Ауіпсіздік негіздері. Желілік ауіп-атерлер. Атакалар дістері. ауіпсіздік сатау амалдары.
Апаратты жйелер ауіпсіздігін арастыра уаытта негізгі екі мселені ерекшелейді: компьютер жне желі ауіпсіздігі. Компьютер ауіпсіздігіне автономды жйе деп санайтын компьютермен делетін жне саталатын деректерді оранысына байланысты мселлерді жатызады. Бл мселелер операционды жйе мен деректер базасы деп аталатын осымшалармен, сонымен оса орнатылан компьютерді аппаратты ралдарымен шешіледі. Желілік ауіпсіздігіні барлы сратары – байланыс арналарында рсатсыз ашытытан осылудан деректерді тарату мезетіндегі оларды орауа атысты. азіргі уаытта компьютер мен желілік ауіпсіздікті бір бірінен айыру крделі, біра желілік ауіпсіздік зіні ерекшеліктерімен ерекшеленеді.
Желілік компььерлерге ашытытан кірумен туатын мселелерден блек желілер з табиатына байланысты таы бір ауіпке шырайды – желі бойынша таралатын хаттарды стап алнуы мен талдауына тседі, жне «жалан» график рылуына. Желілік ауіпсіздікті амтамасыз ету ралдарыны кп блігі осы трдегі бзылуды болдырмауа баытталан.
Желілік ауіпсіздік сратары корпоративті желілерді ру кезінде белгіленген каналдардан кпшілік желілеріне ту байалуда ерекше мінге ие болады. Кршілік желілер ызметін беретін жеткізушілер з магистральдары бойынша тасымалданатын олданушыларды деректерін орауды сирек амтамасыз етеді жне оны олданушыны пиялыы, бтінділігі жне олжетімділігі бойынша з аморлыына алдырады.
ауіпсіздікті негізгі тсініктері
пиялылыы, бтінділігі жне деректерді олжетімділігі
ауіпсіз апаратты жйе – бл біріншіден деректерді рсатсыз кіруден орайтын, екіншіден зіні олданушыларына оны еруге рашан дайын, шіншіден апаратты сенімді сатайтын жне деректер бтіндігіне кепілдік беретін жйе. Сонымен ауіпсіз жйе анытама бойынша пиялылы, олжетімділік жне бтінділік асиеттеріне ие.
пиялылы (confidentiality) — пия деректер тек рсаты бар олданушылара олжетімді екендігіне кепілдік береді.
олжетімділік (availability) — рсаты бар олданушылар ана дерекетерге олжтемді екендігіне кепілдік болады.
Бтінділік (integrity) — рсаты жо олданушылара андай да бір жолмен деректерді згертуге, жаартуа, бзуа немесе жаадан руа тыйым салу алу арылы апаратты дрыстыы саталатынына кепілдік берумен жзеге асады.
ауіпсіздік талаптары жйені олдану орнына, дерекетрді сипаттамаларына жне келетін ауіп-атер тріне байланысты згеруі ммкін. Бтінділік пен олжетімділік керек, біра пиялылы ажет етпейтін жйені елестету те иын. Мысалы, сіз Web-серверде Интернетте апарат жариялаан болсаыз жне де оны ке адамдар тобына ашы боланын аласаыз, онда сізге пиялылыты ажеті жо. Біра бтінділік пен олжетімділік маызды болып ала береді.
Шындыында егер сіз деректерді бтінділігін амтамасыз ету бойынша ешандай шара олданбасаыз, шабуылшы сізді серверде сізді апараттарыызды згертіп, сізді ндірісіізге зиян тигізуі ммкін. Шабуылшы, мысала, серверде саталан прайс-тізімге згертулер енгізіп, ндірісіізді бсекеге абілеттілігін тмендететіндей немесе сізді фирмаызды тегін таратылатын бадарламалы кодын згертумен сізді іскерлік имиджіізге серін тигізе алады.
Бл мысалда деректерді олжетімділігін амтамасыз ету де маызды. Интернетте серверді ру мен жмыс жасауын олдап труа лкен аражат жмсап, ндіріс айтарымды талап ете алады: клиенттер санын лкеюі, сатылымны жоарылауын, т.б. Біратан шабуылшы серверде орналасан деректер ешкімге олжетімді болмайтындай шабуыл рекеттерін жасауы ммкін. Мысалы ретінде кері дрыс емес адресті IP-пакеттермен серверді «бомалау», нтижесінде бл хаттаманы жмыс жасау логикасымен серверде белге бір тайм-ауттар пайда болады да, сервер баса сраныстара олжетімсіз болып алады.
пиялылы, олжетімділк жне бтінділік тсініктері апаратта ана атысыты емес, есептуіш желіні аса да орларына, мысалы сырты рылылар мен осымшалара атысты. Кптеген жйелік орлар бар, жне оларды «засыз» олдану ммкіндігін пайдалану жйені ауіпсіздігін бзады. Мысалы, басып шыаруа шексіз олжетімділік шабуылшыа басып шыарылып жатан жаттар кшірмесін алуа, баптауларды згертуге, жмыстарды басып шыарылу кезегін ауыстыруа жне де рылыны істен шыаруа толы ммкіндікке ие бола алады. Басып шыару рылысына пиялылы асиетін олжетімділікке рсаты бар ана олданушылар олдана алумен жне олара бекітілген операцияларды ана орындай алумен тсіндіріледі. олжетімділік асиетін оны ажет болан кез келген уаытта олдана алумен тсіндіріледі. Ал бтінділік асиеті бл рылыны баптауларыны рашан згерілмей алатынын сипаттайды. Желілік рылыларды ресми трде олдану деректерді ауіпсіздігіне лкен серін тигізеді. рылылар ртрлі ызметтер крсетуі ммкін: мтіндерді басып шыару, фактерді жіберу, Интернетке кіру, электронды пошта жне т.б., осыларды засыз олдану жйе ауіпсіздігін бзумен атар ндіріске материалды зиян келтіреді.
пиялылыты, бтіндікті жне олжетімділікті бзуа баытталан кез келген рекет жне де желіні баса ресурстарын засыз олдану ауіп-атер деп аталады. Орындалан атерді шабуыл деп атайды. Туекел - стті орындалан шабуыл нтижесінде апаратты орды иесі ктеретін ммкін залалды ытимал баасы. Туекелді шамасы аншалыты лкен болса, жйені ауіпсіздігі соншама осал жерлері бар жне шабуыл жасауды ытималдылыы да жоары болады.
ауіп-атер классификациясы
ауіп-атерлер шін универсал классификация жо, себебі кннен кінге адамны абілеттіліктері се желіге шабуыл жасалынатын тр трлі атер трлері де туындай береді, желілік трафикті талдауды жаа ралдары деліп жатыр, жаа вирустар шыып жатыр, бар бадарламалы жне аппаратты желілік німдерді жаа осалдылытар табылап жатыр. Оан жауап ретінде кптеген атерлерді трлеріне бгеу болатын оранысты дамытылан трлері ойлап табылып жатыр, біра одан кейін айтадан шабуылдарды жаа нысаны бола бастайды. Сонда да бірнеше жалпылама шолу жасайы. атерлер бірінші кезекте ойластырылан жне ойластырылмаан болып блінеді.
Ойластырылмаан атерлер жауапсыз ызметкерлерді тмен біліктілігін крсететін ате рекеттерінен туындайтын атерлерді айтамыз. Одан баса мндай атер атарына жйені бадарламалы жне аппаратты ралдарыны сенімсіз жмыс жасауын да жатыза аламыз. Мысалы, дискті, жиск контроллеріні немесе файлды серверді жмыстан шыып алуынан ндіріс шін те маызды деректер олжетімсіз болып алуы ммкін. Сондытан ауіпсіздік сратары техникалы ралдарды сенімділігі, тратылыымен тыыз байланысты. Бадарламалы – аппаратты ралдарды сенімсіз жмыс жасауынан туындайтын ауіпсіздік атерлері ралдарды дамуымен жойылады жне де осымша аппаратура дегейінде саты орда саталумен (RAID-массивтер, кп процессорлы компьютерлер, здіксіз орек кздері, класты архитектурамен) немесе деректерді массивті дегейінде (дерекетр таралымын кбейту, резервті кшірмелері). Ойластырылан атерлер деректерді пассивті оумен немесе жйені баылаумен, бтінділік пен олжетімділікті бзатын белсенді рекетті осуы ммкін. Сонымен ойластырылан атерлер хакерлерді іс-ркетінен туындайды жне ндіріске залал тигізуге баытталады.
Есептеуіш желілерде ойластырылан атерлерді келесідей трлерін крсетуге болады:
зады олданушы ретінде желіні бір компьютеріне засыз кіру;
вирус-бадарламалар арылы жйені бзу;
зады олданушыны засыз рекеттері;
ішкі желілік трафикті «тыдау»
Засыз кіру операциялы жйені жаттандырылмаан ммкіндіктерін олданумен осал жерлері арылы жзеге асады. Бл ммкіндіктер шабуылшыа стандартты дерсті «тіп кетуге» ммкіндік береді.
Желіге засыз кіруді баса дісі пия сздерді арау, пия сздер файлын дешифрлеу, іріктеп алу немесе желілік трафикті талдау арылы «бтендерді» пия сздерін олануды жатыза аламыз. сіресе шабуылшыны лкен зіретті адам атымен, мысалы желі кімшісі арылы желіге кіруы ауіпті. кімші пия сзін алу шін шабуылшы желіге арапайым олданушы атымен кіреді. Сондытан желіні барлы олданушылары з пия сздерін пияда стауы те маызды жне де ол оны іріктеп біліп алудан максимал сатайды. Шабуылшы пия сздерді тадап іріктеп алуды арнайы бадарлама арылы жзеге асырады, олар лкен клемді сздерді сатайтын файлды олдану арылы жмыс жасайды. Сздік-файл мазмны адамны психолоиялы ерекшеліктерін ескере отырып рылады, себебі адам оай есте алатын немесе ріптік тізбектерді пия сз ретінде тадайды.
пия сзді тадауды таы бір жолы – «троянды жылыны» бтен адамны компьютеріне енгізу болып табылады. Блай резидентті бадарламаны атайды, ол шабуылшы айтан рекеттерді компьютер иесіні хабарынсыз жмыс жасайды. сіресе мндай бадарламалар олданушыны жйеге логикалы кіру кезінде терілетін пия сзді кодын санай алады.
«Троянды жылы» бадарламасы андай да бір пайдалы утилита немесе ойын астында жасырынады, біра жйені бзатындай рекет етеді. Осындай принципте вирус-бадарламалар да жмыс жасайды, біра оны ерекшелігі зінікшермесін енгізу арылы баса файлдарды «жтырады». Кбінесе вирустар орындалатын файлдарды жтырады. Мндай код оперативті жадыа енгізілген кезде, зіні бзушылы рекетін оса орындай алатын ммкіндік алады. Вирустар апаратты бзылуына немесе толы жойылуына алып келеді.
Зады олданушыны засыз рекеті — зады олданушыларды з зыреттілігінен тыс рекеттер жасау арылы пайда болатын атер. Мысалы, желі кімшісі желілік орлара олжетімділікке шексіз ыа ие. Біра ндірісте желі кімшісіне рсат болмайтын апарат болуы ммкін. Бл шектеулерді жзеге асыру шін арнайы шаралар олданылуы ммкін, мысалы деректерді шифрлеу, біра бл жадайда кімші кілтке олжетімділікті алуа мтылады. Засыз рекеттерді арапайым олданушы да жасай алады. азіргі статискаа сйенетін болса жйені бзу рекеттеріні жартысынынан кбі сол ндірісті ызметкерлерінен шыады.
«Ішкі желілік трафикті тыдау» — бл желіні засыз баылау, желілік хаттарды стап алу жне талдау болып табылады. Трафикті олжетімді кптеген бадарламалы жне аппаратты талдаушылар бар, бл тапсырманы олар оай жасай алады. Глобалды байланысы бар желілерде мндай атерлерден ораныс крделе тседі. Ондаан жне мындаан километрлерге созылатын глобалды байланыстар зіні табиаты бойынша локалды желіге араанда аз оралан болып табылады. Мндай ауіп ауматы байланыс каналдарыны бріне бірдей жне жеке, жалданан каналдар мен Интернетке сас жалпы олжетімді ауматы желіні олдануына арамастан да бірдей болады.
Біра оамды желілерді (Интернет туралы айтылып жатыр) олдану жадайды одан сайын иындатады. Интернетті олдану байланыс линиясында таралатын деректерді стап алуа, желідегі тораптара рсат етілмеген олжетімділік аупін осады, себебі Интернеттегі хакерлер саны компьютерлерге рсатсыз кіру ытималдылыын жоарылатады. Интернетке осылан желілерге бл рашан ауіп болып табылады. Трлі шабуылдар шін Интернетті зі масат болып табылады. Себебі Интернет бос апаратпен алмасу шін арналан ашы жйе ретінде рыландытан, TCP/IP тобыны барлы хаттамалары «туа біткен» ораныс кемшіліктеріне ие. Сол кемшіліктерді олдана отырып, шабуылшылар Интернетте саталан апарата рсатсыз олжетімділікті алуа те жиі мтылады.
ауіпсіздікті амтамасыз етуді жйелік тсілі
Жйені ауіпсіздігін ру жне олдап тру шін жйелік тсіл ажет. Осыан сйкес е алдымен наты желіні ммкін атерлер аумаы мен рбір атерге оны крінуіне блек амал ойлатыру ажет. Бл кресте трлі жоспарлы ралдар мен амаладар олдану керек –моральды – дептік жне заа сйенген, кімшілікті жіне психологиялы, желіні аппараты ралдарды жне бадарламаларды оранысты ммкіндіктері.
оранысты моральді-дептік ралдарына есептеуіш ралдарды ол немесе баса елде таралу шамасына байланысыт барлы мкін нормаларды айтамыз. Мысалы, азіргі уаытта адарламаларды арашылы кшірмесін жасаумен кресте трбиелік шаралар жргізіліп жатыр, яни адамдарды санасына ндірушілерді апаратты орыны пиялылыын, бтіндігін жне олжетімділігін бзу адамгершіліксіз рекет екендігін енгізу. оранысты зады ралдары – шектелген олжетімділікті апараты ндіріліп жне олдану ережелері жне де зады бзаны шін ктерілетін жауапкершіліктер айтылатын задар, кіметті аулылары мен елбасыны нсаулары, нормативті акттар жне стандарттар. Апаратты ораудаы ызметті ыты регламентациясыны масаты мемлекеттік пияны раушысы болатын апаратты орау, ттынушыларды сапалы тауарды алу ыын, жеке пиясын сатауа азаматтарды конституциялы ытарын орауды амтамасыз ету, йымдастырылан ылмыспен крес болып табылады.
кімшілік шаралар — апаратты ауіпсіздікті амтамасыз ету шін ндіріс басшысымен жасалынатын рекеттер. Мндай шаралара ндіріс ызметкеріні жмысыны наты ережелерін жатызамыз, мысалы ызметкерді жмыс істеу кестесі, компьтердегі пия апаратпен жмыс жасау реттілігін анытайтын зыреттілігіне арай нсаулар. кімшілік шаралара ауіпсіздік ралдарын ндіріспен сатып алу ережелері жатады. Апарат ауіпсіздігіне жауапты кімшілік кілдері шетелдік ндірістен алынан тауарларды олдану аншалыты ауіпсіз екендігін анытау керек. сіресе бл шифрлеуге байланысты рал-жабдыа атысты. Мндай жадайларда тауарды ресейлік сынатан ткізуше йымдардан бберілген кулікті болуын тексеру ажет.
Психологиялы ауіпсіздік шаралары жйені ауіпсіздігін ныайтуда лкен рл атаруы ммкін. Бейресми дерістерде психологиялы мезеттерді ескермеу оранысты бзуа алып келуі ммкін. Мысалы, ашытытан жмыс жасайтын олданушылары кп ндірісті алайы. Уаыт те олданушылар пия сздерін ауыстырып тру ажет. Бл жйеде пия сздерді кімші тадайды. Мндай шартта шабуылшы кімшіге телефон арылы оырау шалып жне зады олданушы атынан пияны ала алады. те лкен санды ашытыты олданушылар кезінде мндай психологиялы амал іске асуы ммкін.
Физикалы ралдара сулеленуден орау шін имаратты экрандауды, аппаратты «жучоктарды» болмауын жне рал-жабдыты зіні мамандануына сйкес келуін тексеру, компьютерді блек блоктарына физикалы олжетімділікті бгейтін сырты баылау рылылары, ртрлі лыптар жне баса да рылылар, т.б. жатады. Апаратты ауіпсіздікті техникалы ралдары деп есептуіш желілерді аппаратты жне бадарламамен амтамасыз етуді айтамыз. Желілік ауіпсіздік ызметтері деп аталатын мндай ралдар жйені орау бойынша ртрлі тапсырмаларды шешеді, мысалы олжетімділікті баылау, рамына аутентификация мен авторизациялау, есептеу, апаратты шифрлеу, антивирусты орау, желілік трафикті баылау жне кптеген ббаса дерістерді кіреді. ауіпсіздікті техникалы ралдары бадарламалы трде (операциялы жйелер жне осымшалар) орнатылуы ммкін, немесе аппаратты (компьютерлер жне коммуникационды рал-жабдытар) болады, немесе ауіпсіздікті жеке бір мселесін шешетін блек тауар ретінде іске асуы ммкін.
Дріс 12.