87
Sistemin iş qabiliyyətinin saxlanması
Təhlükəsizlik reciminin pozulmasına reaksiya
Bərpa işlərinin planlaşdırılması
Əsas proqram – texniki tədbirlər
Proqram – texniki tədbirlər informasiya müdafiəsinin axırınjı ən vajib hüdududur. Xatırladaq ki,
ziyanın əsas hissəsini leqal istifadəçilər vururlar ki, onlara qarşı əvvəldə qeyd olunan tədbirlər həllediji
effekt verə bilməzlər. Əsas düşmən xidməti vəzifələrini yerinə yetirərkən səriştəsizlik və səhlənkarlıqdır
ki, bunlara yalnız proqram – texniki vasitələr qarşı dura bilər. Biz aşağıdakı əsas təhlükəsizlik servislərini
nəzərdən keçirəjəyik:
İdentifikasiya və autentifikasiya
İjazələrin idarəolunması
Protokollaşdırma və audit
Kriptoqrafiya
Ekranlaşdırma
İdentifikasiya və autentifikasiya
İdentifikasiya və autentifikasiyanı təhlükəsizliyin proqram – texniki vasitələrinin bünövrəsi hesab
etmək olar, çünki digər servislər adlandırılmış subyektlərin xidməti üçün nəzərdə tutulublar.
İdentifikasiya (istifadəçiyə və ya müəyyən istifadəçinin adından fəaliyyət göstərən prosesə) özünü
adlandırmağa(öz adını bildirməyə). imkan verir Autentifikasiyanın köməyi ilə ikinji tərəf əmin olur ki,
subyekt doğurdan da özünü qələmə verdiyi şəxsdir. Autentifikasiya sözünün sinonimi kimi bəzən
“əslliyin yoxlanması” birləşməsi işlədilir.
Subyekt özünün əslliyini, aşağıdakı mənbələrdən ən azı birini təqdim etməklə təsdiq edə bilər:
Onun bildiyi nəyi isə (parolu, şəxsi identifikasiya nömrəsi, kriptoqrafik açar)
Onun sahib olduğu nəyi isə (şəxsi kart və ya digər təyinatlı analoci qurğu)
Onun özünün tərkib hissəsi olan nəyi isə (səs, barmaq izləri və s., yəni özünün biometrik
xarakteristikalarını)
Təəsüf ki, etibarlı identifikasiya və autentifikasiya bir sıra prinsipial səbəblərdən çətinləşir. Birinjisi
kompüter sistemi informasiyanın alındığı şəklinə əsaslanır, jiddi desək informasiya mənbəyi naməlum
qalır. Məsələn, bədniyyətli əvvəljədən tutulmuş verilənləri təkrar edə bilər. Deməli, identifikasiya və
autentifikasiya məlumatının təhlükəsiz daxil edilməsi və verilməsi üçün tədbirlər görmək lazımdır.
Şəbəkə mühitində bu xüsusi çətinliklə üzləşir. İkinjisi, demək olar ki, bütün autentifikasiya mahiyyətlərini
oğurlamaq, öyrənmək və saxtalaşdırmaq mümkündür. Üçünjüsü, autentifikasiyanın etibarlılığı ilə
istifadəçinin və sistem adminstratorunun arasında ziddiyyət mövjuddur. Məsələn, təhlükəsizlik
baxımından müəyyən tezliklə, autentifikasiya verilənlərinin təkrar daxil edilməsini istifadəçidən xahiş
etmək olar. Bu isə yoruju olmaqla yanaşı, həm də daxiletməyə göz yetirmə ehtimalını artırır. Dördünjüsü,
müdafiə vasitələri etibarlı olduqja daha bahadır. Biometrik xarakteristikaların ölçülməsi vasitələri xüsusi
ilə bahadırlar.
Autentifikasiyanın ən geniş yayılmış növü paroldur. Sistem daxil edilmiş və verilən istifadəçi üçün
əvvəljədən verilmiş parolu müqayisə edir. Üst–üstə düşdüyü halda istifadəçinin həqiqiliyi təstiqlənmiş
sayılır. Tədrijən populyarlıq qazanan digər vasitə gizli kriptoqrafik açarlardır.
Parolla autentifikasiyanın əsas üstünlüyü – sadəlik və adət olunmasıdır. Parollar çoxdan əməliyyat
sistemləri və başqa servislərə daxil olunub. Düzgün istifadə edildikdə parollar bir çox təşkilatlar üçün
qəbuledilən təhlükəsizlik səviyyəsini təmin edə bilər. Buna baxmayaraq xarakteristikalar məjmusuna görə
onları ən zəif autentifikasiya vasitəsi hesab etmək lazımdır.
Parolların ən prinsipial çatışmazlığı onların elektron ələ keçirilməsidir. Bu çatışmazlığı
istifadəçilərin təlimi və ya adminstrə edilmənin təkmilləşdirilməsi ilə kompensasiya etmək mümkün
deyil. Praktik olaraq yeganə çıxış – rabitə xətləri ilə ötürülməzdən qabaq parolların kriptoqrafik
şifrələnməsidir.
Anjaq hər halda aşağıdakı ölçülər parol müdafiəsinin etibarlılığını artırmağa xeyli imkan verir:
texniki məhdudiyyətlər qoyulması (parol çox qısa olmamalıdır, parolda hərf, rəqəm, durğu
işarələri olmalıdır və s.)
parolun fəaliyyət müddətinin idarə olunması, onların vaxtaşrı dəyişdirilməsi
parollar faylına ijazənin məhdudlaşdırılması
88
sistemə uğursuz daxilolma jəhdlərinin məhdudlaşdırılması
istifadəçilərin təlimi
parol generasiya edən proqramların istifadəsi
Sadalanan tədbirləri həmişə, hətta parolla yanaşı digər autentifikasiya metodları istifadə olunduğu
halda da tətbiq etmə məqsədəmüvafiqdir.
Son vaxtlar autentifikasiya üçün tokenlərdən istifadə olunur. Token əşyadır (qurğudur). Ona sahib
olma istifadəçinin əsilliyini təsdiq edir. Yaddaşa malik tokenlər (passiv tokenlər, informasiyanı saxlayır,
amma emal etmirlər) və intellektual tokenlər (aktiv tokenlər) fərqləndirilir.
Passiv tokenlərin ən geniş yayılan növü maqnit zolaqlı kartlardır. Belə tokenlərdən istifadə etmək
üçün klaviatura və prosessorla təshiz olunmuş oxuma qurğusu lazımdır. Adətən istifadəçi klaviaturada
özünün şəxsi identifikasiya nömrəsini yığır, prosessor onu kartda yazılanla müqayisə edir, həmçinin
kartın əslliyini yoxlayır. Faktiki olaraq autentifikasiyanın iki üsulundan istifadə olunur ki, bu da
bədniyyətlinin hərəkətlərini xeyli çətinləşdirir. Diqqəti autentifikasiya informasiyasının oxunma
qurğusunun özü tərəfindən emal olunması zərurətinə yönəldək. Bu elektron ələkeçirmə imkanlarını istisna
edir.
Bəzən (adətən girişə fiziki nəzarət üçün) kartlar bilvasitə, şəxsi identifikasiya nömrəsi tələb
olunmadan istifadə edilir. Şübhəsiz üstünlükləri ilə yanaşı yaddaşı olan tokenlərin müəyyən
çatışmazlıqları da var, hər şeydən əvvəl onlar parollardan xeyli bahadırlar. Xüsusi oxuma qurğusu tələb
olunur. İstifadə üçün rahat deyil və s.
İntellektual tokenlər özünün hesablama güjünün olması ilə xarakterizə olunur. Tokenin işləməsi
üçün istifadəçi şəxsi identifikasiya kodunu daxil etməlidir.
Fəaliyyət prinsiplərinə görə intellektual tokenləiri aşağıdakı kateqoriyalara bölmək olar:
parolların statik mübadiləsi: istifadəçi adi qayda ilə tokenə öz əslliyini sübut edir, sonra token
kompüter sistemi tərəfindən yoxlanılır.
parolların dinamik generasiyası: token parolları generasiya edir və periodik dəyişir (məsələn
dəqiqədə bir dəfə). Kompüter sistemi də sinxronlaşdırılmış parollar generatoruna malik olmalıdır.
Tokendən informasiya interfeyslə daxil olur və ya terminalın klaviaturasında istifadəçi tərəfindən yığılır.
sorğu-javab sistemləri: kompüter təsadüfi ədəd verir, bu ədəd tokendəki kriptoqrafik mexanizmlə
çevrilir və bundan sonra nətijə yoxlama üçün kompüterə qaytarılır. Burada da elektron və ya əl
interfeysindən istifadə etmək olar.
İntellektual tokenləirin əsas üstünlüyü onların açıq şəbəkədə autentifikasiya üçün istifadə edilməsi
imkanıdır. Generasiya olunan və javab olaraq verilən parollar daim dəyişirlər ki, bədniyyətli hətta jari
parolu ələ keçirsə belə, hiss olunajaq fayda götürə bilməz. Praktiki nöqteyi-nəzərdən intellektual tokenlər
birdəfəlik parollar mexanizmini realizə edir.
İntellektual tokenlərin digər üstünlüyü onların potensial çoxfunksiyalı olmasıdır. Onları yalnız
təhlükəsizlik məqsədi ilə deyil, məsələn, maliyə əməliyyatları üçün də istifadə etmək olar.
Əsas çatışmayan jəhətləri qiymətinin yüksək olması, istifadəçinin müəyyən narahatçılığıdır.
İntellektual tokenlərin adminstrə edilməsi, maqnit kartları ilə müqayisədə kriptoqrafik açarları idarəetmə
səbəbindən mürəkkəbləşib.
Biometrik xarakteristikalara nəzarət qurğuları mürəkkəb və bahadırlar, buna görə də yalnız
təhlükəsizliyə yüksək tələblər olan təşkilatlarda istifadə olunurlar.
Çox mühüm məsələ identifikasiya və autentifikasiya xidmətlərinin adminstrə olunmasıdır. Uyğun
informasiyanın məxfiliyini, tamlığını və əlyetənliyini daim saxlamaq zəruridir ki, bura birjins olmayan
şəbəkə mühitində xüsusilə asan deyil. İnformasiyanın mümkün maksimal mərkəzləşdirilməsini tətbiq
etmək məqsədəuyğundur. Buna əslliyi yoxlayan ayrıja serverlərin (Kerberos kimi) və ya
mərkəzləşdirilmiş adminstrəetmə vasitələrinin tətbiqi ilə nail olmaq olar.
Qeyd edək ki, mərkəzləşdirmə nəinki sistem adminstratorlarının, həmçinin istifadəçilərin də işini
yüngülləşdirir, çünki çox vajib olan vahid giriş konsepsiyasını realizə etməyə imkan verir. İstifadəçi bir
dəfə əsllik yoxlamasındın keçərək, öz səlahiyyətləri çərçivəsində şəbəkənin bütün resurslarına ijazə əldə
edir.
İjazələrin idarəolunması
İjazələrin idarəolunması vasitələri subyektlərin (istifadəçi və proseslərin) obyektlər (informasiya və
digər kompüter resursları) üzərində yetinə yetirə biləjəyi əməliyyatları müəyyən etməyə imkan verir.