4-ILOVA
Internet texnologiyalarining yaratilishi turli manbalardan tez va oson yo'l
bilan axborot olish imkoniyatlarini hamma uchun-oddiy fuqarodan tortib yirik
tashkilotlargacha misli ko'rilmagan darajada oshirib yubordi. Davlat
muassasalari
,
fan-ta'lim muassasalari, tijorat korxonalari va alohida shaxslar axborotni elektron
shaklda yaratib-saqlay boshladilar. Bu muhit avvalgi fizikaviy saqlashga nisbatan
katta qulayliklar tug'diradi: saqlash juda ixcham, uzatish esa bir onda yuz beradi va
tarmoq orqali boy ma'lumotlar bazalariga murojaat qilish imkoniyatlari juda keng.
Axborotdan samarali foydalanish imkoniyatlari axborot miqdorining tez
ko'payishiga olib keldi. Biznes qator tijorat sohalarida bugun axborotni o'zining
eng qimmatli mulki deb biladi. Bu albatta ommaviy axborot va hamma bilishi
mumkin bo'lgan axborot haqida gap borganda o'ta ijobiy hodisa. Lekin
pinhona(konfidentsial) va maxfiy axborot oqimlari uchun Internet texnologiyalari
qulayliklar bilan bir qatorda yangi muammolar keltirib chiqardi. Internet muhitida
axborot xavfsizligiga tahdid keskin oshdi:
Axborot o'g'irlash
Axborot mazmunini buzib qo'yish, egasidan iznsiz o'zgartirib qo'yish
Tarmoqqa va serverlarga o'g'rincha suqulib kirish
Tarmoqqa tajovuz qilish: avval qo'lga kiritilgan transaktsiya(amallarning yaxlit
ketma-ketligi)larni qayta yuborish, "xizmatdan yo axborotga daxldorlikdan bo'yin
tovlash" , jo'natmalarni ruxsat berilmagan yo'l orqali yo'naltirish.
Axborot xavfsizligini ta'minlash quyidagi uch asosiy muammoni yechishni nazarda
tutadi. Bular:
Pinhonalik(Confidentiality)
Butunlik(Integrity)
Qobillik(Availability)
2. Fakt va raqamlar.
AQSH dagi kompyuter xavfsizligi instituti va FBR tomonidan kompyuter
jinoyatlari bo'yicha 1999 yilda o'tkazilgan so'rov natijalariga ko'ra so'rovda
qatnashgan tashkilotlarning 57 foyizi Internet bilan ulanish joyi "ko'pincha
tajovuzlar tashkil etiladigan joy" deb, 30 foyizi ularning tarmog'iga suqulib kirish
yuz berganini, 26 foyizi esa tajovuz vaqtida pinhona axborotni o'g‘irlash sodir
bo'lganini ma'lum qilishgan. AQSH kompyuter jinoyatlariga qarshi kurash Federal
markazi - FedCIRC ma'lumotlariga ko'ra 1998 yilda 1100000 kompyuterli 130000
ga yaqin davlat tarmoqlari tajovuzga duchor bo'lgan.
"Kompyuter tajovuzi" deganda kishilar tomonidan kompyuterga beruxsat kirish
uchun maxsus dasturni ishga tushirishni nazarda tutiladi. Bunday tajovuzlarni
tashkil etish shakllari har xil. Ular quyidagi turlarga bo'linad. Kompyuterga olisdan
kirish: Internet yoki intranetga kimligini bildirmay kirishga imkon beruvchi
dasturlar. O'zi ishlab turgan kompyuterga kirish: kompyuterga kimligini bildirmay
kirish dasturlari asosida. Kompyuterni olisdan turib ishlatmay qo'yish: Internet (yo
tarmoq) orqali
olisdan kompyuterga ulanib
, uning yoki uni ayrim dasturlarining
ishlashini to'xtatib qo'yuvchi dasturlar asosida(ishlatib yuborish uchun
kompyuterni qayta ishga solish yetarli). O'zi ishlab turgan kompyuterni ishlatmay
qo'yish: ishlatmay qo'yuvchi dasturlar vositasida. Tarmoq skanerlari: tarmoqda
ishlayotgan kompyuter va dasturlardan qay biri tajovuzga chidamsizligini aniqlash
maqsadida tarmoq haqiqatda axborot yig'uvchi dasturlar vositasida.Dasturlarning
tajovuzga bo'sh joylarini topish: Internetdagi kompyuterlarning katta guruhlari
orasidan tajovuzga bardoshsizlarini izlab qarab chiquvchi dasturlar vositasida.
Parol ochish: parollar fayllaridan oson topiladigan parollarni izlovchi dasturlar
vositasida. Tarmoq tahlilchilari (snifferlar): tarmoq trafikini tinglovchi dasturlar
vositasida. Ularda foydalanuvchilarning nomlarini, parollarini, kredit kartalari
nomerlarini trafikdan avtomatik tarzda ajratib olish imkoniyati mavjud. Eng ko'p
yuz beradigan tajovuzlar quyidagi statistikaga ega: 1998 yili NIST tomonidan
o'tkazilgan 237 kompyuter tajovuzining tahlili Internetda e'lon qilingan: 29 %
tajovuzlar Windows muhitida yuz bergan. Saboq: Faqat Unixgina xatarli emas
ekan.
20%
tajovuzlarda
tajovuz
qilganlar
olisdan
turib
tarmoq
elementlari(marshrutlovchilar, kommutatorlar, xostlar, printerlari brandmauer)
gacha yetib borganlar. Saboq: xostlarga olisdan turib bildirmay kirish bot-bot yuz
beradi.
5%
tajovuzlar
marshrutlovchilarga
va
brandmauerlarga
qarshi
muvaffaqiyatli bo'lgan. Saboq: Internet tarmoq infrastrukturasi tashkil
etuvchilarining kompyuter tajovuzlariga bardoshi yetarli emas. 4% tajovuzlarda
Internetda tajovuzga bardoshi bo'sh xostlarni topish uchun uyushtirilgan. Saboq:
Tizim administratorlarining o'zlari o'z xostlarini muntazam skanerlab turganlari
ma'qul. 3% tajovuzlar web-saytlar tomonidan o'z foydalanuvchilariga qarshi
uyushtirilgan.
Saboq WWWda axborot izlash xavfsiz emas.
Internetda 1999 y. mart oyida eng ommaviy bo'lgan kompyuter tajovuzlari .
Sendmail(eng eski dastur), ICQ(murakkab "Sizni izlayman"dasturi, undan 26
millionga yaqin kishi foydalanadi), Smurf(ping- paketlar bilan ishlaydigan dastur),
Teardrop(xatolarga sezgir dastur), IMAP(pochta dasturi), Back Orifice(troyan ot,
Windows 95/98ni olisdan boshqarish uchun), Netbus( Back Orifice ga o'xshash),
WinNuke (Windows 95ni to'la to'xtatib qo'yaoladi )i Nmap(skanerlovchi dastur)
bilan bo'lgan. WinNuke, Papa Smurf i Teardrop dasturlari vositasida niyati buzuq
kimsalar sizning kompyuteringizga tajovuz qilib ziyon yetkazishlari mumkin.
3. Axborot xavfsizligini ta'minlash yo'nalishlari
NIST 7498-2 xalqaro standarti asosiy xavfsizlik xizmatlarini belgilaydi. Uning
vazifasiga ochiq tizimlar aloqasi modelining xavfsizlik yo’nalishlarini aniqlash
kiradi. Bular:
Autentifikatsiya. Kompyuter yo tarmoq foydalanuvchisining shaxsini tekshirish;
Kirishni boshqarish(Access control). Kompyuter tarmog‘idan foydalanuvchining
ruxsat etilgan kirishini tekshirish va ta’minlash;
Ma’lumotlar butunligi. Ma’lumotlar massivi mazmunini tasodifiy yo qasddan
beruxsat usullar bilan o‘zgartirishlarga nisbatan tekshirish; Axborot pinhonaligi.
Axborot mazmunini iznsiz oshkor bo‘lishdan
himoyalash
Inkor eta olinmaslik(Neoproverjimost). Ma’lumotlar massivini jo‘natuvchi
tomonidan uni jo‘natganligini yoki oluvchi tomonidan uni olganligini tan olishdan
bo‘yin tovlashining oldini olish.
Ko‘plab qo‘shimcha xizmatlar (audit, kirishni ta’minlash) va qo‘llab-quvvatlash
xizmatlari (kalitlarni boshqarish, xavfsizlikni ta’minlash, tarmoqni boshqarish)
mazkur asosiy xavfsizlik tizimini to‘ldirishga xizmat qiladi. Web tugunining to‘la
xavfsizlik tizimi barcha yuqorida keltirilgan xavfsizlik yo’nalishlarini qamrab
olgan bo’lishi shart. Bunda tegishli xavfsizlik vositalari (mexanizmlari) dasturiy
mahsulotlar tarkibiga kiritilgan bo‘lishi lozim.
Autentifikatsiyalashni takomillashtirish qayta ishlatiladigan parollarga xos
kamchiliklarni bartaraf etishni, shu maqsadda bir martagina ishlatiladigan parol
tizimidan tortib identifikatsiyalashning yuqori texnologik biometrik tizimlarigacha
qo‘llashni nazarda tutadi. Foydalanuvchilar o‘zlari bilan olib yuradigan predmetlar,
masalan, maxsus kartochkalar, maxsus jeton yoki disketa ancha arzon ham xavfsiz.
Noyob, modul kodi himoyalangan dastur moduli ham bu maqsadlarda qulay.
Oshkor kalitlar infratuzilmasi ham Web – tugun xavfsizligining ajralmas qismi.
Autentifikatsiya, ma’lumot butunligi va axborot pinhonaligi(konfidentsialligi)ni
ta’minlash uchun ishlatiladigan taqsimlashga n tizim(odamlar, kompyuterlar),
Ochiq kalit infrastrukturali (sertifikat nashrchisi) elektron sertifikatni e’lon qiladi.
Unda
foydalanuvchi identifikatori
, uning ochiq kaliti, xavfsizlik tizimi uchun
qandaydir qo‘shimcha axborot va sertifikat nashr etuvchisining raqamli imzosi bor.
Ideal variantda bu tizim Yer yuzining har qanday ikki nuqtasidagi foydalanuvchi
uchun sertifikatlar zanjirini tuzib beradi. Bu zanjircha kimgadir maxfiy xatni
imzolash, hisob bo‘yicha pul o‘tkazish yoki elektron kontrakt tuzish uchun, boshqa
kishi uchun – hujjat manbaini va imzolovchi shaxsning aslini tekshirib bilish
imkonini beradi. NIST bir necha boshqa tashkilotlar bilan bu yo‘nalishda ish olib
bormoqda.
Internetga ulangan tarmoqlar xakerlarning tajovuzi tufayli ochiq muloqotga xalal
bersa xam brandmauerlar o‘rnatib oldilar.
PGP ga o‘xshash mukammal dasturlar bo‘lmaganda ochiq tarmoq bo‘lishi ham
mumkin bo‘lmas edi.
4. Amaliy tavsiyalar
Tarmoqni kompyuter tajovuzlaridan himoyalash doimiy va o'z-o'zidan
yechilmaydigan masaladir. Lekin qator oddiy himoya vositalari yordamida
tarmoqqa suqulib kirishlarning ko'pchiligini oldini olish mumkin. Masalan yaxshi
konfiguratsiyalangan
tarmoqlararo
ekran
va
harbir
ish
stantsiyalari(kompyuterlar)da o'rnatilgan virusga qarshi dasturlar ko'pchilik
kompyuter tajovuzlarini barbod etadi. Quyida Intranetni himoyalash bo'yicha 14
amaliy tavsiya bayon etilgan. Xavfsizlik siyosati lo'nda va aniq qo'yilishi lozim.
Intranet tarmog‘i xavfsizligi bo‘yicha yorqin va sobit qadamlik bilan qo‘yilisini
ta'minlaydigan qoidalar va amallar bo’lishi lozim. Tarmoq xavfsizligi tizimi uning
eng bo'sh joyi qanchalik kuchli himoyalangan bo'lsa shu qadar kuchlidir. Agar bir
tashkilot doirasida turli xavfsizlik siyosatlariga ega bo'lgan bir necha tarmoq
mavjud bo'lsa bir tarmoq boshqa tarmoqning yomon xavfsizligi tufayli obro'sini
yo'qotishi mumkin. Tashkilotlar shunday xavfsizlik siyosatini qabul qilishlari
lozimki, kutilgan himoya darajasi hamma yerda bir xil amalga oshsin. Siyosatning
eng ahamiyatli tomoni brandmauerlar orqali o'tkaziladigan trafiklarga yagona talab
ishlab chiqilishidir. Shuningdek siyosat tarmoqda qaysi himoya vositalari
(masalan, tajovuzlarni payqash vositalarimi yoki qaltis joylar skanerlarimi)va ular
qanaqa ishlatilishi
lozimligini belgilashi
, yagona xavfsizlik darajasiga erishish
uchun kompyuterlarning har xil turlari uchun standart xavfsiz konfiguratsiyalar
belgilanishi shart. Brandmauer (Tarmoqlararo ekran, inglizcha-firewalls,) qo'llash
lozim. Bu tashkilotning eng asosiy himoya vositasidir. Tarmoqqa kiruvchi, undan
chiquvchi trafik(axborot oqimi)ni nazorat qiladi. U trafikning biror turini to'sib
qo'yishi yo tekshirib turishi mumkin. Yaxshi konfiguratsiyalangan bradmauer
kompyuter tajovuzlarining ko'pchiligini qaytarishi mumkin. brandmauerlar,
intellektual kartalar va boshqa texnikaviy-dasturiy himoya vositalaridan oqilona
foydalanish lozim. Brandmauer va WWW-serverlarni ularning ishini to'xtatib
qo'yish tahdidlariga qarshi bardoshliligini testdan o'tkazib turish lozim. Internetda
kompyuterning ishini to'xtatib qo'yishga yo'naltirilgan tajovuzlar tarqalgan.
Tajovuzkorlar doimo WWW-saytlarni ishdan chiqaradilar, kompyuterlarni ortiq
vazifalar bilan yuklab qo'yadilar yoki tarmoqlarni ma'nosiz paketlar bilan to'ldirib
tashlaydilar. Bu turdagi tajovuzlar juda jiddiy bo'lishi mumkin, ayniqsa tajovuzkor
davomli tajovuzlarni uyushtirish darajasida aqlli bo'lsa. Chunki buning manbaini
topib bo'lmaydi. Xavfsizligi haqida qayg'iruvchi tarmoqlar bunday tajovuzlardan
ko'riladigan zararni chamalab ko'rish uchun o'zlariga o'zlari tajovuzlarni
uyushtirishlari mumkin. Bunday tahlillarni faqat katta tajribaga ega tizim
administratorlari yoki maxsus maslahatchilar o'tkazishi maqsadga muvofiq.
Kriptotizimlardan keng foydalanish lozim. Tajovuzkorlar ko'pincha tarmoqqa
uning ahamiyatga molik joylaridan o'tuvchi trafigini tinglash orqali trafikdan
foydalanuvchilarni va ularning parollarini ajratib olish yordamida suqulib kiradilar.
Shuning uchun olisdagi mashinalar bilan bog'lanishlar parol bilan himoyalanganda
shifrlanishi shart. Bu ayniqsa, bog'lanish Internet kanallari orqali amalga
oshirilganda yoki ahamiyatli server bilan bog'lanilganda zarur. TCP/IP (eng
mashhuri SSH) trafigini shifrlash uchun tijoratli va bepul dasturlar mavjud.
Bulardan foydalanish tajovuzlarning oldini oladi. Internet muhit bilan birlashgan
Intranetda axborot oqimini va resurslarni eng ishonchli himoyalash vositasi–
nosimmetrik
va
simmetrik
kriptotizimlardan
birgalikda
foydalanishdir.
Kompyuterlarni xavfsizlik nuqtai-nazaridan savodxonlarcha konfiguratsiyalash
kerak. Kompyuterda amal tizimlari yangitdan o'rnatilganda ko'pincha tajovuzlarga
qaltis bo'ladilar.Buning sababi amal tizimi dastlab o'rnatilganda barcha tarmoq
vositalaridan foydalanishga ruhsat beriladi va ulardan to'g'ri foydalaniladi deb
bo'lmaydi. Bu tajovuzkor uchun mashinaga tajovuz uyushtirishda ko'p usullardan
foydalanishga yo'l ochadi. Shuning uchun barcha zarur bo'lmagan tarmoq vositalari
kompyuterdan uzib qo'yilishi lozim. Dasturiy ta'minotga tuzatishlarni operativ
kiritishni tartibga solish(Patching). Kompaniyalar bot-bot o'z dasturlarida topilgan
xatolarni yo'qotish uchun tuzatishlar kiritib boradilar. Agar bu xatolar tuzatilmasa
tajovuzkor undan foydalanib dasturingizga va u orqali kompyuteringizga tajovuz
uyushtirishi mumkin. Tizim administratorlari avvalo o'zlarining eng zarur
tizimlaridagi dasturlarga tuzatishlarni o'rnatib zarur xostlarni himoyalashlari zarur.
Chunki tuzatishlar tez-tez yuzaga kelib turadi va ularni barcha kompyuterlarda
o'rnatib chiqishga ulgurmay qolish mumkin. Odatda tuzatishlar faqat dastur ishlab
chiqargan korxonadangina olinishi shart. Intranet-tarmoq xavfsizligida uchratilgan
defektlarni albatta tuzatish. Shuning bilan birga quyida keltirilgan boshqa himoya
vositalaridan ham foydalanishlari zarur. Tajovuzni payqash vositalari (Intrusion
Detection)dan foydalanish lozim. Tajovuzni payqash tizimlari tajovuzlarni operativ
payqab aniqlaydilar. Tarmoq ichkarisidan bo'ladigan tajovuzlarni payqash uchun
ular brandmauer orqasiga qo'yiladi, branmauerga bo'ladigan tajovuzlarni aniqlash
uchun esa- uning oldiga o'rnatiladi. Bunday vositalar turli imkoniyatlarga ega.
Quyidagi
saytdan
bu
xaqda
qo'shimcha
ma'lumotlar
olish
mumkin.
http://www.icsa.net/services/consortia/intrusion/educational_material.shtml
Viruslar va "troyan ot" dasturlarini o'z vaqtida payqashga intilish kerak. Harqanday
tarmoqning xavfsizligi uchun virusga qarshi dasturlar himoyaning ajralmas
qismidir. Ular kompyuter ishini nazorat qilib zarar keltiruvchi dasturlarni topib
beradilar. Ular tufayli yuzaga keladigan
yagona muammo shundaki
, himoya
maksimal samara berishi uchun ular tarmoqning barcha kompyuterlariga
o'rnatilgan bo'lishlari va muntazam yangilanib turilishlari shart. Buning uchun ko'p
vaqt ketadi, lekin aks holda vosita kutilgan samarani bermaydi. Kompyuterdan
foydalanuvchilarga buni qanday amalga oshirishni o'rgatib qo'yish kerak, ammo
faqat ularga bu ishni to'la topshirib qo'ymaslik zarur. Virusga qarshi dasturlar bilan
bir qatorda pochta serverida elektron xatlarga ilovalarni skanerlash ham lozim. Bu
yo'l bilan foydalanuvchilar kompyuteriga yetib borishi mumkin bo'lgan
viruslarning yo'li to'siladi. Bardoshi bo'sh joylarni skanerlab turish lozim. Bunday
skanerlovchi dasturlar aniq biror turdagi tajovuzlarga qaltis (bardoshi
bo'sh)kompyuterlarni topish uchun tarmoqni skanerlaydi. Ular qaltis joylar haqida
kattagina ma'lumotlar bazasiga ega bo'lib, undan u yo boshqa kompyuterda qaltis
joy bor-yo'qligini topishda foydalaniladi. Tijoratli va bepul skanerlar mavjud.
Tizim administratorlari davriy tarzda bunday dasturlarni o'zlarining tarmoqlariga
nisbatan o'z vaqtida bardoshi bo'sh kompyuterlarni o'zlari topib tegishli chora
ko'rib qo'yishlari lozim. Alohida qurilmalarni himoyasidagi zaif bo‘g‘inlarni
payqab olish uchun qaltislik darajasini baholash lozim. Tarmoq topologiyasini
aniqlash va port skanerlarini ishga solib turish lozim. Bunday dasturlar tarmoq
qanday tuzilganligi, unda qanaqa kompyuterlar ishlashi, har bir mashinada qanday
xizmatlar bajarilishii haqida to'la manzarani ochib beradi. Hujumkorlar bu
dasturlarni qaltis kompyuterlar va dasturlarni aniqlash uchun ishga soladilar.
Tarmoq administratorlari ham bunday dasturdan ularning tarmoqlarida qanday
dasturlar qaysi kompyuterlarda ishlayotganini aniqlashtirish uchun foydalanadilar.
Noto'g'ri konfiguratsiyalangan kompyuterlarni topib ularga tuzatishlar kiritish
uchun bu yaxshi vositadir. Parol ochuvchilar (Password Crackers)ni ishlatib turish
lozim. Xakerlar ko'pincha parollar bilan shifrlangan fayllarni o'g‘irlash uchun
kompyuterlarning bardoshi bo'sh joylaridan foydalanishga intiladilar. So'ngra parol
ochuvchi maxsus dasturlarni ishga soladilar va ular orqali shu shifrlangan
fayllardagi bardoshi bo'sh parollarni topib oladilar. Bunday parol qo'lga kirishi
bilan kompyuterga odatdagi foydalanuvchi kabi kompyuterga va tarmoqqa
bildirmay kirishning turli usullaridan foydalanadilar. Garchi bu vosita niyati buzuq
kimsalar tomonidan ishlatilsa ham bu tizim administratori uchun ham foydalidir.
Tizim administratorlari davriy tarzda bunday dasturlarni o'zlarining shifrlangan
fayllariga nisbatan o'z vaqtida bardoshi bo'sh parollarni o'zlari topib tegishli chora
ko'rib qo'yishlari lozim. Jangovor muloqot o'rnatuvchilar(war dialer)ga nisbatan
ziyrak bo'lish lozim. Foydalanuvchilar ko'pincha tashkilot tarmog'i himoyasi
vositalarini chetlab o'tib o'z kompyuterlariga keladigan telefon qo'ng'iroqlari qabul
qilib olishga ruxsat beradilar. Ular ba'zan Ishdan qaytish oldidan modemni ulab
kompyuterni uydan turib modem orqali unga ulanib tarmoqdan foydalanishni
ko'zlab o'z dasturlarini shunga sozlab ketadilar. Tajovuzkorlar jangovar muloqot
o'rnatuvchi dasturlardan foydalanib ko'plab telefon nomerlariga qo'ng'iroq qilib
ko'radilar va shu tariqa chetdan modem orqali kirishga yo'l qoldirgan bunday
tarmoqlarga suqulib kirib tajovuz uyushtiradilar. Foydalanuvchilar ko'pincha o'z
kompyuterlarini o'zlari konfiguratsiyalashlari tufayli bunday kompyuterlar
tajovuzlardan yomon himoyalangan bo'ladilar va tarmoqqa tajovuz qilishga yana
bitta imkoniyat tug'diradilar. Tizim administratorlari jangovor muloqot
o'rnatuvchilardan muntazam suratda foydalanib o'z foydalanuvchilarining telefon
raqamlarini tekshirib turishlari va unga mos qilib konfiguratsiyalangan
kompyuterlarni o'z vaqtida topib chorasini ko'rishlari lozim. Tijoratli va bepul
tarqaltiladigan jangovor muloqot o'rnatuvchi dasturlar mavjud.
Xavfsizlikka oid tavsiyalar (security advisories)dan o'z vaqtida xabordor bo'lib,
ularga amal qilish lozim. Xavfsizlikka oid tavsiyalar – kompyuter jinoyatlariga
qarshi kurash guruhlari va dastur ishlab chiqaruvchilar tomonidan yaqin orada
payqalgan dasturning qaltis joylari haqida e'lon qilinadigan ogohlantirishlar.
Tavsiyalar juda foydali bo'lib, o'qish uchun juda kam vaqt oladi va payqab
qolingan qaltis joylar tufayli yuzaga kelishi mumkin bo'lgan eng jiddiy xavf-
xatarlardan ogoh etadi. Ular xavf-xatarni ifodalab uning oldini olish uchun
maslahatlar beradi. Ularni qator joylardan olish mumkin. Ikkita eng foydali bo'lgan
tavsiyalar kompyuter jinoyatlariga qarshi kurash guruhi e'lon qilib turadigan
tavsiyalar bo'lib CIAC va CERT saytlaridan olish mumkin. Xavfsizlik bilan bog'liq
hodisalarni tekshirish guruhi muntazam faoliyat olib borishi lozim. Har qanday
tarmoqda ham xavfsizlik billan bog'liq hodisalar sodir bo'lib turadi(yolg'on trevoga
bo'lsa ham). Tashkilot xizmatchilari avvaldan u yo bu holda nima qilishni bilishlari
shart. Qaysi hollarda huquqiy-himoya organlariga murojaat qilish kerak, qaysi
hollarda kompyuter jinoyatlariga qarshi kurash guruhini chaqirish va qaysi
hollarda tarmoqni Internetdan uzib qo'yish kerak va ahamiyatli serverning qulfi
buzilganda nima qilish kerak. CERT AQSH doirasida bu borada maslahatlar
beradi. FedCIRC AQSH jamoat va davlat tashkilotlariga maslahatlar berish uchun
mas'uldir. Harbir davlatda bunday maslahat olish joylari bo'lishi maqsadga
muvofiqdir.
Kompyuter xavfsizligi bo'yicha umumiy axborot quyidagi manzillardan olinishi
mumkin:
NIST Computer Security Resource Clearinghouse
Federal Computer
Incident Response Capability
Center for Education and Research in Information Assurance and Security
Carnegie Mellon Emergency Response Team
Bugungi kunda axborot xavfsizligini ta'minlashda an'anaviy qo'llanilib kelingan
yondoshuvlar va vositalar yetarli bo'lmay qoldi. Bunday sharoitda axborot
himoyasining eng ishonchli va sinalgan usuli bo'lgan kriptografiyaning ahamiyati
yanada oshdi. Quyida Internet va Intranetda axborot himoyasining kriptologiya
yo'nalishi haqida batafsil to'xtalamiz.
5. SIMMETRIK VA NOSIMMETRIK KRIPTOGRAFIK TIZIMLAR
Kriptografik tizim, yo qisqacha, kriptotizim shifrlash ham shifrni ochish
algoritmlari, bu algoritmlarda
ishlatiladigan kalitlar
, shu kalitlarni boshqaruv tizimi
hamda shifrlanadigan va shifrlangan matnlarning o'zaro bog'langan majmuasidir.
Kriptotizimdan foydalanishda matn egasi shifrlash algoritmi va shifrlash kaliti
vositasida avvalo dastlabki matnni shifrlangan matnga o'giradi. Matn egasi uni o'zi
foydalanishi uchun shifrlagan bo'lsa (bunda kalitlarni boshqaruv tizimiga hojat
ham bo'lmaydi ) saqlab qo'yadi va kerakli vaqtda shifrlangan matnni ochadi.
Ochilgan matn asli (dastlabki matn)ga aynan bo'lsa saqlab qo'yilgan axborotning
butunligiga ishonch hosil bo'ladi. Aks holda axborot butunligi buzilgan bo'lib
chiqadi. Agar shifrlangan matn undan qonuniy foydalanuvchiga(oluvchiga)
mo'ljallangan bo'lsa u tegishli manzilga jo'natiladi. So'ngra shifrlangan matn
oluvchi tomonidan unga avvaldan ma'lum bo'lgan shifr ochish kaliti va algoritmi
vositasida dastlabki matnga aylantiriladi. Bunda kalitni qanday hosil qilish, aloqa
qatnashchilariga bu kalitni maxfiyligi saqlangan holda yetkazish, va umuman,
ishtirokchilar orasida kalit uzatilgunga qadar xavfsiz aloqa kanalini hosil qilish
asosiy muammo bo'lib turadi. Bunda yana boshqa bir muammo – autentifikatsiya
muammosi ham ko'ndalang bo'ladi. Chunki: Dastlabki matn(xabar) shifrlash
kalitiga ega bo'lgan kimsa tomonidan shifrlanadi. Bu kimsa kalitning haqiqiy egasi
bo'lishi ham, begona (mabodo kriptotizimning siri ochilgan bo'lsa) bo'lishi ham
mumkin. Aloqa ishtirokchilari shifrlash kalitini olishganda u chindan ham shu
kalitni yaratishga vakolatli kimsa tomonidan yo tajovuzkor tomonidan yuborilgan
bo'lishi ham mumkin. Bu muammolarni turli kriptotizimlar turlicha hal qilib
beradi. Kriptotizimda axborotni shifrlash va uning shifrini ochishda ishlatiladigan
kalitlarning bir-biriga munosabatiga ko'ra ular bir kalitli va ikki kalitli tizimlarga
farqlanadilar. Odatda barcha kriptotizimlarda shifrlash algoritmi shifr ochish
algoritmi bilan aynan yo biroz farqli bo'ladi. Kriptotizimning ta'bir joiz bo'lsa
"qulfning" bardoshliligi algoritm ma'lum bo'lgan holda faqat kalitning himoya
xossalariga, asosan kalit axborot miqdori(bitlar soni)ning kattaligiga bog'liq deb
qabul qilingan.
Shifrlash kaliti shifr ochish kaliti bilan aynan yo ulardan biri asosida ikkinchisi
oson topilishi mumkin bo'lgan kriptotizimlar simmetrik(sinonimlari: maxfiy kalitli,
bir kalitli) kriptotizim deb ataladi. Bunday kriptotizimda kalit aloqaning ikkala
tomoni uchun bir xil maxfiy va ikkovlaridan boshqa hech kimga oshkor bo'lmasligi
shart. Bunday tizimning xavfsizligi asosan yagona maxfiy kalitning himoya
xossalariga bog'liq. Simmetrik kriptotizimlar uzoq o'tmishga ega bo'lsa-da, ular
asosida olingan algoritmlar kompyuterlardagi axborotlarni himoyalash zarurati
tufayli ba'zi davlatlarda standart maqomiga ko'tarildilar. Masalan, AQSHda
ma'lumotlarni shifrlash standarti sifatida 56 bitli kalit bilan ishlaydigan DES(Data
Encryption Standart) algoritmi 1977 yilda qabul qilingan. Rossiya(sobiq SSSR)da
unga o'xshash standart (GOST 28147-89) sifatida 128 bitli kalit bilan ishlaydigan
algoritm 1989 yilda tasdiqlangan. Bular dastlabki axborotni 64 bitli bloklarga
bo'lib alohida yoki bir-biriga bog'liq holda shifrlashga asoslanganlar.
Algoritmlarning matematikaviy asosida axborot
bitlarini aralashtirish
, o'rniga
qo'yish, o'rin almashtirish va modul bo'yicha qo'shish amallari yotadi. Unda kirish
va chiqishdagi matnlarning axborot miqdorlari deyarli bir xil bo'ladi. Simmetrik
kriptotizimni ishlashini bu kungi davrimizning Kumush va Otabeklari orasida
elektron maktublar almashish misolida ko'rib chiqamiz. pinhona aloqaga nisbatan
tajovuzkor shaxsni Homid deb ataymiz. Faraz qilaylikki, Otabek Kumushga
pinhona maktub yo'llamoqchi. Ular orasida aloqa boshlanguncha o'zlarining
yagona o'zaro maxfiy kalit K nusxalarini bir-birlariga berib, maktubni faqat
shifrlangan shaklda yuborishga kelishib qo'ygan edilar. Otabek Kumushga m
maktubini yozib, uni K kaliti bilan shifrlaydi. Natijada m maktubi shifrlangan matn
C ga aylanadi. So'ngra Otabek shifrlangan maktubni elektron pochta orqali
Kumushga jo'natadi. Kumush shifrlangan maktub C ni qabul qilib olgach uni
o'zidagi o'zaro maxfiy kalit K bilan uning shifrini ochib Otabek yozgan m
maktubiga aylantirib uni o'qiydi.
|
