Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг
 Скачать 4.21 Mb.
|
|
ЎЗБЕКИСТОН РЕСПУБЛИКАСИ АХБОРОТ ТЕХНОЛОГИЯЛАРИ ВА КОММУНИКАЦИЯЛАРИНИ РИВОЖЛАНТИРИШ ВАЗИРЛИГИ «UNICON.UZ» ДУК – ФАН - ТЕХНИКА ВА МАРКЕТИНГ ТАДҚИҚОТЛАРИ МАРКАЗИ АХБОРОТ ТЕХНОЛОГИЯЛАРИ ВА КОММУНИКАЦИЯЛАРИ СОҲАСИДА АХБОРОТ ХАВФСИЗЛИГИ МУАММОЛАРИ Республика илмий-техник конференцияси ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СФЕРЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ Республиканская научно-техническая конференция Республика илмий-техник конференция материаллари тўплами ТОШКЕНТ 2019 2 “Ахборот технологиялари ва коммуникациялари соҳасида ахборот хавфсизлиги муаммолари” мавзусидаги Республика илмий-техник конференцияси материаллари. «UNICON.UZ» ДУК – Фан-техника ва маркетинг тадқиқотлари маркази. Тошкент, 2019 йил 26 ноябрь, 233 бет. Мазкур конференция материаллари тўпламига Ўзбекистон Республикаси Олий таълим вазирлиги тасарруфидаги Олий таълим муассасалари ҳамда катта илмий ходим изланувчилари, стажёр-тадқиқотчи изланувчилари, мустақил тадқиқотчилари ва магистрлар тамонидан тайёрланган мақолалар киритилган. Ушбу тўпламдан ахборот хавфсизлигига оид жараёнлар, ахборот- телекоммуникация тизимлари ҳимоясига тегишли дастурлар, уларнинг математик, ахборот ва дастурий таъминоти, ахборот-коммуникация тизимларини ва технологиялари техник ва дастурий воситаларини лойиҳалаш ва ахборот хавфсизлигини таъминлаш соҳасида тадқиқотчилар томонидан олиб борилан илмий изланишлар натижалари ўрин олган. Тўплам ахборот- коммуникация тизимлари ҳимоясига тегишли дастурлаш, алгоритмлаш ва дастурлашнинг долзарб муаммолари йўналишида тадқиқотлар олиб бораётган мутахассислар, илмий ходимлар, олий ўқув юртлари профессор- ўқитувчилари, магистрлари ҳамда талабалари учун мўлжалланган. Тўпламдаги мақолаларнинг илмий савияси учун муаллифлар масъул 3 RUHSATLARNI NAZORATLASH USULLARINING TAHLILI Irgasheva D.Ya.ТATU fakultet dekani, Sodiqova D.J. ТАТU talabasi Ushbu maqolada ruhsatlarni nazoratlash usullari va ularning qiyosiy tahlili ko’rib chiqilgan. Axborot kommunikatsiya tizimlaridan foydalanish, holati va ishlashi korxona va tashkilotlar faoliyatiga jiddiy ta’sir etishi mumkin bo’lgan, ma’lumotlar bazasi yoki ma’lumotlar bazasi majmui ko’rinishidagi umumiy axborot rеsurslarining paydo bo’lishiga sabab bo’ldi. Natijada, korxona va tashkilotlar faoliyatining axborot ta’minoti amaliyotiga avtomatlashtirilgan axborot tizimini tatbiq etish jarayonida, maxsus “ma’lumotlar bazasini himoyalash” atamasini olgan, holatlarni alohida o’ziga xos nazoratlash kеrak bo’ladi. Ma’lumotlarni himoyalash jarayonida yechiladigan masalalarning vazifalari va mazmuniga qarashlar avtomatlashtirilgan axborot tizimlari sanoatining tashkil topishi bilan birgalikda shakllandi, ularni amalga oshirishdagi dasturiy-tеxnik jihatlarning o’zgarishi va murakkablashishi natijasida o’zgardi, ammo vaqt o’tgan sari, asta-sеkin ularning qandaydir bazaviy ro’yxati shakllandi va ma’lumotlar bazasini himoyalash atomatlashtirilgan axborot tizimi nazariyasi va amaliyotida ajralmas muhim komponеnt bo’lib qoldi. Avtomatlashgan axborot kommunikatsiya tizimlarida ma’lumotlar xavfsizligini ta’minlashda xavfsizlik modellarining o’rni beqiyosdir. Ma’lumotlar xavfsizligi va maxfiyligini ta’minlashning yechimlaridan biri ruxsatlarni nazoratlash mexanizmlaridan foydalanishdir. Ruxsatlarni nazoratlash – ma’lumotlar xavfsizligi va maxfiyligini ta’minlash maqsadida qaysidir foydalanuvchilarga ruxsat berish yoki taqiqlash orqali ruxsat berilmagan va yomon niyatli foydalanuvchilardan himoyani ta’minlash mexanizmidir [10]. MB foydalanuvchilar tomonidan boshqa foydalanuvchilarga ulashilishi mumkin bo’lgan katta miqdordagi muhim ma’lumotlarini saqlaydi. Shunday qilib, ushbu muhim ma’lumotlarni zararli foydalanuvchilardan himoya qilish uchun ruxsatlarni nazoratlash mexanizmi qo’llaniladi. Bu yerda har bir foydalanuvchi va har bir resursga ma’lumotlarga kirish huquqi beriladi yoki rad etiladi. Ushbu usullar identifikatsiyaga asoslangan ruxsatlarni nazoratlash usullari deb ataladi. Ruxsatlarni nazoratlashning ko’plab usullari mavjud bo’lib, asosiylari sifatida ruxsatlarni nazoratlash ro’yxati (ACL – Access Control List), diskretsion ruxsatlarni nazoratlash (DAT – Discretionary Access Control), mandatli ruxsatlarni nazoratlash (MAC – Mandatory Access Control), rollarga asoslangan ruxsatlarni nazoratlash (RBAC – Role-based Access Control) kabilarni misol qilib keltirish mumkin. 4 Ruxsatlarni nazoratlash ro’yxati (ACL). Ushbu usulda ro’yxatdan o’tgan foydalanuvchilarning nomlari muayyan tizim ob’ektlariga kirish imtiyozlari bilan birga ro’yxatda saqlanadi. Ushbu tizim ob’ektlari fayl katalogi yoki alohida fayl bo’lishi mumkin. Kirish imtiyozlari – faylni o’qish, yozish va ijro etish qobiliyatidir. Ruxsatlarni nazoratlash ro’yxati odatda tizimi ma’muri yoki ob’ekt egasi tomonidan yaratiladi. Shunday qilib, foydalanuvchining ma’lumotdan yoki MBBT resurslaridan foydalanishni istagan vaqtida, foydalanuvchi ro’yxatga olingan yoki yo’qligini tekshirish uchun ro’yxat tekshiriladi. Ro’yxatda bo’lsa, foydalanuvchi ma’lumot yoki resursga kirish uchun ruxsat beriladi. Kamchiligi: faqat cheklangan miqdordagi foydalanuvchilarga ega bo’lgan statik muhitda foydalanish mumkin. Cloud muhiti keng tarqalgan tizim bo’lib, ruxsatlarni nazoratlash uchun ruxsatlarni nazoratlash ro’yxatidan foydalana olmaydi, chunki Cloudda katta miqdordagi dinamik foydalanuvchilar mavjud. Mandatli ruxsatlarni nazoratlash (MAC). Bu kimlar tizimga kirish huquqiga ega ekanligi to’g’risidagi tizim siyosatidir. Ushbu mexanizm ruxsatlarni nazoratlash uchun tizimga tayanadi va shuning uchun shaxsiy foydalanuvchilar kirish ruxsatlarini o’zgartira olmaydi. Kamchiligi: MAC moslashuvchan emas, buning natijasida foydalanuvchilar asosiy kirish ruxsatlarini o’zgartira olmaganliklari uchun, umidsizlik paydo bo’ladi. Bundan tashqari, amalga oshirish qiyin va qimmat. Diskretsion ruxsatlarni nazoratlash (DAC). Mazkur usul tizim resurslarini boshqaruvchi foydalanuvchilar konsepsiyasiga asoslanadi. Bunda tizimdagi obyektlardan foydalanishni nazorat qilish ob’ekt (misol uchun fayl yoki resurslar)ga egalik huquqi bo’lgan ob’ekt egasiga beriladi. Bunda ob’ekt egasi qaysi foydalanuvchilarga resurslarga kirish huquqi berilgani va qaysi foydalanuvchilarga resurslarga kirish taqiqlanganini ko’rishi va o’zgartirishi mumkin. Kamchiligi: foydalanuvchilarga ob’ektga kirishni boshqarish uchun ruxsat berilganligi sababli, ushbu mexanizm troyan otlariga ta’sirlanuvchan bo’lib qoladi. Shuningdek, tizimda xavfsizlik tamoyillarini tekshirish DAC tizimlari uchun juda qiyin. Rollarga asoslangan ruxsatlarni nazoratlash (RBAC). Ushbu usulda xavsizlik siyosati alohida foydalanuvchilarga emas, balki rollarga kirish huquqlarini berish orqali ta’minlanadi. Bu yerda tizim barcha foydalanuvchilar uchun rollarni belgilab beradi va har bir rolga kirish imtiyozlari majmui beriladi. Rollar foydalanuvchi uchun eng kam imtiyozlar konsepsiyasiga asosan tayinlanadi, ya’ni vazifani bajarish uchun eng kam miqdorda ruxsat beriladi. Foydalanuvchilar Cloudga kirish uchun uning identifikatori tomonidan tasdiqlanishi 5 kerak va unga berilgan vazifaga tayinlangan imtiyozlar asosida ma’lumotlar yoki resurslarga kirishga ruxsat beriladi. Natijada, umumiy tizimni nazorat qilish osonlashadi. Ushbu usul xavfsizlik siyosatini tekshirishda juda samarali hisoblanadi. Kamchiligi: Ushbu usul cheklangan miqdordagi foydalanuvchilar va rollarga ega bo’lgan tizim uchun va shuningdek, foydalanuvchilarning rollari kamdan-kam hollarda o’zgarganligi uchun javob beradi. Biroq, bu usul ma’muriy domendan kengaytirilganda muammolar paydo bo’ladi, chunki roldagi imtiyozlarni tanlash qiyin. Atributlarga asoslangan kirish nazorati (ABAC). Ushbu usulda foydalanuvchilarga atributlar beriladi va ularga ma’lumotlarga yoki resurslarga kirish uchun zarur bo’lgan bir qator xususiyatlarga ega ruxsatlar beriladi. Foydalanuvchilar o’zlarining davo qilayotgan sifatlariga ega ekanligini isbotlay olishlari kerak. Buning uchun ruxsatlarni nazoratlash usuli foydalanuvchini autentifikatsiya qiladi. ABAC ni RBAC ning atributlarni markazlashtirish kabi xususiyatlar bilan kengaytirilgan varianti deyish mumkin. ABAC juda ko’p miqdordagi dinamik foydalanuvchilar, katta hajmdagi xotira, dinamik va moslashuvchan tarmoq tuzilmalaridan tashkil topgan Cloud muhitiga moslashtirilgan. 1-jadval. Ruhsatlarni nazoratlash usullarini tahlillash Usullar Mas’ul Kamchiligi Ruxsatlarni nazoratlash ro’yxati (ACL) Tizim ma’muri Cheklangan foydalanuvchilar soni, o’zgaruvchan emas, moslashuvchan emas Mandatli ruxsatlarni nazoratlash (MAC) Tizim Cheklangan foydalanuvchilar soni, moslashuvchan emas, amalga oshirish qiyin Diskretsion ruxsatlarni nazoratlash (DAC) Ma’lumot egasi Troyan otlariga sezgir, tizimni tekshirish qiyin Rollarga asoslangan ruxsatlarni nazoratlash (RBAC) Tizimdagi rollar Cheklangan miqdordagi foydalanuvchilar va rollar Atributlarga asoslangan ruxsatlarni nazoratlash (ABAC) Atribut Yangi bo’lgani uchun hali keng tarqalmagan Jadvalda ruxsatlarni nazoratlash usullari sanab o’tilgan va ularning har birida ruxsatlarni nazoratlash uchun kim mas’ul ekani ko’rsatilgan. Bundan tashqari, har bir usuldagi kamchiliklar sanab o’tilgan. 6 ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ КИБЕРБЕЗОПАСНОСТИ В УСЛОВИЯХ ЦИФРОВОЙ ТРАНСФОРМАЦИИ Исаев Р.И. профессор ТУИТ, Уткурхужаева Н.Э., магистрант ТУИТ В данной статье рассмотрены проблемы обеспечения кибербезопасности в условиях цифровой трансформации, приведены критерии обеспечения кибербезопасности и классификация технологий защиты. Международным Союзом Электросвязи (International Telecommunication Union, ITU) принята Глобальная программа кибербезопасности и все страны – члены ITU приняли обязательство по обеспечению кибербезопасности в соответствии с пятью основными составляющими, которые включены в Глобальный индекс кибербезопасности (ГИК): правовые нормы, технические меры; организационные меры, развитие потенциала, сотрудничество. Правовые нормы – законодательства государства в области кибербезопасности. Технические меры – наличие в государствах групп реагирования на компьютерные инциденты (CIRT, CSIRT или CERT). Организационные меры – наличие в государстве национальной стратегии (политики) кибербезопасности. Создание потенциала – осуществление разработок и проведение компаний (мероприятий) по повышению осведомленности населения в области кибербезопасности. Сотрудничество – осуществление двусторонних соглашений между государствами, направленные на сотрудничество в области кибербезопасности. Предложенные ITU пять основных составляющих, включенных в ГИК, оказывает помощь решению проблем обеспечения кибербезопасности в условиях быстро развивающееся цифровой трансформации. Изменения современного мира, вызванные бурным ростом телекоммуникационных и информационно-коммуникационных технологий и всеобщей цифровизацией, не могли не затронут цифровое общество в целом. Создание и повсеместное использование программируемых контроллеров, роботов, цифровых систем управления цифровыми объектами, интегрированных с корпоративными, национальными и международными сетями, привело к серьезным проблемам по обеспечению кибербезопасности. 7 Появились новые классы угроз, названных, в соответствии с требованиями времени, «киберугрозами» и ставится в соответствие новый класс систем обеспечения безопасности: систем кибербезопасности цифрового объекта – «четвертая промышленная революция», охватывающая мировое сообщество, приводит к появлению и переходу к цифровой экономике, вызванной бурными темпами технического развития, широтой применения телекоммуникационно-информационных технологий и системностью использования цифровых устройств и объектов. Термин «Индустрия 4.0», прозвучал впервые в 2011 году на Ганноверской ярмарке при обозначении процесса коренного преобразования глобальных цепочек создания стоимости. Основой этого процесса стали технологии «умного» производства, «умных» домов, «умных» городов, оборудования, бытовых устройств – цифровых объектов, подключенных к сети связи. В настоящее время гибкое взаимодействие различных физических систем посредством цифровых технологий меняет вид не только отдельных секторов экономики, но и экономики государства в целом [1]. Современный период называется «вторым машинным веком», подчеркивая разницу между традиционными подходами использования аппаратного и программного обеспечения. Несмотря на то что в отраслях экономики, его применение в последнее годы имеют следующие существенные отличия: - существенно возрастает масштаб проникновения цифровых технологий, как в различные отрасли и сферы секторов экономики, так и в отдельные новые направления экономики; - происходит синтез технологий, от расшифровки генома до нано технологий и систем возобновляемых энергоресурсов; - стремительно возрастает скорость изменений – в отличие от предыдущих индустриальных революций «Индустрия 4.0» развивается не линейно, а по экспоненте. Необходимо особо обратить внимание на то, что ценность общества «Индустрия 4.0» представляет собой не продукция, а информация и потенциал информационного воздействия, за счет повсеместного использования автоматизации и обмена данных, компьютеризированных рабочих мест, объектов, производственных систем, интернета вещей и облачных сервисов [2]. Объект защиты, понимаемый ранее как совокупность классифицированных данных, приобретает более сложное представление – как киберпространство, включающее не только данные, но и системы их передачи, обработки и хранения, системы управления, средства защиты, а 8 также их динамически изменяющиеся взаимосвязи, составляющие определенную ценность. Сегментами киберпространства являются суперкомпьютеры, корпоративные и домашние сети, мобильные системы, облачные сервисы, предоставляемые в глобальной сфере информационного пространства, представляющую собой взаимосвязанную совокупность инфраструктур и информационных технологий, включая Интернет, телекоммуникационные сети, компьютерные системы, встроенные процессоры и контроллеры [3]. Сегодня происходит активное развитие киберфизических систем и переход к этапу интеграции с бизнес процессами – цифровой экономикой. Киберфизический объект – это концептуальная парадигма представления производственных, технологических схем в виде конгломерата средств преобразования различных видов материи и энергии и информационно- телекоммуникационной среды, обеспечивающей как обмен информацией между компонентами, так и устойчивое функционирование всей системы в условиях внешних воздействий с помощью автоматизированного управления[4]. Кибербезопасность в условиях цифровой трансформации – это набор принципов и средств обеспечения безопасности информационных процессов, подходов к управлению безопасностью и прочих технологий, которые используются для активного противодействия реализации киберугроз. Проблемы обеспечения кибербезопасности могут быть систематизированы как анализ механизмов нарушения защиты киберпространства, моделирование разрушающих воздействий, управление кибербезопасностью, определение зоны устойчивости объекта защиты, анализ киберрисков, разработка стандартов и нормативов безопасности киберпространства, синтез средств защиты киберпространства и контроль текущего состояния и функционирования компонентов киберпространства. В соответствии с этим современная парадигма обеспечения кибербезопасности включает [4]: 1. Пересмотр моделей управления доступом, учитывающих открытость, гибкость и распределенность. 2. Принятие технологии виртуализации как мощнейшего средства защиты, которое позволяет перейти от понятия «защищенной системы» (от фиксированного множества угроз) к понятию «система с прогнозируемым поведением». 3. Реализация принципа разделения среды обработки информации и средств защиты. 9 4. Построение теоретических основ управления динамической защитой (адаптирующейся к текущим угрозам) как объекта автоматического регулирования с понятием зоны устойчивости, последействием (инерционностью) динамическими характеристиками. 5. Принятие открытости систем (связи по Интернет) как неотъемлемого свойства и построение защиты с учетом этого. 6. Разработка основ оценки эластичности (настраиваемой системы) и масштабируемости. 7. Учет возможности использования суперкомпьютеров для создания новых сценариев атак, систем сканирования, вмешательства в управление цифровым объектом, криптоанализа. Учитывая, что вошли в эпоху кибервойн, суперкомпьютер – возможность создания нового оружия. 8. Анализ существующих тенденций развития средств обеспечения безопасности позволяет сделать вывод о смене парадигм защиты, базирующихся на технологиях защиты, которые условно могут быть определены как статическая, активная, адаптивная и динамическая. Идея такой классификации технологий защиты заимствована из теории управления. Несмотря на различие целей, преследуемых в теории управления и методов защиты информации, можно увидеть сходство подходов, используемых для достижения этих целей и направленных на удержание системы в границах некоторого набора состояний. Множество критериев, на основе которых строиться классификации методов управления, включают следующие параметры: 1. Наличие обратной связи – в общем случае регуляторы с обратными связами могут использовать множество измеряемых величин и формировать управляющих воздействий на регулируемый объект. 2. Наличие контура адаптивного управления – подстраивается над контуром регулирования, назначение которого – подстраивать внутренние параметры регулятора так, чтобы достигался оптимум, характеризуемый определенным набором критериев – показателем качества. 3. Наличие в контуре обратной связи функций прогнозирования состояния системы – на основании показателей, характеризующих систему и её окружающую среду, строится множество условных сценариев, прогнозирующих развитие системы результат. Прогноза подается на вход регуляторов и влияет на формирование текущего управляющего воздействия. На основе перечисленных критериев можно безошибочно классифицировать существующие технологии защиты – для каждого из классов характерно наличие определенной совокупности перечисленных контуров. 10 В статической технологии защиты, функция управления не изменяется во времени и режим работы описывается функциями зависимости выходного состояния объекта защиты от постоянных управляющих воздействий и других дестабилизирующих факторов, обратная связь, адаптивное управление и прогнозирование состояния системы отсутствуют. В активной технологии защиты, функция управления дополняется введением обратной связи – результаты экспериментального тестирования объекта защиты используются для изменения настраиваемых параметров системы безопасности. Активная технология защиты, соответственно, требует наличия контура адаптивного управления – параметры систем безопасности периодически изменяются таким образом, чтобы показатели эффективности защиты (вычисляемые на основе характеристик объекта защиты в ходе мониторинга) стремились к максимуму. Динамическая технология защиты – динамическая компенсация нежелательных изменений состояния системы в реальном масштабе времени, путем взаимодействия как с объектом защиты, так и с его инфраструктурой. Фундаментальным отличительным признаком динамической защиты является то, что защищаемая система трактуется как нелинейный динамический объект с непрерывным временем, а сама система защиты становится дискретно – непрерывной. Поэтому полное множество методов динамической защиты, лежащей на основе парадигмы кибербезопасности, включает методы изучения и влияния на окружающую среду изучаемого объекта, направленные на прогнозирование состояния системы в зависимости от динамики изменения внутренних и внешних (по отношению к защищаемой системе) факторов. Таким образом, появляется понятие «система с прогнозируемым поведением» - для обеспечения кибербезопасности недостаточно описания только состояния безопасности системы, необходимо также предусмотреть систему мониторинга, сбора, анализа угроз, инцидентов, разработка модели и алгоритма прогнозирования поведения системы. Необходимо иметь возможность предсказать поведение системы в заданной (по неконтролируемой и не доверенной) окружающей среде, а в будущем – предсказать и динамику изменения внешних воздействий на защищаемую систему. Вышерассмотренное означает, что динамическая защита должна быть направлена на исследование не только защищаемой системы и механизмов реализации угроз, но и окружающей среды защищаемого объекта и перспективных средств нарушения безопасности. 11 Наиболее перспективным является интегральный подход решения проблем обеспечения кибербезопасности, основной задачей которого является сохранение работоспособности системы цифрового объекта в условиях различных целенаправленных воздействий. Эта концепция соответствует основному направлению развития системы защиты сегодня - предчувствие угрозы и адаптация системы обеспечения кибербезопасности цифрового объекта к будущему воздействию, т.е. реализация опережающей стратегии защиты. |