Главная страница
Навигация по странице:

  • Протокол ESP

  • ТЕХНОЛОГИЯ VPN Сейдуллаев Мадияр магистр ТУИТ

  • ТАШКИЛОТ ВА КОРХОНАЛАРДА АХБОРОТ ХАВФСИЗЛИГИНИ ТАЪМИНЛАШ ЧОРА ВА ТАДБИРЛАРИ Турдиматов М.М. ТАТУ доценти

  • Ахборотнинг тарқалиши.

  • Жорий этиш бўйича қўлланма

  • Техник заифликларни бошқариш.

  • МАСОФАВИЙ ТАЪЛИМ ТИЗИМИДА АХБОРОТ ХАВФСИЗЛИГИГА ТАҲДИДЛАР Файзиева Дилсора Салимовна ТАТУ

  • Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг


    Скачать 4.21 Mb.
    Названиезбекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг
    Дата02.03.2020
    Размер4.21 Mb.
    Формат файлаpdf
    Имя файлаКонференция 26.11.2019 сборник Unicon Инф без.pdf
    ТипДокументы
    #110488
    страница21 из 24
    1   ...   16   17   18   19   20   21   22   23   24
    Протокол AH
    В IP ver.4 аутентифицирующий заголовок располагается после IP- заголовка. Представим исходный IP-пакет как совокупность IP заголовка, заголовка протокола следующего уровня (как правило, это 105 TCP или UDP, на рис.2 он обозначен как ULP – от англ. «UpperLevel Protocol») и данных.
    Рис.2 а) исходный IP-пакет б) IP-пакет при использовании AH в транспортном режиме в) IP-пакет при использовании AH в туннельном режиме
    На рис.2 представлен исходный пакет и варианты его изменения при использовании протокола AH в разных режимах. В транспортном режиме заголовок исходного IP-пакета остается на своем месте, но в нем модифицируются некоторые поля. Например, меняется поле Next Header, указывающее на то, заголовок какого протокола следует за IP-заголовком. В туннельном режиме создается новый IP-заголовок, после которого идет заголовок AH, а за ним – полностью исходный IP-пакет. Аутентификация производится путем создания имитовставки (MAC) для чего используется

    200 хэш-функция и секретный ключ. Во всех реализациях AH обязательно должно поддерживаться использование алгоритмов HMAC-MD5-96 (используется по умолчанию) и HMAC-SHA-1-96, представляющих собой хэш-функции с ключом, основанные на хэш-функциях MD5 и SHA-1, соответственно. Но могут использоваться и другие, « факультативные» алгоритмы хэширования.
    Полученное значение, называемое в описании протокола ICV ( от англ.
    «Integrity Check Value» - значение контроля целостности), помещается в поле
    Authentication Data (рис.3). Это поле переменной длины, так как разные алгоритмы хэширования формируют разные по длине дайджесты.
    Рис.3 Структура заголовка протокола АН
    При использовании AH в транспортном режиме, ICV рассчитывается для ULP, данных и неизменяемых полей IP-заголовка. Изменяемые поля, такие как поле TTL, указывающее на время жизни пакета и изменяемое при прохождении маршрутизаторов, при расчете значения хэш-функции принимаются равными 0. В туннельном режиме аутентифицируется весь исходный IP-пакет и неизменяемые поля нового заголовка. Рассмотрим формат заголовка AH (рис. 3). Первые 8 бит заголовка (поле Next Header) содержат номер, соответствующий протоколу следующего уровня. Номер для каждого протокола назначает организация IANA (Internet Assigned Numbers
    Authority). Например, номер TCP – 6, ESP – 50, AH – 51 и т. д. Поле Payload
    Len указывает длину заголовка AH в 32-битных словах. Далее 16 бит зарезервировано. Поле SPI содержит значение индекса параметров защиты, по которому получатель сможет найти нужный контекст защиты (SA). Поле
    Sequence Number было введено в RFC 2402. Значение счетчика, содержащееся в этом поле, может использоваться для защиты от атак путем повторных посылок перехваченных пакетов. Если функция защиты от повторов активирована (а это указывается в SA), отправитель последовательно наращивает значение поля для каждого пакета, передаваемого в рамках данной ассоциации (соединения, использующего единый SA). Поле Authentication
    Data, как уже указывалось ранее, хранит

    201 значение ICV.
    Протокол ESP
    Если AH обеспечивает защиту от угроз целостности передаваемых данных, то ESP также может обеспечивать и конфиденциальность. Так же как и AH, ESP может работать в транспортном и туннельном режимах. На рис. 3.5 изображены варианты его использования (штриховкой выделены фрагменты пакета, которые защищаются с помощью шифрования). Для ESP определен следующий перечень обязательных алгоритмов, которые должны поддерживаться во всех реализациях:
    - для формирования имитовставки HMAC-MD5-96 (используется по умолчанию) и HMAC-SHA-1-96;
    - для шифрования – DES (в режиме CBC; используется по умолчанию) и
    NULL (отсутствие шифрования).
    Рис.4 а) исходный IP-пакет, б) ESP в транспортном режиме, в) ESP в туннельном режиме
    Кроме того, зарегистрированы и могут быть реализованы еще ряд алгоритмов шифрования – Triple DES, CAST-128, RC5, IDEA, Blowfish,
    ARCFour (общедоступная версия RC4). Рассмотрим формат заголовка ESP
    (рис.5). Он начинается с двух 32-разрядных значений – SPI и SN. Роль их такая же, как в протоколе AH – SPI идентифицирует контекст защиты, использующийся для создания данного туннеля; SN – позволяет защититься от повторов пакетов. SN и SPI не шифруются. Следующим идет поле, содержащее зашифрованные данные. После них - поле заполнителя, который нужен для того, чтобы выровнять длину шифруемых полей до значения кратного размеру блока алгоритма шифрования.

    202
    Рис.5 Структура заголовка ESP
    После заполнителя идут поля, содержащие значение длины заполнителя и указание на протокол более высокого уровня. Четыре перечисленных поля
    (данные, заполнитель, длина, следующий протокол) защищаются шифрованием. Если ESP используется и для аутентификации данных, то завершает пакет поле переменной длины, содержащее ICV. В отличие от AH, в ESP при расчете значения имитовставки, поля IP-заголовка (нового – для туннельного режима, модифицированного старого – для транспортного) не учитываются.
    Из выше рассмотренных можно увидеть, что при совместном использовании протоколов AH и ESP, после IP-заголовка идет AH, после него
    – ESP. В этом случае, ESP решает задачи обеспечения конфиденциальности,
    AH – обеспечения целостности и аутентификации источника соединения.
    ТЕХНОЛОГИЯ VPN
    Сейдуллаев Мадияр магистр ТУИТ
    В данном тезисе описана технология VPN, возможные схемы
    применения механизмов защиты, также основные действия при отправке и
    при приёме IP-пакета.
    Термином VPN (virtual private network – виртуальная частная сеть) обозначают участников защищённого соединения, где в качестве транспорта используется протокол IP и механизмы защиты применяются на сетевом уровне. Технология VPN заключается в применении криптографических ме- тодов для обеспечения конфиденциальности и целостности данных, пересы- лаемых по незащищённой сети, и характеризуется двумя основными призна- ками:

    203
    • средой передачи данных обычно служат сети общего пользования, такие, как Интернет или корпоративная сеть без дополнительных механизмов защиты;
    • криптографические механизмы накладываются на третьем
    (сетевом) уровне модели OSI или между третьим и вторым уровнем.
    Это создаёт у пользователя иллюзию изолированности от подавляю- щего большинства узлов сети общего пользования и создания «внутри неё»
    виртуальной сети из нескольких абонентов, которые владеют одинаковыми
    VPN-средствами с одинаковыми криптографическими ключами.
    В рассматриваемой технологии имеют место две возможные схемы применения механизмов защиты.
    1.
    Схема «сеть – сеть», когда протоколы безопасности применяются только к пакетам, выходящим из локальной сети, и прекращают своё дейст- вие при входе пакета в локальную сеть (обмен данными осуществляется ме- жду двумя хостами двух локальных сетей). В этом случае необходимо учи- тывать, что внутри локальных сетей пакеты не защищены.
    2.
    Схема «точка – сеть» – обычно используется при удалённой работе пользователя с сетью организации. При этом как типовой вариант предпола- гается, что удалённый компьютер по модемной линии через сеть общего пользования подключается к серверу удалённого доступа локальной сети. В этом случае предполагается, что трафик, идущий между сервером доступа и удалённым компьютером, может быть не защищён.
    Смысловое содержание VPN поясняется на схеме, приведенной на
    Здесь защита передаваемой по сети информации осуществляется на выходе из каждой ЛВС с помощью VPN-агента, причём никаких других свя- зей, минующих барьер в виде VIP-агента, категорически не допускается.
    Другими словами, должен быть определён защищаемый периметр, связь с которым может осуществляться только через соответствующее средство за- щиты.
    VPN-агенты могут быть реализованы на базе:
    сетевых операционных систем;
    • маршрутизаторов;
    • межсетевых экранов;
    • специализированного программного обеспечения.
    VPN-агенты при отправке любого IP-пакета производят следующие действия:
    1) из заголовка IP-пакета выделяется информация об его адресате, на основе которой выбираются алгоритмы защиты и криптографические ключи для данного пакета;

    204 2) формируется и добавляется в IP-пакет код проверки целостности или электронная цифровая подпись;
    3) производится зашифрование IP-пакета;
    4) зашифрованный IP-пакет инкапсулируется в пакет, адресатом кото- рого является VPN-агент получателя, производится отправка пакета.
    При приёме IP-пакета VPN-агенты выполняют следующие действия:
    1) из заголовка IP-пакета выделяется информация об отправителе, на основе которой выбираются алгоритмы защиты и криптографические ключи для расшифрования пакета и проверки его целостности;
    2) выделяется информационная (инкапсулированная) часть пакета и производится её расшифрование;
    3) осуществляется проверка целостности пакета на основе выбранного алгоритма;
    4) пакет отправляется адресату согласно информации, находящейся в его оригинальном заголовке.
    Таким образом, вся передаваемая информация защищена как от не- санкционированного просмотра, так и от модификации. Кроме того, инкап- суляция пакетов позволяет скрыть топологию внутренней сети и тем самым защититься от угрозы подмены пакетов.
    Технологии VPN могут включать в себя схемы защиты собственной разработки различных производителей, однако предпочтительным является использование стандартного протокола безопасности IP-Security Protocol
    (IPSec).
    ТАШКИЛОТ ВА КОРХОНАЛАРДА АХБОРОТ
    ХАВФСИЗЛИГИНИ ТАЪМИНЛАШ ЧОРА ВА ТАДБИРЛАРИ
    Турдиматов М.М. ТАТУ доценти
    Хозирги кунда компьютер тармоқлари ва тизимларида инцидентларга
    қарши жавоб қайтариш усуллари ва воситалари, уларни аниқлаш муҳим аҳамият касб этади. Шу мезонларни ҳисобга олган ҳолда ҳозирги ахборот асрида ташкилот ва корхоналарда ахборот хавфсизлигини таъминлаш чора ва тадбирлари долзарб хисобланади.
    Ахборот хавфсизлиги инцидентларини бошқариш тизими, ахборот хавфсизлиги инцидентларини қайта ишлаш ва аниқлаш, ахборот хавфсизлиги инцидентларига жавоб қайтаришни ҳаёт даври ва ахборот хавфсизлиги инцидентлари соҳасида ўқитиш ва хабардор этишни жоиз деб хисоблайман.
    Стандартлар асосида ташкилот ахборот хавфсизлиги бошқариш

    205 тизимини ишлаб чиқиш, жорий этиш, унинг ишлаши, мониторинги, таҳлили, унга хизмат кўрсатиш ва уни такомиллаштиришда жараёнли ёндашувнинг
    қўлланишига йўналтирилган бўлиши зарур.
    Ташкилот муваффақиятли ишлаши учун фаолиятнинг кўп сонли ўзаро боғлиқ турларини аниқлаши ва уларни бошқаришни амалга ошириши керак.
    Активлардан фойдаланувчи ва киришларни чиқишларга ўзгартириш мақсадида бошқариладиган фаолиятнинг барча турларига жараёнлар сифатида
    қараш мумкин. Кўпинча бир жараённинг чиқиши кейинги жараённинг бевосита киришини ҳосил қилади.
    Ташкилотда жараёнлар тизимини идентификация қилиш ва уларнинг
    ўзаро ҳаракати билан бир қаторда жараёнлар тизимидан фойдаланиш, шунингдек, жараёнларни бошқариш «жараёнли ёндашув» деб ҳисобланиши мумкин.
    Бундай ёндашув ахборот хавфсизлигида қўлланганда қуйидагиларнинг муҳимлигини таъкидлайди:
    - ташкилотнинг ахборот хавфсизлиги талабларини ва ахборот хавфсизлиги сиёсати ва мақсадларини белгилаш зарурлигини тушуниш;
    - ташкилот барча бизнес-таваккалчиликларнинг умумий контекстида ташкилот ахборот хавфсизлиги хатарларини бошқариш чораларини жорий этиш ва қўллаш;
    - бошқариш тизимининг унумдорлиги ва самарадорлигини доимий мониторинги ва таҳлили;
    - объектив
    ўлчашлар натижаларига асосланган узлуксиз такомиллаштириш.
    Амалдаги стандартларда[1,2] ҳар бир жараёнини ишлаб чиқишда
    қўлланиши мумкин бўлган «режалаштириш – амалга ошириш – текшириш -
    ҳаракат» [«Рlan-Do-Check-Act» (PDCA )] модели келтирилган.
    Бу сохага амалай ёндашиш мақсадида биз дастурлар пакети билан ишлаш усулларини кўриб чиқамиз. Дастурлар пакетларига ўзгартиришлар киритишни чеклаш ва модификация қилишдан чекланишимиз зарур. Амалий нуқтаи назардан бу қанчалик мумкин бўлса, ишлаб чиқувчи томонидан етказиб бериладиган дастурлар пакетларидан ўзгартириш киритмасдан фойдаланиш керак. Дастурлар пакетига ўзгартиришлар киритиш зарур бўлган жойларда қуйидагиларни ҳисобга олиш керак:
    -дастлаб ишлаб чиқувчиларнинг розилигини олиш зарур;
    -пакет ичига ўрнатилган бошқарув воситалари бутлигини таъминлаш жараёнларини компрометация қилиш;
    -талаб қилинадиган ўзгаришларни ишлаб чиқувчидан дастурнинг стандартга оид янгиланган кўринишида олиш имконияти;

    206
    -ташкилот киритилган ўзгаришлар натижасида дастурий таъминотга келгусида хизмат кўрсатиш учун жавобгар бўлса, дастурий таъминотни сақлаб туришнинг қўшимча чораларини ишлаб чиқиш зарур.
    Катта аҳамиятга эга бўлган ўзгаришлар бўлган ҳолларда асл дастурий таъминотни сақлаб қўйиш, ўзгаришларни эса, аниқ идентификация қилинган нусхасига киритиш керак. Барча ўзгаришларни шундай тестдан ўтказиш ва
    ҳужжатлаштириш керакки, зарур бўлганда дастурий таъминотни келгусида янгилаш учун ундан қайта фойдаланиш мумкин бўлсин. Агар талаб қилинса,
    ўзгаришлар мустақил баҳоловчи орган томонидан текширилиши ва тасдиқланиши керак.
    Ахборотнинг тарқалиши.
    Ахборотнинг тарқалиш имконияти пайдо бўлишининг олдини олиш керак. Ахборотнинг тарқалиш хавфини, масалан, яширин каналларни топиш ва улардан фойдаланиш йўли билан чеклаш учун қуйидагиларни кўриб чиқиш зарур:
    - чиқувчи ташувчилар ва коммуникацияларни яширин ахборот мавжудлигини билиш учун сканлаш;
    - тизимлар ва коммуникацияларнинг ишлашидан ҳар қандай мантиқий хулосалар қилиш имконини олдини олиш учун уларни билинтирмасликка уриниш ва модуляция қилиш;
    - бутлиги юқори ҳисобланадиган дастурий таъминот ва тизимлардан фойдаланиш, масалан, баҳолашдан ўтган маҳсулотдан фойдаланиш (O‘z DSt ISO/IEC 15408:2008);
    - ходимлар ва тизимларнинг мавжуд қонун ҳужжатлари ва нормаларга зид бўлмаган усуллар билан мунтазам кузатиб бориш;
    - компьютер тизимларида активлардан фойдаланишни кузатиб бориш;
    Яширин каналлар - бу ахборот оқимларини узатиш учун мўлжалланмаган, лекин шунга қарамай тизим ёки тармоқда мавжуд бўлиши мумкин бўлган йўллар. Масалан, телекоммуникациялар баённомасида пакетларида бошқарувчи битлардан сигналлар узатишнинг яширин методи сифатида фойдаланиш мумкин. Табиатан барча мумкин бўлган яширин каналларни олдиндан бартараф қилиш қийин, агар умуман мумкин бўлса.
    Шунга қарамай, бундай каналлардан кўпинча «троя отлари» дастурида фойдаланилади (10.4.1), шунинг учун троя кодидан муҳофаза қилишнинг
    қабул қилинган чоралари яширин каналлардан фойдаланиш хавфини камайтиради.
    Тармоқдан рухсатсиз фойдланишнинг (11.4), шунингдек, ахборот хизматлари ходимларига (15.1.5) рухсатсиз фойдаланишга халақит қиладиган

    207 сиёсат ва процедураларнинг олдини олиш яширин каналлардан муҳофаза
    қилишга ёрдам беради.
    Ташкилот дастурий таъминотнинг бегона ташкилот томонидан ишлаб чиқилишини назорат қилиши ва кузатиб бориши керак.
    Жорий этиш бўйича қўлланма.
    Дастурий таъминотни ишлаб чиқиш учун бегона ташкилот жалб
    қилинган ҳолларда, қуйидаги чораларни қўллаш керак:
    - лицензияланган контрактларнинг мавжудлигини ва дастурларга эгалик
    ҳуқуқлари ва интеллектуал эгалик ҳуқуқларига риоя қилинишини назорат
    қилиш(15.1.2);
    - бажарилган ишларнинг сифатини ва тўғрилигини сертификатлаштириш;
    - бегона ташкилот ўз мажбуриятларини бажариши мумкин бўлмаган
    ҳоллар учун дастлабки матнни депозитга қўйишни кўзда тутган контрактни тузиш;
    - бажарилган ишлар сифати ва аниқлигининг аудитини ўтказиш учун фойдаланиш ҳуқуқини таъминлаш;
    - дастурлар сифатига қўйиладиган талабларни шартнома шаклида
    ҳужжатлаштириш;
    - «Троя отлари»ни аниқлаш учун дастурни ўрнатишдан олдин тестдан
    ўтказиш.
    Техник заифликларни бошқариш.
    Мақсад: ҳаммага маълум техник заифликлардан фойдаланиш хавфини камайтириш. Техник заифликларни бошқариш стратегияси самарали, мунтазам ва доимо қўлланадиган бўлиши керак. Ушбу стратегиянинг самаралилигини тасдиқлаш учун миқдор ўлчовларини бажариш керак.
    Муаммолар доирасида операцион тизимлар ва ҳар қандай фойдаланиладиган бошқа иловаларни кўриб чиқиш керак.
    Адабиётлар
    1.
    Joe Fichera and Steven Bolt. «Network Intrusion Analysis:
    Methodologies, Tools, and Techniques for Incident Analysis and Response». 2012.
    2.
    Серия «Вопросы управления информационной безопасностью».
    Часть 2: Управление рисками информационной безопасности: Учебное пособие для вузов / Н.Г. Милославская, М.Ю. Сенаторов, А.И. Толстой. – М.:
    Горячая линия–Телеком, 2012.

    208
    МАСОФАВИЙ ТАЪЛИМ ТИЗИМИДА АХБОРОТ ХАВФСИЗЛИГИГА
    ТАҲДИДЛАР
    Файзиева Дилсора Салимовна ТАТУ
    Ушбу мақолада масофавмий таьлим тизимида ахборот хавфсизлигига
    таҳдидларнинг таҳлили амалга оширилган ва тахдидлар моделини тузишнинг
    тўртта асосий структуравий элементлари келтирилган.
    Ахборот хавфсизлиги соҳасидаги етакчи компанияларнинг ахборот хавфсизлигининг бузилиши ва инцидентлари бўйича ҳисоботларнинг таҳлилига кўра ахборот тизимларининг 82% ида тармоқ периметрларини енгиш ва ташқи тармоқ ресурсларидан рухсатсиз фойдаланиш имконияти мавжуд. Бу, айниқса, масофавий таълим тизими (МТТ) таълуқли бўлган тармоқдаги тақсимланган тизимларга характерлидир. Ҳақиқатдан, МТТ да архитектуранинг бир қисми Олий таълим юртининг асосий тармоғи периметрининг ташқарисида жойлашган.
    Ундан глобал тармоқ фойдаланувчилари кечаю кундуз фойдаланадилар, яъни у нияти бузуқнинг мақсадли ҳужумларига объект вазифасини ўташи мумкин.
    Маьлумки, қуйидаги ҳужумлар энг кўп тарқалган:

    фойдаланувчи браузерига ва веб-иловаларга йўналтирилган хужумлар (26%);

    веб-иловаларга ва серверларга хизмат кўрсатишдан воз кечишга ундаш ҳужумлари (25%);

    зарар келтирувчи дастурлар ёрдамида амалга оширувчи фойдаланувчиларни аутентификациялаш тизимига йўналтирилган ҳужумлар
    (18%).
    Хавфсизликка тахдидларни аниқлаш бўйича хужжат лойиҳасига мувофиқ ахборот хавфсизлигини аниқлаш жараёни барча ҳимоя объектларини ва тизимнинг мантиқий ва физик худудларидаги сегментларни қамраб олиши лозим. Шу сабабли, МТТ хавфсизлигига тахдидлар моделини тузишда тўртта асосий структуравий элементни ажратиш таклиф этилади (жалвал).

    209
    Жадвал. Тахдидлар моделини тузишдаги тўртта асосий структуравий элементлар
    МТТ элементи
    Тахдид
    Оқибатлар
    МТТ веб- интерфейси
    1)SQL ва
    PHP-инъекциялар:
    2)XSS-хужумлар;
    3)сайтлараро сўровларни сохталаштириш;
    4)браузерга хужум;
    5)кодни масофадан бажариш ва серверларга хизмат кўрсатмасликка ундаш;
    6)спамларни тарқатиш;
    7)фишинг.
    МТТ ахбороти ва веб-илова сервисларининг яхлитлигининг ва фойдаланувчанлигининг бузилиши; молиявий йўқотишлар; олий таълим юрти обрўсининг йўқотилиши;
    МТТ ва олий таълим ахборот тизими серверига кириш.
    МТТ сервери
    1)поролларни саралаш ва аутентификация тизимига хужумлар;
    2)фавқулот вазиятларни чақириш;
    3)имтиёзларнинг ортиши;
    4)маъмурлаш хатоликлари;
    5)портларни сканерлаш;
    6)DDOS ваDOS-хужумлар;
    7)сервернинг дастурий-аппарат воситаларининг янгиланиши ва бузилиши;
    8)мададловчи инфра-структуранинг бузилиши.
    Ахборот конфеденциаллигининг, яхлитлигининг ва фойдаланувчанлигининг бузилиши; олий таълим юрти ахборот тизимига кириши; бизнес –жараённинг узилиши; сервисларнинг фойдаланувчанлигининг бузилиши.
    МТТ маълумотлар базаси
    1)SQL-инъекциялар;
    2)фойдаланувчилар хатоси натижасидаги маълумотлар базасидаги маълумотларнинг йўқ қилиниши ёки модификацияланиши;
    3)шахсий маълумотларнинг
    ўғирланиши;
    4)маълумотлар базасидан транзакция журналларидан рухсатсиз фойдаланиш;
    5)маълумотларни атайин йўқ қилиш ва модификациялаш;
    6)техник воситаларнинг янгиланиши ва бузилиши натижасида маълумотлар базасининг йўқ қилиниши
    Мажбуриятлар ва амалга оширилган харакатлардан тониш;муаллифлик хуқуқининг бузилиши;ахборот яхлитлигининг ва конфеденциаллигининг бузилиши.
    Тўловлар ва курсларни
    1)тўлов маълумотларидан рухсатсиз фойдаланиш;
    2)фирибгарлик;
    Молиявий ва нуфузли йўқотишлар.

    210 харид қисм- тизими
    3)молия воситаларини ўғирлаш.
    Ахборот хавфсизлиги тахдидларига қаршилик кўрсатиш ва рискларни жоиз чегарада ушлаб туриш учун нафақат МТТ да, балки бутун олий таълим юртида ахборотни ҳимоялашнинг умумий стратегиясини амалга оширувчи ташкилий худудий, техник ва двстурий характерли механизмлар ва ахборотни
    ҳимоялаш воситаларидан фойдаланилади.
    МТТ ни ҳимоялаш стратегиясини амалга оширишда олий таълим юртининг масофавий таълим тизими ишлашининг қуйидаги ўзига хос хусусиятларини ҳисобга олиш керак:

    фойдаланувчилар МТТ дан хафтада 7кун, кунига 24соат фойдаланишлари лозим;

    МТТ сайтидан ташқи тармоқларнинг фойдаланиши доимо очиқ бўлганлиги сабабли, тармоқлараро экранлар ва SSLнинг ишлатилиши хар доим ҳам МТТни суқилиб киришдан ҳимоя қила олмайди;

    МТТ олий таълим юрти ахборот тизимида ишланувчи маълумотлардан (маълумотлар базаси, ERP-тизимлар, олий таълим юртининг инновацион ишланмалари ва илмий фаолияти хусусидаги ахборот, ўқув ведомостлари, шахсий маълумотлар) кўпинча тўғридан-тўғри фойдалана олади;

    тор йўналиши МТТ лар, Олий таълим юртининг хусусий ишланманлари, ҳужумларга кўпроқ мойил, чунки улар, тижорий МТТ лардан фарқли ҳолда, давомли тестлаш ва эксплуатацияга дучор бўлмайдилар;

    ҳимоянинг анъанвий тармоқ воситалари МТТ веб-иловаларига бўладиган махсус хужумларни қайтаришга мўлжалланмаган. Шу сабабли нияти бузуқ браузерлар ёрдамида олий таълим юрти ахборот тизими периметрини осонгина енгиб ўтади ва ички тизимлар ва серверлардан фойдалана олади;

    ишлаб чиқарувчилар томонидан МТТ заифликларини аниқлаш ва бартараф этиш кўпинча ижобий натижа бермайди. Улар юзлаб МТТ заифликларини аниқлаб, бартараф этишлари мумкин, аммо нияти бузуқнинг натижавий хужумни амалга ошириши учун битта аниқланган заифлик етарли.
    Демак, МТТ ҳимоясини таъминлаш МТТ ҳаёт циклининг турли босқичларида амалга оширилиши лозим. Чунки, ҳатто МТТ нинг дастурий кодида заифликлар бўлмаса ҳам, маълумотлар базасининг, веб-иловаларнинг,
    МТТ серверининг ва олий таълим юрти ахборот инфраструктурасининг бошқа элементларининг мавжудлигини ҳисобга олувчи комплекс ҳимоя зарур.

    211
    Ахборот тизимларида ахборотни ҳимоялаш бўйича давлат стандартлари ва ахборот хавфсизлиги соҳасидаги регуляторлар талабларига мувофиқ ҳимоя
    қуйидаги асосий йўналишлар бўйича қурилиши лозим:

    МТТ да ахборот хавфсизлигига таҳдидлар моделини тузиш;

    МТТ да код хавфсизлиги ва заифлик мавжудлиги устидан назорат, дастурий таъминотни ўз вақтида янгилаш;

    ахборотни ҳимоялашнинг махсус воситаларидан фойдаланиш;

    МТТ хавфсизлиги даражасини даврий назоратлаш ва зарурият туғилганида ахборот хавсизлиги соҳасида бошқариш ечимларини ишлаб чиқариш.
    Олий таълим юрти МТТ нинг ҳимоясидаги ушбу йўналишлар чораларнинг ягора комплекси доирасида амалга оширилиши лозим. Ушбу чораларнинг самарадорлигини баҳолаш учун МТТ нинг жорий
    ҳимояланганлигининг даврий мониторинги бажарилиши керак.
    1   ...   16   17   18   19   20   21   22   23   24


    написать администратору сайта