1985ж. Эль –Гамаль үрдісінің қауіпсіздігі дискретті логарифмді ақырлы өрісте табудың күрделілігіне негізделген. Бұл жағдайда екі кілттің мәндерін кездейсоқ табу үшін (құпия кілтінің мәнін ашық кілтінің) алдымен қандай да бір үлкен жай санын P және үлкен бүтін G санын G<P болатындай таңдайды.Бұл сандар қолданушылар арасында еркін таратылады. Одан соң X<P болатындай, X бүтін саны кездейсоқ таңдалады. X саны құпия кілт ретінде сақталуы тиіс. Y=G x mod P. Y- саны ашық кілт. M хабарламасын шифрлеу үшін бүтін K санын кездейсоқ таңдайды және 1<K<P-1 шартын қанағаттандырады және ЕҮОБ (K, P -1)=1
a=G k mod P; b=Y kM mod P; (a,b)- шифрленген мәтін.Шифрленген мәтін ұзындығы берілген ашық мәтін М-нің ұзындығынан екі есе артық. (a,b)- шифрленген мәтінін кері шифрлеу.
Ол үшін М=b/ax mod P (*); ax≡G kx mod P. b/ax≡Y kM/ax≡G kxM/G kx≡M (mod P).
Хэш-функциялар.
Криптографияда Хэш–функциялар деп еркін ұзындықтағы бастапқы жолды бекітілген ұзын- дықтағы биттер жолына айналдыратын Ақпараттарды айналдыру алгоритмін айтады. Хэш–функциялардың қолданылуы: 1). Сандық қолтаңба механизміне қолданылатын хабардың қысылған бейнесін құру үшін. 2). Парольдерді қорғау үшін.3).Хабар аутентификациялары кодын құру үшін. Хэш функцияларға қойылатын негізгі талаптар:1). h(m) функциясының белгілі мәні бойынша оның m аргументін табу мүмкін емес (өте күрде лі) болуы керек.Мұндай хэш функция айналдыру мағынасында берік деп аталады. 2). Берілген m аргумент үшін h(m)= h(m') боладтын h(m') табу мүмкін емес. Мұндай хэш-функциялар композицияларды есептеу мағынасында берік деп аталады. 3).Практикалық маңыздылық үшін хэш функцияларды алу алгоритмі жылдам есептелінетін болу керек,одан да жақсысы-нақты аппаратты есептеу ортасында ықшамдалған болу керек. Хэш функцияларды есептеудің типтік сызбасы: Хэш функциялардың ішіндегі ең белгілілері-MD2,MD4,MD5 және SHA. MD2,MD4,MD5 — Ривестпен өңделген MD хэш функцияларын есептеу алгоритмдерінің тобы. 128-битті бейнеге қысылған еркін ұзындықтағы кіріс хабарын түрлендіреді. Бірбағытты Хэш –функциялар Бірбағытты H(m) функцясы м еркінділік ұзындығы хабарламасына қолданылады және h бекі- тілген ұзындық мәнін қайтарады. h=H(M),Мұнда h-тің м ұзындығы бар. Көп функциялар бекітілген ұзындықтың мәнін сол ұзындықтың кіріс мәліметтері бойнша есептеуге мұмкіндік береді,бірақ бір бағытталған хэш- функцияларда оларды бірбағытты қыла- тын қосымша қасиеттер бар: М-ді білсек,h-ті есептеу оңай. Н-ті білсек м-ді анықтау қиын,егер H(M)=h болса. М-ді білсек мына хабарламаны анықтау қыйын, М^΄, Н(M)=Н(М') үшін.
RSA электрондық-цифрлік қолтаңбасы.
Қазіргі RSA криптожүйесінің қауіпсіздігі екі үлкен жай сандардың көбейтіндісі болып табылатын үлкен санды жіктеу есебін шешудің қиындығына негізделген. Шынында, RSA алгоритмінің сенімділігі құпия және ашық кілттерді құрғаннан кейінгі және сандарының мәндерінің жойылып кететіндігінде. Бұл жағдайда құпия kb кілтінің мәнін ашық Kb кілтінің мәніне сай анықтау қиынға түседі, себебі N модулінің бөлгіштерін P және Q –ді табу есебін шешуге тура келеді. RSA алгоритмінің қадамдары. Кілтті генерациялау (кездейсоқ таңдау).
1-қадам. Екі үлкен p және q жай сандары таңдалады.
2-қадам. N = pq табылады
3-қадам. (N) = (p-1) (q-1) есептеледі
4-қадам. Кез-келген e (e<n) саны таңдалады, e және (N) өзара жай сандар болуы тиіс.
5-қадам. de mod m = 1 болатындай d табылады
(e,n) – екі саны ашық кілт ретінде таратылады. d саны құпия сақталады және (e,n) көмегімен шифрленген мәтінді ашуға пайдаланылатын жабық кілт болып табылады.
Шифрлеу: C = Pe mod n; Керішифрлеу:P = Cd mod n
Деректерді шифрлеудің американдық DES әдісі. DES алгоритмінің негізгі жұмыс тәртіптері.
Деректерді шифрлеудің стандартын DES(Data Encryption Standard) 1977 жылы АҚШ-тың Ұлттық стандарттар бюросы қабылдаған. DES стандарты АҚШ-тың мемлекеттік және коммерциялық ұйымдарындағы маңызды ақпараттарға рұқсатсыз енуден қорғау үшін қолданылады.Алгоритмнің негізгі жағымды жақтары:- ұзындығы 56 бит болатын бір ғана кілт пайдаланылады. DES алгоритмі орын ауыстыру мен ауыстырулар қисындасуын пайдаланады. DES 64-биттік кілт көмегімен 64-биттік деректер блогын шифрлеуге мүмкіндік береді. Кілттегі 8 бит – жұптылықты бақылауға арналған тексеру биттері болып табылады. DES алгоритміндегі шифрлеу процесінің жалпылама сұлбасы: ең алдымен 64 биттік блоктың биттері орын ауыстырылады (ол шифрлеудің 16 циклында өтеді), сосын биттердің соңғы орын ауыстыруы болады. DES алгоритмінде мынадай шартты белгілер пайдаланылады:L және R - (сол (left) және оң (right)) битер тізбектері; R - L және R тізбектерінің конкатенациясы, LR биттер тізбегінің ұзындығы L және R ұзындықтарының косындысына тең. R биттер тізбегі L биттер тізбегінен кейін жазылады;ʘ - екі модулі бойынша битті битке қосу операциясы.Бастапкы мәтін сақталатын файлдан кезекті 64- биттік (8-байттық) Т блогы оқылады. Бұл Т блогы IP бастапқы орын ауыстыру матрицасы көмегімен түрлендіріледі.Т (64 бит) енгізілген блоктың биттері IP матрицасының көмегімен орналастырылады: Т блогінің 58 биті 1-ші бит болады, 50-ші биті 2-ші т.б. Бұл ауыстыруды келесі өрнек түрінде жазуға болады Т0 = IP(T). Алынған биттер тізбегі Т0 екі тізбекке бөлінеді: L0 – сол жақ немесе үлкен биттер, R0-оң немесе кіші биттер, әрқайсысы 32 биттен құралады. Содан соң 16 кадамнан тұратын шифрлеудің итеративтік процесі орындалады. Ti - i-ші итерацияның нәтижесі болсын: Тi = Li Ri, мұндағы Li = t1t2...t32 (алғашқы 32 биттер); Ri = t33t34...t64 (соңғы 32 биттер). Онда i-ші итерацияның нәтижесі келесі формуламен сипатталады: Li = Ri-1, i = 1, 2,…,16; Ri = Li-1 f (Ri-1,Ki), i = 1,2,…,16. f функциясы шифрлеу функциясы деп аталады. Оның аргументтері болып алдыңғы қадамнан алынған Ri-1 тізбегі және 64-биттік К шифрінің түрлендірілу нәтижесі болатын 48-биттік Ki кілті табылады. Итерацияның соңғы қадамында R16 и L16 тізбектері алынады (орындары ауыстырылмайды), және олар 64-биттік R16 L16 тізбегіне конкатенацияланады.
Деректерді кері шифрлеу процесі шифрлеу процесіне қарағанда инверсті. Барлық іс-әрекет кері тәртіппен орындалады. Яғни шифрленген деректер алдымен IP -1 матрицасының көмегімен орын ауыстырылады. Содан соң R16L16 биттер тізбектерімен шифрлеу процесінде болатын амалдардың кері түрі орындалады. Кері шифрлеудің итеративті процесі келесі формулалармен сипатталады: Ri-1 = Li, i = 1, 2,…,16;
Li-1 = Ri f (Li,Ki), i = 1,2,…,16.
Криптографиялық кілттермен басқару. Кілттерді генерациялау(кездейсоқ табу). Кілттерді сақтау. Кілт/ді бөлу. Орталықтың қатысуымен кілт/ді бөлу. Қолданушылар арасында кілттермен тікелей алмасу.
Кілттермен басқару. Кілттермен басқару криптография жүйесінде маңызды рөлді атқарады. Ол мынадай мүмкіндіктерге йе: Қолданушыларды жүйеге енгізу; Кілттерді пайдалануды бақылау; Кілттерді ауыстыру және жою; Кілттерді сақтау және қалпына келтіру;Кілттермен басқарудың мақсаты: Жабық кіллтерді қатаң, құпия түрде сақтау; Ашық кілттердің аутидентификациялануы; Жарамдылық мерзімі өткен кілттерді тексеруден өткізу;Кілттерді басқару келесі қадамдардан тұрады:1.Пайдаланушыларды тәркеу.Бұл қадамда пайдаланушы өзінің құпия сөзін (пароль) және PIN-кодын енгізеді. 2.Инициализация. Мұнда пайдаланушы ережеге сәйкес ақпараттық құрал жабдықты орнатады.3.Кілттердің генерациялануы.Бұл кезеңде кілттердің генерациялануы тікелей пайдаланушы арқылы немесе арнай компьютерлік жүйелер арқылы іске акуы мүмкін. 4.Кілттерді сақтау. Кілттерді сақтау оны ауыстарғанға дейін пайдаланылады.5.Кілттерді ауыстыру. Бұл кілттердің жарамдылық мерзімінің өтуіне орай алмастырылады.
Кілттерді кездейсоқ табу және белгілеу.
Кілтті табу барысында қауіпсіз байланыс қолданылады.Клиент сервердің ашық кілті(АК) арқылы кездейсоқ санды шифрлейді және нәтижесін серверге жібереді.Кері шифрлеу тек сервердің (оның жабық кілтімен (ЖК)), және тек осы мәлімдеме кілттерді үшінші жақтан жасырын күйге келтіре алады,себебі тек сервер және клиент қана бұл деректерге қол жеткізе алады.Клиент ашық кілтті және кездейсоқ санды біледі,ал сервер жабық кілтті және кездейсоқ санды біледі.Ал үшінші жақ,егер жабық кілт бұзылмаған болса,онда ол тек ашық кілтті ғана білуі мүмкін. Кездейсоқ сан арқылы екі жақта шифрлеу және кері шифрлеу үшін кілттік мәліметтер құра алады.
Кілттерді сақтау
Кілттерді сақтау - бұл оларды қауіпсіз сақтау, есептеу мен өшіруді ұйымдастыру.ISO 8532 (Banking-Key Management) стандартында кілттер иерархиясы: басты кілт (БК), кілттерді шифрлеу кілті ф(КК), мәліметтерді шифрлеу кілті (МК) енгізілетін басты сеанстық кілттер (master/ session keys) әдісі анықталады. Кілттер иерархиясы мынадай болуы мүмкін: екі деңгейлі (КК/ МК); үш деңгейлі (БК/ КК/ МК). Төмен деңгей – мәліметтерді, хабар аутентификацияларының дербес идентификациялық нөмірлерін (РІN) шифрлеуге арналған МК жұмыс және сеанстық кілттер. Орта деңгей – МК кілттерін оларды беру және сақтау кезінде шифрлеу кілттері. Екі желі торабының арасында кілттерді жіберу үшін қолданылатын кілттерді шифрлеу кілттері (cross demain keys). Әдетте арнада екі желі торабының арасында алмасу үшін бір-бірден әр бағыттағы екі кілт қолданылады. Сондықтан желінің әр торабы басқа желі тораптарымен бірігіп ір арна үшін жіберу кілтінен тұратын болады. Жоғары деңгей – басты кілт, шебер–кілт КК шифрлеу үшін қолданылады. Шебер–кілт алмасу қатысушыларының арасында электронды емес тәсілмен – жеке контактпен таралады. Шебер–кілттің мәні ұзақ уақытқа бекітіледі. Шебер–кілт есептелуі бойынша қорғалған жазбаларда механикалық әсер блогында сақталады. Жұмыс кілттері хост-компьютердің шебер–кілтінің көмегімен алынған ЕК Н(Кs) криптограммасы түрінде генерацияланатын болғандықтан қорғалмаған жерде сақталады.
Кілттерді бөліп тарату.
Кілттерді тарату келесі екі тәсілмен жүзеге асырылады: кілттерді таратудың бір немесе бірнеше орталықтарын қолданумен; желіні қолданушылар арасында сеанстық кілттерді тікелей алмастырмен.Кілттерді тарату есебі төмендегілерді қамтамасыз ететін кілттерді тарату протоколдарын құрастыруға әкеледі: cеансқа қатысушылардың өзара дұрыстығын бекіту; сұраныс механимімен - жауап немесе уақыт белгісі; сеансының ақиқаттығын бекіту;кілттерді алмастыру үшін хабарлардың ең аз сандарын қолдану; кілттерді тарату орталығы жағынан қиянат жасаудың болмау мүмкіндігі (одан бас тартуға дейін).Кілттерді тарату есебін шешу негізінде бекіту процедурасын бөлімі принципін мақсатқа лайықты қою, серіктестің процедурадан түпнұсқасын, кілттерді таратудың өзіндік шығуы. Мұндай келудің мақсаты әдіс құруда, яғни түпнұсқалылықты орнатқаннан кейін қатысушылар өздері кілттерді тарату орталығының қатысуынсыз кілттерді таратушы хабардың мазмұнын әшкерелеу мүмкіндігіне ие болмау үшін сеанстық кілт құрады.
Желілік жүйелердің қауіпсіздігі.Желілердің қауіпсіздік проблемасы. Желілердің қауіпсіздік деңгей/і. Желі/дегі қауіп көздері және оларға қарсы әрекеттер. Желілік жүйелерге қарсы шабуыл/ түр/і.
Компьютерлік желілердің қауіпсіздік ерекшеліктері
Кез-келген желілік жҥйенің ерекшелігі, оның компоненттері кеңістікте орналасады, ал олардың арасындағы байланыс физикалық тҥрде болады(коаксикальды кабель, витая пара,оптоволокно және т.б.) және бағдарламалық тҥрде хабарландыру механизмі кӛмегімен. Есептеуіш жҥйенің объектілерінің арасындағы байланыс желілік байланыс бойынша ауыстыру пакеті ретінде жіберіледі.
Желілік жҥйелерге жергілікті шабуылдан басқа желілік шабуылдар да жасалады. Оладың ерекшелігі біріншіден, қарақшы шабуыл жасалатын объектіден мыңдаған километр жерде орналасуы мҥмкін, екіншіден шабуыл жеке компьютерге емес, желімен берілетін ақпаратқа жасала алады. Жергілікті және ауқымды желілердің дамуына байланысты алыстан шабуыл жасау қолданылуына қарай ең жоғарғы кӛрсеткіштер кӛрсетуде.
Алыстан шабуыл деп есептеуіш жҥйеге байланыс каналы бойынша бағдарламалық тҥрде жҥзеге асатын ақпараттық зақым келтіретін әсерді айтады.
Ақпаратты қорғау – ақпаратты ағып кетуден, ҧрлаудан, ӛзгертуден, рҧқсатсыз кӛшіру мен жоюдан қорғау мақсатында жасалатын әрекеттер жиыны. Ақпаратқа қауіп техникалық жағынан да келетін болғандықтан, келесі жағдайларды ескеру қажет: сервер сенімділігі, винчестер жҧмысының кемшіліктері, қолданылған бағдарламалық жабдықтың кемшіліктері және т.б.
Дербес компьютермен жҧмыстан желідегі жҧмысқа ӛту ақпараттық қорғанысты келесі себептер бойынша қиындатады:
1. желідегі қолданушылардың саны және олардың ауысуы. Қҧпия сӛз және атау қою желіні бӛгде адамның кіруінен қорғай алмайды;
2. желінің сӛзылымы және желіге енудің потенциалды каналдарының кӛп болуы;
3. ақпараттық және бағдарламалық жабдықтардың кемшліктері, олар қолдану кезінде анықталады. Соның ішінде қуатты желілік ОЖ Windows NT немесе NetW ақпарат қорғанысың дҧрыс қондырылмауы.
Ҥлкен қашықтықты қамтитын желінің коаксикальды қабельді бір сегментінде проблеманың тереңдігін байқау ҥшін сур. 13.1 назар аударыңыз. Желіде ақпаратқа еніге мҥмкіндік беретін каналдардың кӛптігі кӛрінеді. Желідегі барлық қҧрылғы электромагниттік сәулеленудің кӛз болып табылады, себебі сәйкес алаңдар нашар экрандалған.. Кабельдік желінің жерде болуы желідегі ақпаратқа енуге рҧқсат береді. Коаксикальды немесе витая пара кабельдерін пайдалану, кабельдік жҥйеге физикалық тҥрде қосылуға мҥмкіндік береді. Желіге енетін қҧпия сӛз белгілі болып немесе табылған болса, желіге ену файл-серверден немесе жҧмыс станциясынан мҥмкін болады. Сонымен қатар, желіден тыс каналдардан ақпарат ағып кетуі мҥмкін:
ақпарат тасымалдаушылардың қоймасы,
Желілік шабуылдың классификациясы
Жалпы алғанда, жіберушіден (файл, қолданушы,компьютер) алушыға (файл, қолданушы,компьютер) жіберілетін ақпараттық лек болады.
Барлық шабуылдарды екі топқа бӛлуге болады: пассив және актив
I.Пассив шабуыл
Берілген хабарламаны қарсыласы модификациялай алмайтын және ақпараттық каналға жӛнелтуші мен алушының арасына ӛз хабарларын қоя алмайтын шабуылды пассив шабуыл деп атайды.
Пассивтік шабуылдың мақсаты-берілген хабарлар мен трафика анализдерін тыңдау.
II. Актив шабуыл
Қарсыластың жіберілген хабарларды модификациялай алатын және ӛз хабарларын қоя алатын шабуылды актив шабуыл деп атайды.
Активтік шабуылдың мынадай тҥрлері бар:
1. Қызмет етуден бас тарту-DOS- шабуыл (Denial of Service)
Қызметтен бас тартужелілік сервистің дҧрыс қызметін бҧзады. Қарсылас белгілі бір адреске бағытталған барлық хабарламаларды ҧстай алады. Мҧндай шабуылдың мысалы трафиканың жасалуы болып табылады, сол себепті желілік сервис заңды тҧтынушының сҧранысын ӛңдей алмайды.
TCP/IP желісіндегі мҧндай шабуылдың классикалық мысалы ретінде SYN шабуылын айтуға болады.
Бҧзушы TCP-біріктіруші қондырғысына ҧқсайтын пакетті жібереді, бірақ бҧл бірігудің қондырғысын аяқтайтын пакетті жібермейді. Нәтижесінде серверде жадының шамадан тыс толығуы жҥзеге асады да, сервер заңды тҧтынушымен жалғастыруды жҥзеге асыра алмайды.
2. Берілген лектің модификация шабуылы «man in the middle»
Берілген лектің модификациясы дегеніміз-берілген хабарламаның мазмҧнының ӛзгеруі немесе хабарлау тәртібінің ӛзгеруі.
3. Жалған лектің пайда болуы(фальсификация)
Фальсификация дегеніміз-бір субъектінің ӛзін басқа адам ретінде беруі.
4. Қайталама қолдану.
Берілген мәліметті рҧқсат етілмеген жолмен алатын пассивтік ҧстау-қайталама қолдану деп аталады.
Желіаралық экрандардың жұмыс ерекшеліктері. Желіаралық экрандардың негізгі компоненттері. Машрутизаторлар-сүзгілер, желілік және қолданбалы деңгейлердің көмейлері(шлюздері).
Желіаралық экран (firewall, брандмауэр) – трафикті өзі арқылы өткізетін, немесе күнбұрын анықталған ережелерге негізделе отырып оны оқшаулайды.
Желіаралық экрандарды әртүрлі белгілері бойынша топтарға бөлуге болады.Орналасуы бойынша:
1. Дербес брандмауэр (personal firewall) – желідегі әрбір жұмыс станциясына орнатылатын және сол немесе басқа қосымшаны орнатуға тырысатын жалғасуды бақылайтын бағдарлама.
2. Бөлінген желіаралық экран (distributed firewall) әдетте ішкі желі мен Интернеттің арасында «ажырауға» орнатылады және ол арқылы өтетін бүкіл трафикті тексереді. Жеткілікті үлкен желі бар болған кезде бірнеше желіаралық экрандарды орнатумағынасына ие: әрбір бөлім немесе жұмыс топтары үшін – компанияның ішкі желісі шабуылдарынан қорғау құралы есебінде.
Негізінен қолданбалы деңгейдегі бірнеше өте танымал хаттамалар: HTTP, FTP және басқалары үшін прокси-серверлер бар. Сонымен қатар SOCKS5 меншікті хаттамамалар үшін прокси-серверлер құрудың жалпыәлемдік стандарттары бар. Одан басқа, оларда көбінесе пакетік сүзгілеу мүмкіндігі болады.
· Жай-күйді бақылауымен желіаралық экрандар (stateful inspection)
Осы санаттағы желіаралық экрандар өтіп жатқан трафиктің өте жұқа талдауын жүргізеді, атап айтқанда нақты жалғасуға оның тиістілігі контекстінде, оның ішінде жалғасудың кіммен, қашан және қалай орнатылғаны және пакетті алар алдында осы жалғасу шеңберінде қандай белсенділігін әрбір пакет қарайды. Дегенмен, бірқатар хаттамалардың (мысалы UDP) жалғасу орнатылмай-ақ жұмыс жасайтынын ескере отырып, желіаралық экран «ауани» жалғасу деп аталатын – ағын шеңберіндегі пакетермен жұмысты жүргізеді. Бұл жағдайда мұндай пакеттер бірыңғай контексте қаралады. Бұл ретте желіаралық экрандардың осы типі ағымдағы жалғасу туралы ғана емес, сонымен бірге бұрынғы қосылыстар туралы да ақпаратты пайдалана алады.
FireWall виртуальды желіаралық экраны
Желіаралық экран (FireWall) жүйе арқылы өтетін шығыс және кіріс трафикті сүзгілеу мүмкіндігін береді. Желіаралық экран желілік пакеттерді желілік қосылу арқылы кіру және шығу кезінде тексеру үшін бір немесе бірнеше ережелер жинағын пайдаланады, ол немесе трафиктің өтуіне жол береді немесе бұғаттайды. Желіаралық экран ережесі протокол типі, адрес және дереккөз немесе тағайындау хостының порты сияқты бір немесе бірнеше пакеттердің сипаттамаларын тексере алады.
Желіаралық экрандар сіздің желіңіздің қауіпсіздік деңгейін біршама көтеруі мүмкін.
Осылайша, осы қызметтің мәні FireWall виртуальды желіаралық экранды қымбат тұратын жабдықтарды сатып алмай немесе оған қызмет көрсетпей-ай сатып алу болып табылады. Виртуальды желіаралық экранда сізге қажетті ережелер жинағы бапталады, соның негізінде қызметтерді ұсыну алгоритмі қалыптасады. Ережелердің өздері сіздің желіңіздің қажеттілігі негізінде алдын ала сізбен қалыптастырылады. Торнаманың виртуальды желіаралық экрандауға қабілеттілігінің арқасында сіз үшін дербес жеке ережелер тізімі қолданылатын болады.
Шлюз (тоған) — әртүрлі протоколдармен жұмыс істейтін желі бөліктерін бір-бірімен байланыстыруға арналған программ алық -аппарат тық құрал. Шлюз әртүрлі желілер мәліметтерін бір-біріне сәйкес келетіндей етіп түрлендіреді.
Маршруттауыш (Router)- — бірнеше арналармен қатар жұмыс істеп, келіп түскен кезектегі мәліметтер блогын (пакетті) солардың біріне жөнелтетін құрылғы. Маршруттауыш келіп түскен пакеттің тақырыбында жазылған адреске сәйкес бір арнаны таңдап алады. Маршруттауыш әрбір пакет үшін, ол баруға тиіс адреске баратын жолды жеке таңдайды.
Информацияны тасымалдау жолын таңдап алу процесін маршруттау деп атайды.
Электрондық есеп айрылысу жүйе/індегі ақпарат/ды қорғау. Жұмыс істеу принцип/і. Электрондық пластикалық карта/. Дербес идентификациялаушы нөмір. Банкомат/дағы қауіпсіздікті қамтамасыз ету шара/ы.
Банкоматтардың қауіпсіздігін қамтамасыз ету. UEPS төлем жүйесінің қауіпсіздігін қамтамасыз ету.
Банкоматтың көмегімен қолма-қол ақша алуды картаны Ұстаушы өзіне өзі қызмет көрсету режимінде жүргізеді. Карта операциясы аяқталып, банкноттар банкоматтан алынғаннан кейін, чек қағазға шығарылады. Картаны Ұстаушыға қатысты ақпараттың жабықтығына байланысты, қағазға шығарылған чекті бірге алып кеткен және ешқашанда оны банкоматтың жанында қалдырмаған жөн. Қолданыстағы карта үшін карта операциясы дұрыс ПИН-код терілгенде төмендегідей себептер бойынша қабыл алынбауы мүмкін: Сұратым жасалатын сома банкоматтың кассеталарында бар банкноталармен беріле алмайды. Нақты банкоматқа нұсқаулықта көрсетілетін банкноталардың минималды номиналына еселенетін сомаға сұратым жасау керек; Сұратым жасалатын сома банкоматтың қолма-қол ақша беретін құрылғысының габариттерімен белгіленетін бір дүркін беру лимитінен асады. Сұратым жасалатын соманы бөлшектерге бөлу және операцияны бірнеше дүркін қайталау қажет.Сұратым жасалатын сома картаны Ұстаушының билігіндегі сомадан артық. Карт-шоттағы ақша қалдығын қағазға шығару функциясына жүгініп, нақтылауға болатын кемірек сомаға сұратым жасауға болады.Банкоматпен жұмыс істегенде егер картаны Ұстаушы қайтарылатын картаны немесе берілетін банкноталарды беру құрылғысынан 20 секундтың ішінде алып шықпаса, қорғау жүйесі іске қосылатынын және карта Ұстаушының ақшасын сақтау мақсатында, карта немесе банкноталар арнайы бөлімшеде ұсталып қалатынын ұмытпау керек.
Ақпараттық жүйе/дің қауіпсіздігінің халықаралық ISO 17799 стандарты. Негізгі термин/ мен анықтама/.
Ақпараттық жүйелердің қауіпсіздігінің халықаралық ISO 17799 стандарты.
ISO/IES 27001 стандарты Халықаралық Стандартизация ұйымы мен қабылданды.
Стандарт әлемге әйгілі BSI MS те өңделген Британ стандарты BS 7799 негізінде жасалды. ISO/IES 27001 менеджмент жүйесінде басқа да халықаралық стандарттармен үндескен және де ол өзіне ақпараттық қауіпсіздік және ең күшті практикасы енген ISO\ IEC 7799 стандартында сипатталған басқару принципі ОЕСД-ні қосып алды. Әрбір ұйымның ішінде ақпараттық қауіпсіздік саясатына сұраныс туып отыр. Өмірлік маңызы бар корпоративтік ақпаратты және клиенттеріңізді құпияда сақтауыңыз қажет. Ақпараттық қауіпсіздікті басқару жүйесіне арналған стандарт (ISMS)BS 7799-2 (Қазір ISO\IEC 27001:2005) бірден бүкіл әлемге танылды. Ақпараттық қауіпсіздікті басқару жүйесі (СУИБ немесе ISMS)-бұл компанияның құпия ақпаратын қорғау мақсатында құрылған жүйе. Ол IT жүйесін, адамдарды, процестерді қамтиды. Бұндай жүйелер үшін BSI бірнеше ережелер шығарды. Бұл бүкіл әлемде халықаралық стандарт түрінде ISO\IEC 17799:2005 қабылданды. Сонымен қатар СУИБ ұйымдарының талаптарын қоятын ISO\IEC 27001 (бұрын BS 7799-2) стандарты қабылданды.ISO/IEC 17799:2005 стандарты ISO/IEC 17799:2005 стандарты компанияның ақпараттық қауіпсіздікті басқару аясындағы ең үздік әлемдік тәжірибелерді жинақтайтын стандарт. Стандарт негізгі ұстанымдарды анықтайды және СУИБ мекемелерін жетілдіру, енгізу, қолдау және жақсарту бойынша басқаруды көрсетеді. организации. Стандартта көрсетілген мақсаттар мен оларға жету жолындағы әдіс-тәсілдер ақпапарттық қауіпсіздік бойынша нұсқауды көрсетеді. ISO/IEC 17799:2005 стандарты мақсат қою, бақылау және бақылау әдістерін анықтауда төменде көрсетілген ақпараттық қауіпсіздікпен басқару аясындағы әлемдік ең үздік тәжірибелерге негізделген. Қауіпсіздік саясаты - менеджмент бағытын және ақпаратты қорғауды қамтамасыз ететін әдістерді анықтайды.
Негізгі терминдер мен анықтамалар.
Ақпараттық қауіпсіздік — мемлекеттік ақпараттық ресурстардың, сондай-ақ ақпарат саласында жеке адамның құқықтары мен қоғам мүдделері қорғалуының жай-күйі. Ақпаратты қорғау — ақпараттық қауіпсіздікті қамтамасыз етуге бағытталған шаралар кешені. Тәжірибе жүзінде ақпаратты қорғау деп деректерді енгізу, сақтау, өңдеу және тасымалдау үшін қолданылатын ақпарат пен қорлардың тұтастығын, қол жеткізулік оңтайлығын және керек болса, жасырындылығын қолдауды түсінеді. Ақпаратты қорғау құралдары - мемлекеттік құпия болып табылатын мәліметтерді қорғауға арналған техникалық, криптографиялық, программалық және басқа да құралдар, олар жүзеге асырылған құралдар, сондай-ақ, ақпарат қорғаудың тиімділігін бақылау құралдары. Бұзушы - тиым салынған операцияларды қателескендіктен, білместіктен орындауға әрекет жасаған немесе ол үшін саналы түрде әртүрлі мүмкіншіліктерді, әдістерді және құралдарды қолданатын тұлға. Криптография дегеніміз - деректер мен хабарлардың әлдеқайда қауіпсіз сақталуы мен таратылуы үшін оларға код тағайындауға арналған стандарттар мен хаттамалар жиынтығы. Криптографиялық хаттамалардың негізгі типтерін дамыту ашық кілттерді және олардың негізінде шифрлеудің ассиметриялық хаттамаларынсыз мүмкін емес. Шифрлеу кілтін асимметриялық жүйелерде *ашық кілт* деп атайды, ал шифрлеудің мағынасын ашу кілтін хабарламаны алушыға құпияда ұстау қажет – ол * жабық кілт * деп аталады. Кодтау — қорғалуы тиіс ақпараттардың кейбір элементтері алдын ала таңдалған элементтермен ауысады. Шифрлеу берілетін деректердің құпиялығын қамтамасыз етуге рұқсат етеді, ал цифрлық қолтаңба өзгермеген түрде жөнелтуші (бірдейлестіру) есебінде көрсетілген хат иесінен хабарламаны куәландырады.
Ауіпсіздікке қарсы қатерлерді классификациялау: әдейі жасалған және кездейсоқ қатерлер; ақпараттардың таралуының тікелей және жанама арналары; адам факторымен, техникалық жабдықтармен, форс-мажорлық жағдайлармен байланысты қатерлер.
Қатерді талдау мыналардан тұрады:
· талданатын объектілерді және оларды қарастырудың нақтылану дәрежесін таңдау;
· қатерді бағалау әдіснамасын таңдау;
· қауіптерді және олардың салдарын талдау;
· қатерлерді бағалау;
· қорғаныш шараларын талдау;
· таңдап алынған шараларды жүзеге асыру және тексеру;
· қалдық қатерді бағалау.
Қауіп бар жерде қатер пайда болады. Қауіптерді талдау кезеңі қатерді талдаудың орталық элементі болып табылады. Қауіптердің алдын алу үшін қорғаныш шаралары мен қүралдары қажет. Қауіптерді талдау, біріншіден, мүмкін болатын қауіптерді анықтаудан (оларды идентификациялаудан) және, екіншіден, келтірілетін болашақ зиянды болжау - бағалаудан тұрады.
Бұл кезеңнің орындалу нәтижесінде объектідегі қауіп - қатерлер тізбесі және олардың қауіптік дәрежесі бойынша жіктемесі құрастырылады. Бұлар бәрі ақпарат қорғау жүйесіне қойылатын талаптарды айқындауға, қорғаныштың ең әсерлі шаралары мен құралдарын таңдап алуға, сондай - ақ, оларды жүзеге асыруға қажетті шығындарды анықтауға мүмкіндік береді.
Атерге талдау жасау
Қатерді талдау үрдісі нені қорғау керек, неден қорғау керек және қалай қорғау (істеу) керек деген сияқты сұрақтардың жауабын анықтайды. Мүмкін болатын қатерлердің бәрін қарастырып шығу керек және оларды келтіретін зиянының ықтимал мөлшеріне байланысты жіктеу керек. Қорғанышқа жұмсалатын қаржы қорғалынатын объектінің құнынан аспауға тиісті.
Аутентификациялаудың симметриялық әдістері. Kerberos үрдісі.
Деректерді аутентификациялау мәселесі Желі арқылы электрондық құжат алмасу барысында деректерді өңдеу мен сақтауға кететін шығын анағұрлым азайып, оларды іздеу жылдамдай түседі. Бірақ құжат пен оның авторын аутентификациялау мәселесі туады, яғни авторды анықтау мен желі арқылы алынған құжаттың өзгеріске ұшырамағандығын тексеруге тура келеді.
Электрондық құжаттарды аутентификациялаудың мақсаты - желідегі мүмкін болатын рұқсатсыз іс әрекеттерден құжаттарды бүтіндігін сақтау, оларға келесілер жатады:
• активті қолға түсіру – желіге қосылу арқылы бұзақы құжаттарды қолға түсіріп оларға өзгертуге тырысады;
• маскарад - С абоненті В абонентіне А абонентінің атынан хабарлама (құжат) жібереді;
• ренегаттық - А абоненті В абонентіне жіберген хабарламасынан бас тартады;
• орнын алмастыру - В абоненті жаңа құжат құрып немесе бар құжатты өзгертіп оны А абонентінен алдым деп жариялайды;
• қайталау - С абоненті А абонентінің В абонентіне бұрын жіберген құжатын қайта қайтара жібереді.
Желідегі осындай бұзақылық іс әрекеттер банктік және коммерциялық құрылымдардың жұмысына орасан зор нұқсан келтіріп, өз қызметтерінде жаңа компьютерлік ақпараттық технологияларды пайдалантын мемлекеттік, өнеркәсіптік ұйымдар мен жеке тұлғаларға да зиян шектіреді.
Kerberos үрдісі -бұл қауіпсіз идентификация үшін қорғалмаған желілер арқылы мәліметтерді жіберуге мүмкіндік беретін аутентификацияның желілік протоколы болып табылады. Ол бірінші кезекте клиент-желі моделіне бағытталған және өзара қайтарымды аутентификацияны қамтамасыз етеді. Kerberos (1 ден 3 ке дейінгі) нұсқалары тек тестілеу мақсатында қолданылған болатын. Ол тек жаңа туындыларға, жаңа идеялардың бастау алуына негіз болған. Kerberos 4 нұсқасы алғаш рет 1989 жылдың 24 қаңтар айында жарияланды. Ол MIT сыртына шыққан алғашқы үлгі болып табылады. Kerberos 4 нұсқасы Нидхем-Шредер протоколы негізінде жасалған, бірақ екі өзгеруі бар болатын: Протоколдағы бірінші өзгерту клиент пен сервер аутентификациясы арасындағы жіберілетін хабарламаларды қысқартуға өзгертілген. Екінші өзгеріс иTGT (Ticket Granting Ticket — билет для получения билета) концепциясының енгізілуі болып табылады.
Казахстан Республикасындағы ақпараттарды заң жүзінде қорғаудың қабылданған мүмкіндіктері. Цифрлік қолтаңба туралы заң.
ДЭЕМ ақпараттарды қорғау әдістері. Деректерді компрессиялау(сығу). Шифрлеу. Файлдарды қорғау кодтарын орнату. әртүрлі жүйелерінің мысалдары.
Дербес электронды есептеу машинасын (ДЭЕМ) қорғау – аппаратураға физикалық қол жеткізуді шектеуге және парольдер пайдалануға негізделген. ДЭЕМ-ді шағын бөлмеге орналастырып оның сақталу, қорғалуына мүмкіндік береді. Жекелей сатылатын бағдарламалық қамтамасыздандыруды поштамен салып, қорғау құралдарын меңгеретіндігін ұзақ мерзімде сынауға болады.
Қорғау құралдары төмендегі категорияларға ажыратылады:
· өзіндік қорғау;
· ЕЖ құрамында қорғау;
· сұрау салу арқылы ақпаратты қорғау;
· активті қорғау;
· пассивті қорғау.
Дата добавления: 2015-10-24; просмотров: 1177 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Пернетақтадағы жазу үлгісімен идентификациялау. Қолданушыны тышқан ізімен идентификациялау. Компьютерлік графология. | | | RSA криптожүйесінің қауіпсіздігі мен тездігі |