмысына тән белгілі бір құқықтары беріледі).

Ақпаратты қорғаудың төменде көрсетілген бірнеше түрлері бар: физикалық (механикалық, электро- және электронды-механикалық  потенциалды енушілердің жолындағы қарама-қайшылық); заң шығару, демек заңды түрде (заңдар, нормативті актілер, үлгілер және т.б.); әкімшілік (жалпы мінез-құлықтағы әрекеттер, кәсіпкер басшысымен ұйымдастыру); аспапты-бағдарламалы (электронды құрылыс және арнайы ақпаратты қорғау бағдарламалары); адамгершілік-этикалық; құраулық-бағдарламалық (электронды құрылғылар және ақпаратты қорғаудың арнайы бағдарламалары).

Ақпараттарды қорғау 

Ақпаратты құраулық – бағдарламалық қорғау жүйелері

Windows 2007, Windows XP, Windows NT сияқты ДК-ге арналған ОЖ-дің өзіндік қорғау жүйелерінің бар болғанымен, қосымша қорғау құралдарын құру өзектілігі қазір де сақталады. Жүйелердің көбі оларға жатпайтын ақпараттарды қорғай алмайды, мысалы, желіде ақпараттық алмасу кезінде.

Ақпаратты құраулық – бағдарламалық қорғау құралдарын бес топқа бөлуге болады:

1) Пайдаланушыларды идентификация және аутентификация жүйелері.

2) Дискілік ақпараттардың шифрлау жүйелері.

3) Желі бойынша тасымалданатын ақпараттарды аутентификация жүйелері.

4) Электронды ақпараттарды аутентификация жүйелері.

5) Криптографиялық кілттерді басқару жүйелері.

Операциялық жүйелер беретін қорғау құралдары

Бұрын қауіпсіздікті қаматамасыз ету үшін есікті құлыптап немесе құнды қағаздарды сейф ішіне жауып қойсақ жеткілікті болатын. Қазіргі кезде ақпаратты сақтау үшін тек қағазбен пайдаланбайды, компьютерлік деректер базасында (ДБ) картотека ішіндегі карточкалар сияқты файлдар сақталады. Қатқыл дисктер және дискеталар біздің көптеген құпияларымызды сақтайды.

Компьютерде немесе желі ішінде сақталынатын деректерге қатынау, әдетте келесі операциялық жүйелер (ОЖ) көмегімен іске асырылады:

-   DOS; Windows; Windows NT; MacOS; UNIX; Linux; Solaris немесе HP/UX.

Кіріс деректерді қабылдай отырып, олардың негізінде операцияларды орындап, нәтижені қайтарып, ОЖ қосымша сияқты жұмыс істейді. Мысалы, электрондық кесте деген қосымша өзінің жұмыс істеу кезінде ішіне сіздің енгізіп отырған сандарыңызды қабылдап, оларды ұяларға енгізеді де, мүмкін, есептеулерді орындайды, ал ОЖ сіздердің командаларыңызды қабылдап, «файлдар тізімін экран бетіне шығар» сияқты сұратуды орындайды. Сонымен қатар сіз ОЖ көмегімен белгілі бір қосымшаны – мысалы, мәтін редакторын, қоссын деген нұсқау бере аласыз. Содан кейін сіз мәтін редакторына «файлды аш!» деген тапсырма (бұйрық) бересіз. Редактордың ОЖ-ге қатынау, яғни файлды іздеу оқиғасы «сахна артында» қалып қояды.

Практика жүзінде қазіргі компьютерлердің бәрінде қорғау құралдары болады және олар ОЖ құрамында іске асырылады. Бұл қорғаудың қалай әрекет ететінін қарастырайық.

ОЖ-нің қорғау құралдары. Рұқсат етілулер

Практика жүзінде барлық ОЖ-лердің қатынауға рұқсат беретін кірістірме (ендірмелері) құрамдас бағдарламалары болады. Олар тек белгілі бір адамдарға компьютерге, яғни оның қатқыл дискісіне, жадына, диск бетіндегі немесе желілік қосылыстың кеңістігіне қатынауды орындауға мүмкіндік береді. Бұндай қатынау жүйеге кіру процедурасы арқылы іске асырылады. Егер пайдаланушы сәйкесті ақпарат (мысалы, пайдаланушының атын және паролін) бермесе, ОЖ оған компьютерді пайдалауға мүмкіндік бермейді. Пайдаланушы жүйеге кіргеннің өзінде де, белгілі бір файлдар оған қол жетпес болып қала беруі мүмкін. Егер біреу файлды сұрайтын болса, қатынауға рұқсат берілген пайдаланушылар тізімінде бұл адамның бар-жоғын, яғни ішінде болуын ОЖ тексереді; егер бұл адам тізімде жоқ болса, ОЖ файл ішіндегіге қатынауға рұқсат бермейді.

Компьтерлердің көбіне және желіге қатынауды пұрсатты пайдаланушы, яғни әртүрлі жеңілдікпен пайдаланушы, немесе суперпайдаланушы немесе жүйелік администратор (жиі сисадмин деп қысқартылып қолданылатын) қадағалап бақылайды (тексереді). Жүйелік администратор деп отырғанымыз – пайдаланушылардың есепке алу жазбаларын құратын, өзгертетін және жоятын, сонымен қатар жүйенің және желінің дұрыс жұмыс істеуіне жауапты болатын адам. Осындай пұрсатты пайдаланушының әдеттегі міндеті қауіпсіздік параметрлерін орнату және өзгерту болып табылады. Біреу паролін ұмытып қалды делік. Немесе файл оқылуынан қорғанған (яғни ашылмайды және оқылмайды) делік. Міне осындай мәселелерді шешу үшін ОЖ-ге қатынау шектеулерін пұрсатты пайдаланушының аттап өту өкілдігі, яғни билігі бар болады.

Сондықтан да «суперпайдаланушы», яғни бәрін де істей алатын пайдаланушы деген термин пайда болды. Айтылып отырған жүйелік баптаулардың өзгертулерін орындайтын адам суперпайдаланушы екенін ОЖ қалай анықтайды? Қатынаудың осындай түрлерін ОЖ пайдаланушының атына және пароліне сәйкесті береді. Суперпайдаланушы аты ретінде әдетте «su», «root» немесе «Administrator» қолданылады. Өкінішке орай, ”үндемеу бойынша”  бұл қорғау құралдарын аттап өту әдістері (тәсілдері) кеңінен белгілі.

Әрбір пайдаланушы өзінің мүмкіндік жиынын алады: әдеттегі пайдаланушылар – минимальды, администраторлар – максимальды.

Компьютерлік желілерде болатын қауіптерге ерекше тоқталу қажет, олардың компоненттері кеңістікте бөлінген және олардың арасындағы байланыс физикалық тұрғыдан байланыс сызығы көмегімен және Бағдарламалық тұрғыдан хабарлау механизмі көмегімен жүзеге асырылады.

Қаскүнем желіге ену кезінде басып енудің белсенді және белсенді емес әдістерін қолдана алады.

Белсенді емес басып енуде (ақпаратты ұрлау) ол ақпараттың ағымына тимей ақпараттың өтуін ғана бақылайды, бірақ ол тағайындау пунктін, айырбастау жиілігін және т.б. анықтай алады, яғни берілген каналда график анализін (хабар ағымын) орындайды.

Белсенді басып енуде бұзушы ақпаратты алмастыруға (жою, ұстау, хабардың берілу ретін өзгерту) ұмтылады.

Желілердің сипаты, олардың шабуылды жоюды, ақпараттың бұзылу әрекетін, байланыс каналы бойынша бағдарламаның жүзеге асқанын көрсету болып келеді.

Қауіптердің кең тараған түрлері:

1) «Троянский конь» - құжатта жазылған әрекеттермен бірге, жүйенің қауіпсіздігінің бұзылуына әкелетін әрекеттерді орындайтын бағдарлама; әдетте бұл бағдарлама қандай да бір пайдалы функцияларды орындайды деп қабылданатын, жекелей олар маскіленетін, көбіне қандай да бір пайдалы утилиттермен.

2) Компьютерлік вирус – басқа бағдарламаларды бүлдіретін, есептеу процесінің модификациялауына және өзінен көбеюіне қабілетті бағдарлама.

Алғашында мұндай бағдарламалар, басқа компьютерлер желісінде ресурстарды, бөлінген есептеулерді орындау мүмкіншілігін алу негізінде , іздеу үшін жазылған. Бірақ ол зиян келтіретін бағдарламаға оңай айналды. Неғұрлым белгілісі – Червь Меррис, Си тіліндегі бағдарлама.

Көрсетілген зиян келтіретін бағдарламалардан қорғану үшін, келесі шараларды қолдану қажет:

   Орындалатын файлдарға енудің санкционерленбегенін болғызбау.

   Алынатын бағдарламалық құралдардың тестілену.

   Жүйелік облыстардың және орындалатын файлдардың бүтіндігін бақылау.

   Бағдарламаның орындалуының тұйық ортасын құру.

АӨАЖ қорғау жүйесі – бұл зиянның пайда болуын минимумға әкелу мақсатында АӨАЖ қауіптеріне қарсы әрекеттерге негізделген заңдылық, моральдық-этикалық нормалар, административтік-ұйымдастырушылық шаралар, физикалық және техникалық бағдарлама құралдардың жиыны.

Қорғаудың соңғы құралдары негізінен ақпаратты қорғаудың криптографикалық әдістерімен жүзеге асады.

Ақпаратты қорғаудың криптографиялық принциптері

Криптография –бұл мәліметтерді алмастыру әдістерінің жиынын көрсетеді, қарсы жақ үшін бұл мәліметтерді пайдасыз ету үшін бағытталған (криптография - cryptos - құпия, белгісіз logos – хабар байланыс).

Криптоанализ – (қорғаныс жүйесін бұзу) бұл кілтке ену рұқсатынсыз шифрланған хабардың бастапқы мәтінін ашу жөніндегі ғылым.

Жіберуші қорғалмаған канал бойынша заңды қабылдаушыға берілуі қажет бастапқы М хабарының ашық мәтінін генерациялайды. Каналды ұстап алушы берілетін хабарды ашу және ұстап алу мақсатында бақылайды. Ұстап алушы М хабарының мазмұнын біліп алмау үшін, жіберуші оны Е_к алмастыру көмегімен шифрлейді және қабылдаушыға жіберілетін шифрмәтінді С=Е_к(М) алады.

Қабылдаушы С шифрды кері алмастыру көмегімен ашады Е_к^-1=D_k(C) және бастапқы хабарды алады.

D_k(C)=E^-1_k(E_k(M))=M.

Е_к алмастыру криптоалгоритмі деп аталатын криптографиялық алмастыру түрлерінен таңдалады.

Жеке қолданылатын алмастыру таңдалатын параметр криптографиялық кілт К деп аталады.

Криптографиялық жүйе – бұл Е_к:түрге келтіретін ашық мәтіні  хабарды кеңістіктен  шифрланған мәтінді кеңістікке көшірілетін бір параметрлік (E_k) түрі.

К(кілт) параметрі кілттер кеңістігі деп аталатын К жиынынан таңдап алынады.

Криптожүйенің класын екіге бөлеміз:

1)    симметриялық (біркілтті) криптожүйе;

2)    асимметриялы (екікілтті) криптожүйе (ашық кілтпен).

1-кластың жүйелерінде шифрлау және шифрды ашу кезінде бір ғана құпия кілт қолданылады.

Асимметриялық жүйеде шифрлау және шифрды ашу үшін К1 және К2 әртүрлі екі кілтті қолданады.

Ақпаратты қорғау әдістері және құрал-жабдықтары. Ақпаратты қорғау жүйесінің комплексті бағалануы. Бағдарламалық қамтыманы тестілеу 

Гаммалау деп белгiлi бiр заң бойынша ашық деректер үстiне шифрдың гаммасын беттестiру (қосу) процесiн түсiнемiз. Шифрдың гаммасы дегенiмiз - ол белгiлi бiр алгоритм бойынша ашық деректердi шифрлауға және шифрланған деректердi ашуға арналып жасалған жалған кездейсоқ тiзбек.

Шифрлау процесiнiң мәнi мынада: шифрдың гаммасын генерациялау және алынған гамманы бастапқы мәтiнге, қайтадан керi аударуға болатындай етiп, мысалы модуль 2 бойынша қосу операциясын пайдалану арқылы беттестiру.

Мына жағдайды атап өтуiмiз керек.

Шифрлау алдында ашық деректердi, ұзындығы бiрдей, әдетте 64 биттен, Т₀⁽ⁱ⁾ блоктарына бөледi. Шифрдың гаммасы осыған ұқсас, ұзындығы Г_ш⁽ⁱ⁾  блоктарынан тұратын тiзбектер түрiнде құрылады.

Шифрлау теңдеуi  мына түрде болады:

Т_ш⁽ⁱ⁾ = Г_ш⁽ⁱ⁾ + Т₀⁽ⁱ⁾ , i=1 … M,

мұндағы      Т_ш⁽ⁱ⁾  - мәтiн-шифрдың i-шi блогы,

Г_ш⁽ⁱ⁾ - гамма-шифрдың  i- шi блогы,

Т₀⁽ⁱ⁾ - ашық мәтiннiң  i-шi блогы,

М - ашық мәтiн блоктарының саны.

Шифрды ашу процесi шифр гаммасын қайтадан генерациялау және осы гамманы шифрланған деректер үстiне беттестiруден тұрады.

Шифрды ашу теңдеуi мына түрде болады: 

Т₀⁽ⁱ⁾ = Г_ш⁽ⁱ⁾ Å Т_ш⁽ⁱ⁾.

Осындай әдiспен алынған мәтiн-шифр, ашуға қиындық тудырады, өйткенi оның кiлтi айнымалы шама. Шын мәнiнде шифр гаммасы әр шифрланған блок үшiн кездейсоқ түрде өзгерiп тұруы қажет. Егер гамма периоды барлық шифрланған мәтiн ұзындығынан көп болса және шифрды бұзушыға бастапқы мәтiннiң ешқандай бөлiгi белгiлi болмаса, онда мұндай шифрды тек кiлттердiң барлық варианттарын түгел тiкелей қарап шығу (перебор) арқылы ғана ашуға болады. Бұл жағдайда шифрдың криптограммалық тұрақтылығы (криптостойкость) кiлт ұзындығымен анықталады.

Жалғанкездейсоқ сандар тізбегін генерациялау әдістері. Гаммалау әдісімен шифрлағанда кілт есебінде биттердің кездейсоқ қатары пайдаланылады. Бұл қатар екілік түрде берілген (мысалы А=00000, В=00001, С=00010 және т.с.с) ашық мәтінмен қосылады. Бұл қосылу екі модулі бойынша биттерді өзара қосу арқылы жүзеге асырылады. Нәтижесінде шифрланған мәтін пайда болады. Күні бұрын болжауға болмайтын ұзындығы үлкен екілік тізбектерді генерациялау классикалық криптографиядағы маңызды проблемалар қатарына жатады. Бұл проблеманы шешу үшін екілік жалғанкездейсоқты тізбектер генераторлары пайдаланылады.

Жалғанкездейсоқ бүтін сандар тізбегін  генерациялайтын белгілі процедуралар ішінде ең жиі қолданылатыны сызықты конгруэнтті генератор. Бұл генератор У₁ , У₂ , ..., У_i-1,У_і, ... жалғанкездейсоқ сандар тізбегін келесі қатынасты пайдалана отырып құрастырады:

У_i=(a*E_i-1+b)mod m,

мұнда У_і- тізбектің і-ші (ағымдағы) саны; У_і-1 тізбектің алдыңғы саны;

а, b және m – тұрақтылар;

m – модулі;

а – еселік (коэффицент), b - өсімше;

У_і – тудырушы сан (алғашқы мәні).

Бұл теңдеу таңдап алынған а, b, m – параметрлеріне байланысты және m мәніне жете алатын қайталау периодымен жалғанкездейсоқ сандарды генерациялайды. m модулінің мәні 2ⁿ тең деп немесе қарапайым санға тең деп алынады. b - өсімі  m - санымен өзара қарапайым, ал а - коэффиценті тақ сан болуы керек.

Тізбектердің мұндай түрі компьютерде оңай іске асырылады. Сонымен қатар егер барлық және  - GF(2) өрісінде тек 0 және 1 деген мағынада болса іске асыру тіпті оңай болады.

Мысалы ретінде қызықты кері байланысы бар үш разрядтты ығысу регистрін қарастырайық. Ол қарапайым көпмүшеге сәйкес құрылған: һ(х)=х³+х²+1. Мұндағы коэффиценттер мәні һ₃=1 һ₁=0 һ₀=1.

Кілттің мәні 101 болсын. Регистр осы күйден жұмыс істей бастайды. Регистрдің күй-жайы суретте көрсетілген. Регистр өзінің барлық 7 нөл емес күйі арқылы өтіп, қайтадан өзінің 101 қалпына келеді. Бұл – сызықтық кері байланысы бар регистрдің ең ұзын периоды. Мұндай тізбек ығысу регистрінің ең үлкен тізбегі деп аталады. (Maximal Length Shift Register Sequence – MLSRS).

Питерсон мен Уэлдон зерттеуі бойынша кез келген m-бүтін саны үшін периоды (2^m-1)-ге тең m биттік MLSRS – тізбегі болады. Мысалы, егер m=100 болса, онда тізбектің периоды 2¹⁰⁰-1 болады да, оны 1Мбит/с жылдамдықпен байланыс жолдарымен жібергенде ол 10¹⁶ жыл өткенше қайталанбайды.

Біздің мысалымыздағы ығысу регистрінің шығу тізбегі Г_ш (шифр гаммасы) 1010011 тізбегі болып табылады. Ол циклді түрде қайталанып отырады. Бұл тізбекте 4 бірлік пен 3 нөл бар.