Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг
Скачать 4.21 Mb.
|
АХБОРОТНИ ҲИМОЯЛАШ ТИЗИМИНИ БОШҚАРИШ МАСАЛАСИ Бекмуратов Т.Ф. aкадемик ТУИТ, Ботиров Ф.Б. ассистент ТУИТ Аннатация. Ушбу мақолада ахборотни ҳимоялаш тизимини бошқариш масаласи келтирилган бўлиб, бу масалани ҳал қилиш мобайнида пайдо бўладиган мураккабликлар келтириб ўтилган. 152 Калит сўзлар: дастурий-элемент (ДЭ), ахборотни ҳимоялаш, ҳимоялаш тизими, ҳимоя функцияси. Кириш: Бугунги кунда ахборотни ҳимоялаш тизимини бошқариш долзарб масалага айланмоқда. Кўплаб нашрлар ва меъёрий ҳужжатларда ахборот ресурсларга зарар етказилиши рискларини даврий қайта баҳолаш лозимлиги кўрсатилади, бироқ қанча муддат оралиғида қанчалик тўлиқ ўтказилишига тўғрисида саволга жавоб йўқ. Бунда асосий эътибор таҳдидлар ва ностабиллаштиручи факторлар назоратига қаратилади. Ахборотни ҳимоялаш восиатлари ахборотни ҳимоялашнинг маълум даражасини таъминловчи ахборотни ҳимоялаш тизими таркибида ишлайди. Шу сабали ҳам ахборотни ҳимоялаш воситаларини бошқаруви бутун тизим доирасида амалга оширилиши, ҳамда бу ахборотни ҳимоялаш воситаси томонидан қўллаб-қувватланувчи ҳимоя функцияларини барчасини реализация қилиши лозим. Ўз навбатида ахборотни ҳимоялаш функциялари ташқи муҳит ва ахборот технологиялари ҳолатига боғлиқ ошиши ёки камайиши мумкин бўлган корхона хавфсизлик сиёсати талабларининг якуний тўпламидир. Ахборотни ҳимоялаш тизимини бошқариш масласи хар бир ташкилотда турлича бўлиши мумкин. Шуиниг учун ҳам бу масалани батафсил кўриб чиқамиз лозим. Ахборотни ҳимоялаш тизимини бошқариш масласи бу шундай масалаки ҳимоя воситаларини хавфсизлик тизими таркибидан киритиш/чиқариш тўғрисида боради. Ахборотни ҳимоялаш воситалари турли қатъийликдаги ахборотларнинг хавфсизилигини таъминлаш режимини қўллаб-қувватлайди. Буни натижасида ахборотни ҳимоялаш воситалари ишлаш жараёнлари орасида ўтиш имкони мавжуд бўлади. Шунинг учун хавфсизлик администратори ҳимоя даражаси кесишмаси чегараларини белгилашда жараёнлар орасида ўтиш имкониятини ҳисобга олиши лозим, яъни чегаравий риск бирлигини аниқлаштиришни олдиндан амалга ошириши мақсадга мувофиқ. Умумий ҳолда ташкилотнинг ахборот хавфсизлик сиёсатида ахборот химоя тизимини қўллаб-қувватлаши лозим бўлган ҳимоя функцияларининг минимал тўплами кўрастилиши лозим. Ҳимоянинг максимал даражаси ахборотни ҳимоялаш тизимининг тузилмавий имкониятлари билан аниқланади. Бунда мавжуд ахборотни ҳимоялаш тизими томонидан эришилиб бўлмайдиган режадаштирилган ҳимоя даражаси ҳолати бўлиши мумкин. Бундай ҳолда ахборотни қайта ишлашнинг режаларини қайта кўриб чиқиш ёки ҳимоя тизимини қўшимча функциялар билан кучайтириш лозим. Юқорида айтиб ўтилганидек, ташкилотда ахборот тизими динамик тузилмага эга, яъни ахборотни ҳимоялаш воситалари таркиби доимий 153 ўзгаради. Бироқ ҳимоя функцияси тизим даражасида узлуксиз бажарилиши лозим. Ҳимоя тизими даражасида ҳимоя функцияси (ахборотни ҳимоялаш воситалари таркиби) бажарилишини тўлиқ назорати учун бошқарув тизим тузилмасида координация даражаси киритилади. Координацияловчи элементлар вазифаларига: - ҳимоя функцияси ҳолатини кузатиш; - ҳужум фактларини қайд қилиш; - таниб олиш; - функцияларни синаш; - функция таркиб топувчиси ҳисобланган ахборотни ҳимоялаш тўпламлари тўлиқлиги верификацияси киради. Режалаштириш даражасида бошқариш буйруқлари келганда координация даражаси уларни таҳлиллайди ва бажарувчи механизмаларига йўналтиради. Бажарилиш даражасида ахборот сервисларини ва ахборотни ҳимоялаш воситаларини назоратловчи бажарувчи дастурий-элементи (ДЭ) жойлашади. Ҳар бир ДЭ ҳимоя воситалари ҳолатини, ҳимоя воситалари ва тизим фойдаланувчилари ўзаро алоқсини рўйҳатга олади. ДЭ ўрнатилган ҳимоя воситаларининг бошқарув интерфейсига эга бўлиб, ҳимоя воситалари ҳолатини ўзгартириш йўли билан бошқарув таъсирини амалга оширади. Ўзгариш ҳолати дейилганда оддий ҳолда ҳимоя воситасини ўчирилиши/ёқилиши тушунилади. Бой функционал имкониятларга эга воситалар учун керакли функцияоналликда ишлашга созлаш назарда тутилади. Алоҳида ҳимоя воситалари ҳам ностабилловчи факторларга қарши туриш бўйича кенг имкониятларга эга бўлганлиги сабабли, ДЭ хавфсизлик бўйича қарор қабул қилиш функцияси қисмини делегациялаш ҳамда ахборотни ҳимоялашни кучайтириб ёки сусайтириб, ҳимоя воситалари ҳолатини мустақил ўзгартириш имконини бериш назарда тутилади. Бунда ДЭ ахборот ҳимоялаш тизими тезкор-диспетчерлик бошқарувини амалга оширади. Яна ДЭ га ахборот тизими функцияларини бошқаруви бўйича ҳуқуқларни бир қисмини бериш назарда тутилади. Дастурий таъминотининг замонавий тизим архитектураси фойдаланувчилар ҳаракати ва жараёнлари назоратини операцион муҳит чегаралари сабаб имконсиз қилади. Яъни узел операцион тизими ташқарисида туриб, тармоқ узели хавфсизлигини назоратлашнинг иложи йўқ. Шунинг учун ахборотни ҳимоялашни бошқаруви тизими дастурий модулини ҳимояланаётган тизимнинг ҳар бир узелида жойлаштириш лозим, чунки, ахборот тизимининг ҳар бир узели ахборотни ҳимоялашни бошқариш тизими датчикларини чиқариш йўли билангина ташкилотда бутун ахборот тизими 154 ҳолати назоратини таъминлаш мумкин. Бунда тармоқ узелларида аудитнинг керакли минимал воситаларини жойлаштирганда қуйидаги мураккабликлар пайдо бўлади: 1. аудит журналларини даврий кўриб чиқиш лозим ва кўриш даври давомида ғаразли ҳаракатлар аниқланмасдан қолади; 2. журналларни кўриш тармоқ уланишлари орқали амалга оширилди, бунда тармоқ самарасиз юкланишни амалга оширади, бу эса географик тақсимланган тармоқда қиммат бўлган қўшимча коммуникацияларни ташкиллаштиришга олиб келади. ДЭ жойлаштириш орқали қуйдаги имкониятларга бўлиш мумкин: - содир бўлаётган ҳодисаларни таҳлиллаш; - мустақил тарзда ресурсларни ҳимоялаш бўйича мустақил қарорни қабул қилиш қобилиятига эга бўлиш, яъни алоҳида олинган узел ахборотини ҳимоялашни тезкор бошқарувини амалга ошириш қобилияти узел ҳисоблаш қувватига бўлган юкламани сезилмас оширилишига; - ҳимояланаётган ресурс таҳдидлари пайдо бўлганда реакция вақтини пасайишига; - ташкилот таркибидан узелни вақтинчалик чиқаришда ахборотни талаб этилган ҳимояланганлик даражасини сақлаш имконини берилишига олиниб келинади. Ахборотни ҳимоялаш тўғрисидаги қарорларни қабул қилиш алгоритмларини бошқариш тизими ДЭ функционаллигини керакли кенгайтириш зарурати ахборотни ҳимоялаш бўйича қарорни қабул қилиш узели билан доимий боғланишга кафолат йўқ бўлган ностабил тақсимланган ахборот тизими билан боғлиқ. Ахборотни ҳимоялаш бош бошқарув тизимидан узел узилган тақдирда (умумий ҳолда штатли вазият ҳисобланади) жойлаштирилган ДЭ деструктив ҳаракатларни ва ҳужумларни аниқлаб, ҳимояланган узелни мустақил қўллаб-қувватлай олади, таҳдидларга қарши чоралар бўйича қарор қабул қилиш ва уни амалга ошира олади. Тармоқнинг ҳар бир узелида ҳимоя учун барча потенциал аҳамиятли ҳодисаларни қайд қиладиган бошқарув тизими ДЭ жойлаштириш мақсадга мувофиқ. Бунинг учун ДЭ га узелда зарурий ҳуқуқлар бериш лозим. Ҳисоблаш техникаси кўп функционал ёки кўп фойдаланувчили воситалари бўлган ҳолда уларда бир нечта ДЭ жойлашиши мумкин. Ҳимоя воситалари бошқаруви тизимости тизими функцияларини бошқарув тизими бажариш механизмларига юклаш лозим, ДЭ ни ўша тармоқ узелида жойлашган барча ҳимоя воситаларини бошқариш интерфейси билан таъминлаш керак, бу қуйидагича имконият беради: 155 1. бошққарув тизими датчиклари сифатида ахборотни ҳимоялаш воситаларидан фойдаланиш; 2. ахборотни ҳимоялашни талаб этилган даражасини ўзгаришига мувофиқ ахборотни ҳимоялаш воситаларини қайта созлаш жараёнини автоматлаштириш. Бошқарув тизимининг асосий мақсади ахборотни ҳимоялашда харажатларни минималлаштиришда ташкилот ахборот ресурсларини ҳимоясини талаб этилган даражасини таъминлаш ҳисоблнади. Ахборотни ҳимоялаш тизимини бошқаришнинг асосий функциялари қуйидагилардан иборат: - ҳимоя объекти ҳолати тўғрисида маълумот йиғиш; - ахборотни қайта ишлаш режалари ва ҳолати тўғрисидаги маълумотлар асосида ҳимоя объектини талаб этилган ҳимояланганлик даражаси ва рискларини режалаштириш; - ахборотни ҳимоялаш тизими созланмасини танлови; - ахборотни ҳимоялаш тизими созланмасини амлаг ошириш; - ҳимоя объекти ҳолати жорий кўрсаткичлари ва мос режалари назорати. Хулоса. Хулоса қилиб айтганда, ташкилотда ахборотни ҳимоялашни бошқаришнинг интеллектуал автоматлаштирилган тизими бошқарув мақсадлари ва амалга ошириш усулларини танлови билан фарқланадиган сатҳларга ажратиш (декомпозиция) билан тизим бошқарувнинг кўп сатҳли тамойилига асосланган ҳолда қуришни назарда тутади. Бундан хулоса қилиш мумкин-ки, функция томонидан таъминланувчи ҳимояланганлик даражаси ночизиқ босқичли характерга эга. Ахборотни ҳимоялаш тизими бошқаруви объекти дискрет характерга эга ҳамда ҳимоя даражаси ахборотни ҳимоялашга юклатиладиган воситалар босқичли функциядир. ТРАФИКНИ ФИЛЬТРЛАШ ВОСИТАЛАРИ ТАДҚИҚИ Шамшиева Б.М., Чунаев Н.Э., Шукуров О.П. ТАТУ Аннотация. Ушбуишда фойдаланувчи трафиги хамда корпоратив тармоқда трафикни фильтрлаш воситалари таҳлили келтирилган. Калит сўзлар: тармоқ трафигини филтрлаш, корпоратив тармоқ, прокси- сервер, DansGuardian, Squid, Ideco ICS, DPI, CISCO, iptables, ClearOS. 156 Интернетнинг пайдо бўлиши билан одамлар ҳаёти ва жамиятда жуда кўп ижобий ўзгаришлар содир бўлди. Ушбу ўзгаришлар тижорат юритувчи фирмаларга ҳам ўз таъсирини кўрсатди. Замонавий компанияларнинг кўпгина ходимлари Интернетга уланишдан мақсадли фойдаланмайдилар. Кўпгина фойдаланувчилар сайтда видеоларни томоша қилиш, файлларни юклаб олиш ёки онлайн ўйинлар ўйнаш билан вақтларини йўқотадилар. Зарарли дастурлар ва фишинг ҳужумлари, маълумотларнинг фош бўлиши, паролларни ўғирлаш ва бошқа жосуслик ҳаракатлари асосида баъзи қўштирноқ ичидаги сайтлар, шунингдек ижтимоий тармоқлар, кўнгилочар порталлар ва ҳоказолар ётади. [1]. Энг муҳим муаммо бу интернет тармоғининг кенг қамровли ўтказиш қобилиятини пасайтириш ва тизим фаолиятини пасайтиришдир. Тармоқ трафигини фильтрлаш одатда OSI моделининг учта даражасида амалга оширилади [2]: - тармоқ сатҳи (IP); - транспорт сатҳи (TCP, UDP); -амалий сатҳ (FTP, TELNET, HTTP, SMTP ва бошқалар). Трафикни фильтрлаш – тармоқлараро экран (ёки брандмауэр) тизимининг асосий вазифаси бўлиб, тармоқ маъмурига фойдаланувчиларнинг ташқи тармоқдан корхона тармоғида жойлашган компьютер хизматларига ёки ҳимояланган тармоқ сегментига киришини тақсимлаш, шунингдек ички тармоқдан ташқи тармоқнинг тегишли манбаларига кириш ҳуқуқини беради [3]. Трафикни фильтрлаш бир неча усуллар орқали амалга оширилади: - Прокси-сервер; - Тармоқ бранмауэри; - DPI(Deep Packet Inspection) фильтрлаш. Қуйида ушбу технологияларнинг ҳар бири ҳақида батафсил тўхталиб ўтамиз. Прокси-сервер – бу олдиндан белгиланган қоидаларга мувофиқ Интернет сайтларига марказлаштирилган киришни белгилаш учун хизмат қиладиган кросс платформали дастурдир. Ушбу қоидалар орқали локал тармоқнинг турли фойдаланувчиларини сайтларга кириши учун турли хил рухсатлар бериш имкони мавжуд. Келинг, бепул Squid прокси-сервери ва пуллик Ideco ICS дастури ечимига эътибор қаратайлик. Squid 157 Squid Proxy Server – бу HTTP, FTP ва бошқа машҳур тармоқ протоколлари ва прокси-сервер хизматларини тақдим қилувчи тўлиқ хусусиятли кешлаш прокси-серверидир. Squid такрорий сўровларни, веб- қидирувларни кешлаш, DNS ва бошқа компьютер тармоқлари қидирувларини тармоқ ресурсларидан биргаликда фойдаланувчи шахслар учун ва фильтрлаш орқали трафик хавфсизлигини таъминлаши, веб-сервер ишини тезлаштириши ҳисобидан кенг қамровли фойдаланилади. Squid прокси-сервер SNMP протоколи орқали умумий фойдаланишни бошқариш механизми ва критик параметрларни назоратлашда минтақавий офисдан то корпорация даражасигача бўлган тармоқда амал қилади. Squid ташқи ҳаволаларни филтрлашда мослашувчан схемага эга. Бунинг ёрдамида, масалан, баъзи сайтлар ва манбаларга киришни чеклаб қўйиш, дилни хира қилувчи реклама (баннерлар), ахлоқий номақбул контент ҳаволаларидан ва бошқалардан халос бўлиш мумкин. DansGuardian (Squid созламаси) Squid URL-manzili va IP-манзил бўйича амалга оширувчи фильтрлаш жуда тезкор ва содда, аммо жуда чекланган хусусиятга эга. DansGuardian веб-саҳифаларни тўғридан-тўғри юкламайди, у Squid каби прокси-сервер устида ишлаш учун мўлжалланган. Шу билан бирга, прокси- сервер тезлигини оширишнинг барча рухсат этилган ўзига хос афзалликлари сақлаб қолинади. DansGuardian номақбул саҳифаларни бир неча усуллар билан аниқлаши мумкин. Анъанавий энг содда DG веб-фильтрлардан бири бу белгиланган URL ёки барча доменлардаги IP манзиллар бўйича қора рўйхатга киритишдир. DansGuardianнинг асосий хусусиятидан бири бу веб-саҳифа матни таркибидаги хоҳлаган сўз ёки ибораларни таниб олиш бўйича блокировка қилишидир. Шунингдек, фойдаланувчиларни гуруҳларга бўлиш имконияти, уларнинг ҳар бири бўйича ўз фильтрлаш параметрларига эга. Веб-фильтр сингари, DansGuardian ҳам файлларни юклашни блоклаши ёки чеклаши, шунингдек веб-шакллар орқали серверга файлларни юклаши мумкин. MIME турлари, файл кенгайтмалари ёки уларнинг ўлчамлари - буларнинг барчаси блоклаш мезонлари сифатида ишлатилиши мумкин. Iptables - бу Linux ички брандмауэри пакетларни қайта ишлайдиган қоидаларни ўзгартириш учун утилита. Linux-да брандмауэр netfilter деб номланган ядро модули саналади ва у тармоқ стеки билан ишлаш учун “hook” лар тўплами сифатида намоён бўлади. Трафикни филтрлаш бўйича барча ишлар тизим ядроси томонидан амалга оширилади. Iptables тизимда янги жараёнларни яратмайди. Iptables ни ёқиш ёки ўчириш – бу шунчаки ядрога 158 сигнал юборишдир. Фильтрлашни катта тезликда бўлишига фақат пакет сарлавҳаларини таҳлил қилиш орқали эришилади. iptables нинг асосий хусусиятлари қуйидагиларни ўз ичига олади: - маълум параметрлар бўйича пакетларни йўналтириш; - трафикни жўнатувчи ва қабул қилувчининг пакет манзиллари, порт рақамлари бўйича фильтрлаш; - тармоққа уланишни ташкил этиш (SNAT); - глобал тармоқдан маҳаллий тармоққа (DNAT) портни йўналтириш; - уланишлар сонини чеклаш; - трафик квоталарини белгилаш; - қоидаларни жадвал асосида бажариш. Ideco ICS Ideco ICS ҳал қиладиган асосий вазифа - маршрутлашдан тортиб, шифрлаш ва юкламаларни мувозанатлашгача бўлган трафикни бошқаришдир. Корпоратив ва глобал тармоқлар чегарасида ўрнатилган шлюз сизга ходимларнинг онлайн ресурсларга ва маълум таркибдаги веб-сайтларга киришини назорат қилиш ва керак бўлганда чеклаш имконини беради. Шунингдек фойдаланувчилар томонидан узатиладиган маълумотларнинг тезлиги ва ҳажмини чеклаш учун воситалар ҳам мавжуд. Чекловлар компаниянинг алоҳида ходимлари учун ўрнатилиши мумкин. Директор ва IT- менежер учун ҳисобот модули офис ходимларининг тармоқ ресурсларидан мақсадли фойдаланиш даражасини тезда бахолашга ёрдам беради. Ideco ICS LAN ни ташқи таҳдидлардан ва махфий маълумотларни фош бўлишидан ҳимоя қилади. Шлюзга ўрнатилган Data Leak Prevention (DLP) модули чиқувчи трафикни сканерлайди ва рақамли бармоқ изи технологиясидан фойдаланган ҳолда махфий маълумотларни e-mail ва веб протоколлар орқали узатишни блоклайди. ClearOS. ClearFoundation томонидан тақдим этилган шлюз ёки сервер вазифасини бажариши мумкин бўлган кичик тақсимланган тармоқларга йўналтирилган дистрибутив. Эндиликда бу дастурни бепул ва эркин олиш мумкин. ClearOS шлюз сифатида қуйидагиларни таъминлайди: - антивирус, антиспам, антифишинг, таркибни филтрлаш; - пакетли филтр ва протокол / илова филтр; - ўтказиш қобилиятини бошқариш; - киришни бошқариш билан веб-прокси. Тўпламининг ҳусусиятлари орасида мутлақо очиқ архитектура, техник хизмат кўрсатишнинг паст нархи, таркибий қисмларни қуриш қобилияти ва кенг кўламли қўллаб-қувватлаш имконияти ажралиб туради. 159 DPI тизими (Deep Packet Inspection) барча ўтувчи пакетларни чуқур таҳлилини амалга оширади. DPI (Deep Packet Inspection) у орқали ўтадиган барча пакетларни чуқур таҳлил қилишни таъминлайди. "Чуқур" атамаси стандарт тармоқ порт рақамларига кўра эмас, балки OSI моделининг юқори даражаларида пакетни таҳлил қилишни англатади. Бунга имкон берадиган стандарт намуналар учун пакетларни ўрганишга қўшимча равишда пакет маълум бир дастурга тегишли эканлигини, масалан, сарлавҳа форматлари, порт рақамлари ва ҳоказоларга тегишли эканлигини аниқ аниқлаш учун, DPI тизими, шунингдек, таниқли сарлавҳалар ва маълумотлар тузилмаларидан фойдаланмайдиган иловаларни маълумот алмашиш учун ишлатадиган трафик таҳлилини амалга оширади. Ҳулоса қилиб шуни келтириш мумкинки, хар бир фильтрлаш пакетлари ишлаш принциплари бўйича турли вазифаларни бажарсада ахборотларни ҳимоялашга мўлжалланган. Ихтиёрий қурилма ва ечимлар алоҳида-алоҳида тарзда тўлиқ функционал ва деярли самарали бўлмайди. Албатта, уларнинг бирини серверда созлаш мумкин, бироқ бунинг учун бироз вақт ва билим талаб этилади. Файдаланилган адабиётлар 1. Фильтрация трафика как первый шаг к безопасности сети: [сайт]. – URL: http://www.osp.ru/win2000/2009/08/10556459/ 2. Краткий обзор технологии DPI – Deep Packet Inspection: [сайт]. – URL: http://habrahabr.ru/post/111054 3. Многоуровневая фильтрация сетевого трафика: [сайт]. – URL: http://best- practice.su/sistemyobnaruzheniya-vtorzhenij/132-mnogourovnevaya-filtraciya- setevogo-trafika 4. Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы: учеб. для вузов. 4-е изд. – СПб.: Питер, 2010. – 113 с. ВОПРОСЫ МОДЕЛИРОВАНИЯ В ОБЕСПЕЧЕНИИ БЕЗОПАСНОТИ ОБЛАЧНЫХ ТЕХНОЛОГИИ |