Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг
Скачать 4.21 Mb.
|
ОСНОВНЫЕ СЕРВИСЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Ортикбоев А. ГУП «UNICON.UZ», Султанов Б. Мининфоком В данной статье приведеныосновные сервисы информационной безопасности и их особенности. Основными составляющими компонентами интегрированного набора средств защиты являются сервисы информационной безопасности (ИБ). Некоторые из них, как правило, проблемно-ориентированные или функционально ориентированные являются составными и включают в себя более мелкие, в том числе атомарные или неделимые сервисы. К числу базовых среди сервисов ИБ можно отнести сервисы, выполняющие следующие функции: – идентификация/аутентификация; – разграничение доступа; – протоколирование/аудит; – экранирование; – туннелирование; – шифрование; – контроль целостности; – контроль защищенности; – обнаружение и нейтрализация отказов, оперативное восстановление; – управление. Ниже изложены функциональные сервисы с точки зрения задач, связанных с развитием их математического, алгоритмического и программного обеспечения. Идентификациясубъекта доступа заключается в том, что субъект сообщает операционной системе (ОС) идентифицирующую информацию о себе как имя, учетный номер и т.д. и таким образом идентифицирует себя. В процессе идентификации каждому пользователю сопоставляется соответствующая ему разграничительная политика доступа к объекту защиты. При этом проверяется, относится ли регистрирующийся пользователь к пользователям, идентифицируемым системой. 46 Аутентификациясубъекта доступа заключается в том, что субъект предоставляет помимо идентификатора еще и информацию, подтверждающую, что он действительно является тем субъектом аутентификации вводит секретное слово - пароль. Правильность вводимого пароля подтверждает соответствие между регистрирующимся пользователем и идентифицированным в системе пользователем. Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, «проходная» информационного пространства организации. Идентификация позволяет субъекту назвать себя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова «аутентификация» иногда используют словосочетание «проверка подлинности». В открытой сетевой среде между сторонами идентификации /аутентификации не существует доверенного маршрута; это значит, что в общем случае данные, переданные субъектом, могут не совпадать с данными, полученными и использованными для проверки подлинности. Необходимо обеспечить защиту от пассивного и активного прослушивания сети, то есть от перехвата, изменения и/или воспроизведения данных. Передача паролей в открытом виде, очевидно, неудовлетворительна; не спасает положение и шифрование паролей, так как оно не защищает от воспроизведения. Нужны более сложные протоколы аутентификации. Надежная идентификация и аутентификация затруднена не только из-за сетевых угроз, но и по целому ряду причин. Во-первых, почти все аутентификационные сущности можно узнать, украсть или подделать. Во- вторых, имеется противоречие между надежностью аутентификации, с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию, а это не только хлопотно, но и повышает вероятность того, что кто-то может подсмотреть за вводом данных. В-третьих, чем надежнее средство защиты, тем оно дороже. Современные средства идентификации/аутентификации должны поддерживать концепцию единого входа в сеть. Единый вход в сеть – это, в первую очередь, требование удобства для пользователей. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация/аутентификация 47 становится слишком обременительной. Можно отметить, что сервис идентификации/аутентификации может стать объектом атак на доступность. Если система сконфигурирована так, что после определенного числа неудачных попыток устройство ввода идентификационной информации блокируется, то злоумышленник может остановить работу легального пользователя буквально несколькими нажатиями клавиш. Существуют следующие методы аутентификации: — аутентификация с помощью пароля; — аутентификация с помощью внешних носителей ключевой информации (т окен, аппаратный токен, USB-ключ, криптографический токен ); — аутентификация с помощью биометрических характеристик пользователей. Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в ОС и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Гораздо более сильным средством, устойчивым к пассивному прослушиванию сети, являются одноразовые пароли. Аутентификация на основе токенов в последние годы стала очень популярна из-за распространения одностраничных приложений и Интернета вещей. При аутентификации на основе токенов состояния не отслеживаются. Мы не будем хранить информацию о пользователе на сервере или в сессии. Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных. Обычно биометрию применяют вместе с другими аутентификаторами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом защиты и служит для активизации интеллектуальных карт, хранящих 48 криптографические секреты; в таком случае биометрический шаблон хранится на той же карте. Важным аспектом является обеспечение безопасности хранилищ биометрических данных, поскольку они относятся к специальной категории персональных данных и к их защите требуется подходить наиболее тщательно. В отличие от любого другого типа информации, в случае потери или кражи биометрической информации ее невозможно будет перевыпустить. Разграничение доступа— центральный оборонительный рубеж. Разграничение доступа является наиболее исследованной областью ИБ Главную проблему для этого рубежа составляет администрирование полномочий пользователей больших систем. С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты могут выполнять над объектами. С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты могут выполнять над объектами. Протоколирование/аудиттрадиционно являлись заключительным рубежом обороны, обеспечивающим анализ последствий нарушения ИБ и выявление злоумышленников. Такой аудит можно назвать пассивным В современный арсенал защитных средств несколько лет назад вошел активный аудит, направленный на выявление подозрительных действий в реальном масштабе времени. Активный аудит включает два вида действий: - выявление нетипичного поведения (пользователей, программ или аппаратуры); - выявление начала злоумышленной активности. Важным элементом современной трактовки протоколирования/аудита является протокол автоматизированного обмена информацией о нарушениях безопасности между корпоративными системами, подключенными к одной внешней сети. Экранированиекак сервис ИБ выполняет следующие функции: – разграничение межсетевого доступа путем фильтрации передаваемых данных; – преобразование передаваемых данных. Современные межсетевые экраны фильтруют данные на основе заранее заданной базы правил, что позволяет, по сравнению с традиционными ОС, реализовывать гораздо более гибкую политику безопасности. При комплексной фильтрации, охватывающей сетевой, транспортный и прикладной уровни, в правилах могут фигурировать сетевые адреса, 49 количество переданных данных, операции прикладного уровня, параметры окружения и т. п. Туннелирование, как и экранирование, следует рассматривать как самостоятельный сервис ИБ. Его суть состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт». Данный сервис может применяться для нескольких целей: – осуществление перехода между сетями с разными протоколами – обеспечение конфиденциальности и целостности всей передаваемой порции, включая служебные поля. Комбинация туннелирования и шифрования на выделенных шлюзах позволяет реализовать такое важное в современных условиях защитное средство, как виртуальные частные сети. Такие сети, наложенные обычно поверх Интернет, существенно дешевле и гораздо безопаснее, чем действительно собственные сети организации, построенные на выделенных каналах. Коммуникации на всем их протяжении физически защитить невозможно, поэтому лучше изначально исходить из предположения об уязвимости и соответственно обеспечивать защиту. Шифрование — важнейшее средство обеспечения конфиденциальности. У компьютерной криптографии две стороны — собственно криптографическая и интерфейсная, позволяющая сопрягаться с другими частями информационной системы. Важно, чтобы были обеспечены достаточное функциональное богатство интерфейсов и их стандартизация. Криптографией, в особенности шифрованием, должны, разумеется, заниматься профессионалы. От них требуется разработка защищенных инвариантных компонентов, которые можно было бы свободно встраивать в существующие и перспективные конфигурации. Контроль целостностиотносится к числу «благополучных» сервисов безопасности, несмотря на его криптографическую природу. Здесь и проблема производительности стоит не так остро, как в случае шифрования, и отечественные стандарты лучше согласуются с международными. В современных системах контроль целостности должен распространяться не только на отдельные порции данных, аппаратные или программные компоненты. Контроль защищенностипо сути представляет собой попытку «взлома» ИС, осуществляемого силами самой организации или уполномоченными лицами Идея данного сервиса в том, чтобы ранее злоумышленников обнаружить слабости в защите. В первую очередь, имеются в виду не архитектурные (их ликвидировать сложно), а «оперативные» бреши, появившиеся в результате ошибок администрирования или из-за невнимания 50 к обновлению версий программного обеспечения. Обнаружение и нейтрализация отказов, оперативное восстановлениеотносится к числу сервисов, обеспечивающих высокую доступность. Его работа опирается на элементы архитектурной безопасности, а именно на существование избыточности в аппаратно-программной конфигурации. В настоящее время спектр программных и аппаратных средств данного класса можно считать сформировавшимся. На программном уровне соответствующие функции берет на себя программное обеспечение промежуточного слоя. Среди аппаратно-программных продуктов стандартом стали кластерные конфигурации. Восстановление производится действительно оперативно, прозрачным для приложений образом. Обнаружение отказов и оперативное восстановление может играть по отношению к другим средствам безопасности роль инфраструктурного сервиса, обеспечивая высокую готовность последних. Это особенно важно для межсетевых экранов, средств поддержки виртуальных частных сетей, серверов аутентификации, нормальное функционирование которых критически важно для корпоративной информационной системы в целом. Такие комбинированные продукты получают все более широкое распространение. Управление можно отнести к числу инфраструктурных сервисов, обеспечивающих нормальную работу функционально полезных компонентов и средств безопасности. Сложность современных систем такова, что без правильно организованного управления они постепенно деградируют как в плане эффективности, так и в плане защищенности [41]. Особенно важной функцией управления является контроль согласованности конфигураций различных компонентов. Процесс администрирования идет постоянно; требуется, однако, чтобы при этом не нарушалась политика безопасности. Литература 1. Галатенко В.А. Основы информационной безопасности. – M.: Интернет-университет информационных технологий - www.INTUIT.ru, 2008.– 208 с. 2. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях / - М.: Радио и связь, 2001. - 376 с. 3. Арутюнов В.В. Основы информационной безопасности, Учебное пособие Москва – 2008 – 178 с. 51 МАМЛАКАТИМИЗНИНГ АХБОРОТ ХАВФСИЗЛИГИГА ДОИР МЕЪЁРИЙ-ҲУҚУҚИЙ БАЗАСИНИ ТАКОМИЛЛАШТИРИБ БОРИШ САБАБЛАРИ Исмоилов Д. И. ТАТУ "АХТ" кафедраси ассистенти, Турдахматов А. А. ТАТУ "ТИ" кафедраси ассистенти Мақолада бугунги кунда мамлакатимизнинг ахборот хавсизлигига доир меъёрий-ҳуқуқий базасини такомиллаштириб бориш сабаблари кўрсатиб ўтилган, хусусан компьютер-техник экспертизаси жараёнларини ташкил этишда мавжуд муаммолар келтирилган. Компьютер жиноятларига қарши давлат сиёсатининг асосий йўналишларини аниқлаш масаласи замонавий Ўзбекистон учун айниқса долзарбдир. Компьютер тизимларидан фойдаланишнинг нафақат афзалликларини, балки уларни кўллашнинг салбий оқибатларини бошдан кечирган бошқа мамлакатлар тажрибасини инобатга олган ҳолда, биз жамиятимизнинг нормал ҳаёти кўп жиҳатдан унинг ахборот муҳитининг хавфсизлиги билан боғлиқлигини аниқ англашимиз зарур. Ахборотга, шу жумладан жаҳон очиқ тармоқларига таъсирини аниқлаш ва зарарсизлантириш технологияларини яратиш, жамиятнинг янги таҳдид - компьютер жиноятларининг пайдо бўлишига табиий ҳимоявий реакцияси ҳисобланади, ва Ўзбекистон бундан мустасно эмас. БМТ маълумотларига кўра, бугунги кунда компьютер жиноятларининг етказган зарарини гиёҳвандлик ва қурол-яроғ савдоси билан таққослаш мумкин. Фақатгина Америка Қўшма Штатларида бундай жиноятлардан йиллик иқтисодий зарар 100 миллиард долларни ташкил этади, бундан ташқари кўплаб йўқотишлар аниқланмайди ёки хабар қилинмайди, чунки компьютер жиноятларини содир бўлганлиги холатлари кўпинча яширилади. Компьютер технологиялари ва халқаро телекоммуникация тармоқларининг жадал ривожланиши, замонавий халқаро молиявий ва банк фаолиятининг ажралмас қисми сифатида, мамлакатимизда ҳам, халқаро миқёсда ҳам, иқтисодий жиноятлар содир этилишини осонлаштирадиган шарт-шароитларни яратгани шубҳасиз. Кузатувларга кўра, мамлакатимизда компьютер маълумотлари соҳасидаги ҳуқуқбузарликлар ҳали кенг тарқалмаган. Бироқ, уларнинг кейинги ўсишини тахмин қилиш учун барча асослар мавжуд, хусусан қуйидаги омилларга асосланиб: 52 - ахборот бугунги кунда юқори даромад келтирадиган энг қиммат маҳсулотдир, шунинг учун у жиноий тажовузнинг предметига айланади; - экспертлар ва ҳуқуқни муҳофаза қилиш идоралари ушбу жиноятларга қарши курашда аста-секин тажрибага эга бўлмоқдалар ва юқори кечикиш билан ажралиб турадиган бундай жиноятларни аниқлаш усулларини ишлаб чиқмоқдалар. Шундай қилиб, компьютер жиноятчилиги, деструктив хатти- ҳаракатларнинг янги шакли сифатида жамиятимиз хавфсизлиги ва нормал фаолиятига таҳдид солиши аниқ. Аммо замонавий Ўзбекистонда компьютер жинояти муаммосининг ўзига хос хусусиятлари мавжудлигини ҳисобга олиш керак. Улар қуйидагилар билан тавсифланади: - ахборот хавфсизлиги соҳасида фуқаролар, давлат ва жамиятнинг қонуний манфаатларини ҳуқуқий ва ташкилий-техник қўллаб-қувватлашнинг соддалаштирилган тизимининг йўқлиги; - ахборот хавфсизлиги учун ҳуқуқий, ташкилий ва техник базани яратиш бўйича ишларнинг бюджет томонидан молиялаштиришнинг чекланган имкониятлари; - ҳуқуқни муҳофаза қилиш идоралари, судлар ва прокурорларнинг компьютер жиноятларига қарши курашиш бўйича ҳаракатларни мувофиқлаштириш сустлиги ва уларнинг ҳатти-ҳаракатларининг олдини олиш, аниқлаш ва тергов қилиш учун самарали тайёрланмаганлиги; - ахборотлаштириш воситаларидан фойдаланган ҳолда содир этилган ҳуқуқбузарликларни ягона ҳисобга олиш тизимининг такомиллашмаганлиги; - ички ахборотлаштириш воситалари ва технологияларининг жаҳон даражасидан жиддий даражада ортда қолиши. Таъкидлаш жоизки, компьютер ҳуқуқбузарлигини самарали аниқлаш, текшириш ва текшириш жараёни барча зарур ҳуқуқий, услубий ва техник воситаларни яратишни талаб қилади. Тегишли воситаларнинг етарли даражада ишлаб чиқилмаганлиги сабабли, ушбу вазифа компьютер маълумотлари соҳасидаги жиноятларга қарши кураш чораларини амалга оширишда биринчи даражага олиб чиқади. Ҳеч кимга сир эмаски, мутасадди идораларнинг ўзаро муносабатлари асосан компьютер жиноятчиги соҳасидаги вазият тўғрисида вақти-вақти билан ахборот алмашинувидагина акс этади. Энг асосийси - турли хил тизимларнинг ахборот хавфсизлигини таъминлаш соҳасидаги вазиятни доимий мониторинг қилишнинг ва компьютер жиноятларини аниқлаш ва уларга барҳам бериш тўғрисида ўз вақтида (проактив) қарор қабул қилишнинг яхлит тизими мавжуд эмас. Шубҳасиз, Ўзбекистон эксперт тузилмаларининг хорижий мамлакатларнинг компьютер жиноятларига қарши кураш билан 53 шуғулланувчи эксперт ва ҳуқуқни муҳофаза қилиш органлари билан самарали ўзаро алоқаси ўрнатилмаса, бундай тизимни яратиш мумкин эмас. Норматив-ҳуқуқий базани такомиллаштириш муаммоси ушбу йўналиш билан чамбарчас боғлиқ бўлиб, унинг ишлаб чиқилмаганлиги ҳали ҳам компьютер маълумотлари соҳасидаги жиноий ҳаракатларга етарли даражада қаршилик кўрсатмаяпти. Миллий ва халқаро даражадаги жиноий санкциялар ҳали иккита сабабга кўра компьютер жиноятларидан ишончли ҳимояни таъминламайди: компьютер жиноятларининг аниқ таснифи йўқлиги, ҳуқуқни муҳофаза қилиш органларининг ҳаракатларини чекловчи қонун моддаларини талқин қилиш ва қўллаш мураккаблиги. Шунингдек, компьютер маълумотлари соҳасидаги жиноий ишларни тергов қилишнинг амалий талаблари нуқтаи назаридан, ахборот хавфсизлигига қарши ҳаракатларга оид эксперт саволларини ҳал қилиш учун ваколатли шахс - экспертнинг махсус билимлари асосида чақирилган компьютер-техник экспертиза тушунчаси энг асосли ҳисобланади. Афсуски, бугунги кунга қадар ҳуқуқни муҳофаза қилиш идоралари, судлар ва прокурорларда замонавий технологиялар бўйича компьютер жиноятларини тезкор аниқлаш ва тергов қилиш қобилиятига эга мутахассислар этарли эмас. Шу сабабли, компьютер ҳуқуқбузарлигига қарши кураш бўйича мутахассисларни тайёрлаш, тайёрлаш ва қайта тайёрлашнинг яхлит тизимини яратиш асосий вазифалардан биридир. Ва ниҳоят, компьютер маълумотлари соҳасида жиноятчиликка қарши курашнинг республика тизимини яратиш учун ниҳоятда муҳим вазифа бу компьютер тармоқлари ва маълумотлар базаларини самарали ҳимоя қилишни таъминлайдиган дастурий таъминот, дастурий таъминот, дастурий таъминотни такомиллаштириш ва яратиш бўйича қатор илмий лойиҳаларни амалга оширишдан иборат. Юқорида айтиб ўтилганлардан келиб чиққан ҳолда, компьютер жиноятларини аниқлаш ва унга қарши курашиш бўйича давлат сиёсатининг асосий мақсади эксперт тузилмалари ва суд-ҳуқуқни муҳофаза қилиш органларининг ўзаро ҳамкорлиги ва саъй-ҳаракатларини ташкил этиш, уларга зарур моддий-техник базани тақдим этиш хисобланиши зарурдир. |