1 - Ma’ruza: Fanga kirish
Agar siz siringizni shamolga aytsangiz, uni daraxtlarga
aytgani uchun shamolni ayblamang.
— Kahlil Gibran
Xavfsizlik nima ?
• Dictionary.com saytida “Security” so‘zi:
1. Tahdid yoki xavfdan ozod; xavfsiz.
2. SHubhadan, xavotirdan yoki qo‘rquvdan holi; ishonish.
• Tizim to‘g‘riligi
– Agar kutilgan kirish amalga oshirilsa, tizim maqul natijani hosil
qiladi.
• Xavfsizlik
– Agar buzg‘unchi kutilmagan kirishni amalgi oshirsa, tizim ishida
buzilish bo‘lmaydi.
Tizim to‘g‘riligi
YAxshi kirish YAxshi chiqish
Xavfsizlik
YOmon kirish YOmon chiqish
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlik nima?
• Kiberxavfsizlik hozirda kirib kelgan yangi tushunchalardan
biri bo‘lib, unga turli berilgan turli ta’riflar mavjud.
• Xususan, CSEC2017 Joint Task Force (CSEC2017 JTF)
kiberxavfsizlikka quyidagicha ta’rif bergan:
kiberxavfsizlik – hisoblashga asoslangan bilim sohasi bo‘lib,
buzg‘unchilar mavjud bo‘lgan jaroitda amallarni kafolatlash
uchun o‘zida texnologiya, inson, axborot va jarayonni
mujassamlashtirgan.
• U xavfsiz kompyuter tizimlarini yaratish, amalga oshirish,
tahlil qilish va testlashni o‘z ichiga oladi.
• Kiberxavfsizlik ta’limning mujassamlashgan bilim sohasi
bo‘lib, qonuniy jixatlarni, siyosatni, inson omilini, etika
va risklarni boshqarishni o‘z ichiga oladi.
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlik nima?
• Tarmoq bo‘yicha faoliyat yuritayotgan Cisco tashkiloti esa
kiberxavfsizlikka quyidagicha ta’rif bergan:
Kiberxavfsizlik – tizimlarni, tarmoqlarni va
dasturlarni raqamli hujumlardan himoyalash amaliyoti.
• Ushbu kiberxujumlar odatda maxfiy axborotni boshqarish,
almashtirish yoki yo‘q qilishni; foydalanuvchilardan pul
undirishni; yoki normal ish faoliyatini uzub qo‘yishni
maqsad qiladi.
• Hozirgi kunda samarali kiberxavfsizlik choralarini
amalga oshirish insonlarga qaraganda qurilmalar sonining
ko‘pligi va buzg‘unchilar salohiyatini ortishi natijasida
amaliy tomondan murakkablashib bormoqda.
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlik
Kiberxavfsizlik asoslari (CSF1316)
Nima uchun kiberxavfsizlik kerak ?
• Kiberxavfsizlik bilim sohasining zaruriyati birinchi
meynfrem kompyuterlar ishlab chiqarilgandan boshlab
paydo bo‘la boshlagan.
• Bunda mazkur qurilmalarni va ular xizmat qilgan
missiyalarni himoyasi uchun ko‘p qatlamli xavfsizlik
amalga oshirilgan.
• Milliy xavfsizlikni ta’minlash zaruriyatini
ortishi natijasida kompleks va texnologik tomondan
murakkab bo‘lgan ishonchli xavfsizlik paydo bo‘ldi.
Kiberxavfsizlik asoslari (CSF1316)
Nima uchun kiberxavfsizlik kerak ?
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikni fundamental
terminlari
• Konfidensiallik
– Tizim ma’lumoti va axborotiga faqat vakolatga ega sub’ektlar
foydalanishi mumkinligini ta’minlovchi qoidalar.
– Mazkur qoidalar axborotni faqat qonuniy foydalanuvchilar
tomonidan “o‘qilishini” ta’minlaydi.
• YAxlitlik (butunlik)
– Ma’lumotni aniq va ishonchli ekanligiga ishonch hosil qilish.
– YA’ni, axborotni ruxsat etilmagan o‘zgartirishdan yoki “yozish” dan
himoyalash.
• Foydalanuvchanlik
– Ma’lumot, axborot va tizimdan foydalanishning mumkinligi.
– YA’ni, ruxsat etilmagan “bajarish” dan himoyalash.
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikni fundamental
terminlari
• Risk
– Potensial foyda yoki zarar.
• Hujumchi kabi fikrlash
– Bo‘lishi mumkin bo‘lgan xavfni oldini olish uchun qonuniy foydalanuvchini
hujumchi kabi fikrlash jarayoni.
– YAxshi insonlar “yomon inson” kabi o‘ylashi kerak !
– Militsiya xodimi…
• …kriminal haqida bilishi va tushinishi kerak
– Ushbu kursda
• Biz hujumchi foydalangan usullarini bilishni istaymiz
• Buzg‘unchi motivlari haqida o‘ylash kerak
• Tez – tez buzg‘unchi kabi bo‘lish
• Tizimli fikrlash
– Kafolatlangan amallarni ta’minlash uchun ijtimoiy va texnik cheklovlarni
o‘zaro ta’sirini hisobga oladigan fikrlash jarayoni.
– Masalan, virusga qarshi himoya uchun faqat antivirus dasturini
o‘rnatishning o‘zi etarli emas. Viruslar va ularni tarqalish usullari bo‘yicha
xodimlarga ma’lumotlar berish va semenarlar o‘tkazish talab etiladi.
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikni umumiy ko‘rinishi
• Alisa (A) va Bob (B) yaxshi odamlar
Tridi (T) yomon odam
• Tridi umumiy ko‘rinishdagi “buzg‘unchi”
• Qonuniy foydalanuvchi tizimini buzish (Butunlik, Foydalanuvchanlik)
• Faqat Alisaga tegishli bo‘lgan axborotni o‘qish (Maxfiylik)
Tizim
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikning bilim sohalari
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikning bilim sohalari
• “Ma’lumotlar xavfsizligi” bilim sohasi
ma’lumotlarni saqlashda, qayta ishlashda va
uzatishda himoyani ta’minlashni maqsad qiladi.
– Mazkur bilim sohasi himoyani to‘liq amalga oshirish uchun
matematik va analitik algoritmlardan foydalanishni talab
etadi.
– Ma’lumot saqlangan, yuzatilish va ishlov berish holatlarida
bo‘lishi mumkin.
• “Dasturiy ta’minotlar xavfsizligi” bilim sohasi
foydalanilayotgan tizim yoki axborot xavfsizligini
ta’minlovchi dasturiy ta’minotlarni ishlab chiqish va
foydalanish jarayoniga e’tibor qaratadi.
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikning bilim sohalari
• “Tashkil etuvchilar xavfsizligi” bilim sohasi katta
tizimlarda integrallashgan tashkil etuvchilarni
loyihalash, sotib olish, testlash, analiz qilish va
texnik xizmat ko‘rsatishga e’tibor qaratadi.
– Tizim xavfsizligi tashkil etuvchilar xavfsizligidan farq
qiladi.
– Tashkil etuvchilar xavfsizligi ular qanday loyihalanganligi,
yaratilganligi, sotib olinganligi, boshqa tarkibiy qismlarga
ulanganligi, qanday ishlatilganligi va saqlanganligiga bog‘liq.
• “Aloqa xavfsizligi” bilim sohasi tashkil etuvchilar
o‘rtasidagi aloqani himoyalashga etibor qaratib, o‘zida
fizik va mantiqiy ulanishni birlashtiradi.
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikning bilim sohalari
• “Tizim xavfsizligi” bilim sohasi tashkil etuvchilar,
ulanishlar va dasturiy ta’minotdan iborat bo‘lgan
tizim xavfsizligining aspektlariga e’tibor qaratadi.
– Tizim xavfsizligini tushunish uchun nafaqat, uning tarkibiy
qismlari va ulanishini tushunishni, balki butunlikni hisobga
olishni talab qiladi.
• “Inson xavfsizligi” bilim sohasi kiberxavfsizlik
bilan bog‘liq inson hatti harakatlarini o‘rganishdan
tashqari, tashkilotlar (masalan, xodim) va shaxsiy hayot
sharoitida shaxsiy ma’lumotlarni va shaxsiy hayotni
himoya qilishga e’tibor qaratadi.
Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikning bilim sohalari
• “Tashkilot xavfsizligi” bilim sohasi tashkilotni
kiberxavfsizlik tahdidlaridan himoyalash va tashkilot
vazifasini muvaffaqqiyatli bajarishini madadlash
uchun risklarni boshqarishga e’tibor qaratadi.
• “Jamoat xavfsizligi” bilim sohasi u yoki bu darajada
jamiyatda ta’sir ko‘rsatuvchi kiberxavfsizlik omillariga
e’tibor qaratadi.
– Kiberjinoyatchilik, qonunlar, axloqiy munosabatlar, siyosat,
shaxsiy hayot va ularning bir-biri bilan munosabatlari ushbu
bilim sohasidagi asosiy tushunchalar.
Kiberxavfsizlik asoslari (CSF1316)
Axborot xavfsizligi
Axborot
xavfsizligi
Konfidensiallik Butunlik Foydalanuvchanlik
Kiberxavfsizlik asoslari (CSF1316)
Risk
• Risk – potensial foyda yoki zarar bo‘lib, umumiy holda
har qanday vaziyatga biror bir hodisani yuzaga kelish
ehtimoli qo‘shilsa, unda risk paydo bo‘ladi.
• Kiberxavfsizlikda yoki axborot xavfsizligida risklar
salbiy ko‘rinishda qaraladi.
• Risk – bu noaniqlikning maqsadlarga ta’siri.
• Maqsad – u yoki bu faoliyat jarayonida nimaga erishishni
xoxlashimiz hisoblanadi.
• Noaniqlik – hozisaga, uning oqibatlari yoki uning
ehtimolini bilishga aloqador axborotni yoki bilimlarni
etishmasligi yoki qisman etishmasligi holati.
Kiberxavfsizlik asoslari (CSF1316)
Risk
• Ta’sir – kutilgan yoki xoxlagan hodisani salbiy yoki
ijobiy tomonga og‘ishi.
• Aktiv – tashkilot uchun qadrli bo‘lgan ixtiyoriy narsa
bo‘lib, axborot xavfsizligiga bog‘liq holda aktiv
sifatida tashkilotning muhim ahborotini keltirish
mumkin.
• Tahdid – tizim yoki tashkilotga zarar etkazishi mumkin
bo‘lgan istalmagan hodisa.
• Zaiflik – bu bir yoki bir nechta tahdidga sabab bo‘luvchi
tashkilot aktivi yoki boshqaruv tizimidagi kamchilik
hisoblanadi.
Kiberxavfsizlik asoslari (CSF1316)
Boshqarish vositasi
• Boshqarish vositasi (Control) – bu riskni
o‘zgartiradigan harakatlar bo‘lib, boshqarish natijasi
zaiflik yoki tahdidga ta’sir qiladi.
• Bundan tashqari, boshqarish vositasining o‘zi turli
tahdidlar uchun foydalanililishi mumkin bo‘lgan
zaiflikka ega bo‘lishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
“Tahdid-zaiflik-aktiv-boshqarish vositasi”
asosida risk modeli
Kiberxavfsizlik asoslari (CSF1316)
Aktiv
Boshqarish vositasi
Tahdid
Zaiflik
T-1
A-1
T-2
1 2
3
Ta’sir
BV-2
Ta’sir
4
T-3
risk 1
risk 2
risk 3
BV-1
Xavfsizlik muammolari
Zaiflik Tahdid Hujum
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter xavfsizligi muammosi
• Ko‘plab bag mavjud dasturlar (va ishonuvchan foydalanuvchlar)
• Sotsial injineriya (maxfiy ma’lumotlarni oshkor
qilishda xodimlardan foydalanish)
• Boshqa tizimlar orqali buzib kirish
• Fizik nazoratlash
Motivatsiyalar
• Harbiy
• Terrorizm
• Foyda (masalan, pul, imtiyoz va hak.)
Kiberxavfsizlik asoslari (CSF1316)
2018 yilning top yuqori 10 ta fakti
[us.norton.com]
1. FBI ning
qidiruvda
bo‘lganlar
ro‘yxati.
FBI tomonidan Kiber
xavfsizlik sohasiga
oid jinoyatchilar
ro‘yxatining boshida
shimoliy koreyalik
programmist Park
Jin Xyok egallagan.
Kiberxavfsizlik asoslari (CSF1316)
2018 yilning top yuqori 10 ta fakti
[us.norton.com]
2. Mobayl zararli dasturiy vositalar hajmining
ortishi.
• Symantec’s Internet Security Threat Report 2018
ma’lumotiga ko‘ra 2017 yilda yangi mobayl zararli
dasturiy vositalarning ko‘rinishi 57% ga ortgan.
Kiberxavfsizlik asoslari (CSF1316)
2018 yilning top yuqori 10 ta fakti
[us.norton.com]
3. Uchinchi tomon ishlab chiqargan zararli bo‘lgan mobayl
ilovalar.
• Symantec tomonidan uchinchi tomon ishlab chiqaruvchilari
hostidagi 99.9% ilovalarda zararli harakatlar
aniqlangan.
4. AQSHda 2023 yilga kelib ma’lumotlarning yarmi
buzulishi kuzatiladi.
• 2023 yilda kelib kiberjinoyachilik natijasida 33 mld.
xujjat o‘g‘irlanadi [Juniper Research].
Kiberxavfsizlik asoslari (CSF1316)
2018 yilning top yuqori 10 ta fakti
[us.norton.com]
5. Aniqlangan shaxsiy ma’lumotni o‘g‘irlash holati 60
mln Amerikalikka ta’sir qilgan.
• [Harris Poll] ma’lumotiga ko‘ra 60 mln Amerikalik shaxsiy
ma’lumotlarini o‘g‘irlatgan.
Kiberxavfsizlik asoslari (CSF1316)
2018 yilning top yuqori 10 ta fakti
[us.norton.com]
6. AQSH hukumati kiber xavfsizlik uchun 2019 yil uchun
15 mlrd $ ajratish nazarda tutilmoqda.
• Ushbu ko‘rsatkich o‘tgan yilga qaraganda 4% ga ortiq.
• SHulardan:
– 8.5 mlrd $. – “Department of Defense” uchun;
– 1.7 mlrd $. – “Homeland Security” uchun.
7. Kiber jinoyatchilikda pul ishlab topish (coin mining)
o‘sib boruvchi soha.
• Ushbu ko‘rsatkich 2017 yilga qaraganda 34 ming %ga oshgan.
• Xususan, Symantec tomonidan 2017 yilning dekabrida 8
mln. pul ishlab topish holatlari bloklangan.
Kiberxavfsizlik asoslari (CSF1316)
2018 yilning top yuqori 10 ta fakti
[us.norton.com]
8. AQSH kiber jinoyatchilikka uchragan eng katta davlat.
Kiberxavfsizlik asoslari (CSF1316)
2018 yilning top yuqori 10 ta fakti
[us.norton.com]
9. “Internet of Things, IoT” tizimlari zaifliklarni
ortishiga sabab bo‘lgan.
• Semantec tadqiqotlar natijasida 2015 yilda 50 ta
ishlab chiqilgan qurilmalarda ko‘plab zaifliklarni
aniqlagan. Ular smart eshik tizimlarida ko‘plab uchragan.
10. Ma’lumotlarni yo‘qolishining o‘rtacha qiymati
ortgan (2018 yil).
• Butun dunyodagi kompaniyalarda ma’lumot yo‘qolishining
umumiy hajmi $11.77 mln.
• AQSH kompaniyalarida ma’lumot yo‘qolishining umumiy
hajmi $7.91 mln.
• Ma’lumotni chiqib ketishini aniqlash uchun 196 kun
sarflangan.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
2 - Ma’ruza: Kriptografiyaning
asosiy tushunchalari va tarixi
Kriptografiya bu – zo‘ravonliksiz to‘g‘ridan-to‘g‘ri
harakatning yuqori ko‘rinishidir.
— Julian Assanj (WikiLeaks asoschisi)
Kriptografiyaning asosiy tushunchalari
• Kriptologiya - “maxfiy kodlar”ni yaratish va buzish fani
va sanati;
• Kriptografiya – “maxfiy kodlar”ni yaratish bilan
shug‘ullanadi;
• Kriptotahlil – “maxfiy kodlar”ni buzish bilan
shug‘ullanadi;
• Kripto – yuqoridagi tushunchalarga (hattoki bundanda
ortig‘iga) sinonim bo‘lib, kontekst ma’nosiga ko‘ra
farqlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiyaning asosiy tushunchalari
• SHifr yoki kriptotizim ma’lumotni shifrlash uchun
foydalaniladi. Haqiqiy shifrlanmagan ma’lumot ochiq
matn deb atalib, shifrlashning natijasi shifrmatn
deb ataladi. Haqiqiy ma’lumotni qayta tiklash uchun
shifrmatnni deshifrlash zarur bo‘ladi. Kalit
kriptotizimni shifrlash va deshifrlash uchun sozlashda
foydalaniladi.
Kiberxavfsizlik asoslari (CSF1316)
SHifrlash Deshifrlash
Kalit Kalit
Ochiq matn SHifr matn Ochiq matn
Kriptografiyaning asosiy tushunchalari
SHifrlash va deshifrlash masalalariga tegishli bo‘lgan, ma’lum
bir alfavitda tuzilgan ma’lumotlar matnlarni tashkil etadi.
Alfavit - axborotni ifodalash uchun foydalaniladigan chekli
sondagi belgilar to‘plami. Misollar sifatida:
• o‘ttiz oltita belgidan (harfdan) iborat o‘zbek tili alfaviti;
• o‘ttiz ikkita belgidan (harfdan) iborat rus tili alfaviti;
• yigirma sakkizta belgidan (harfdan) iborat lotin alfaviti;
• ikki yuzi ellik oltita belgidan iborat ASSII kompyuter
belgilarining alfaviti;
• binar alfavit, ya’ni 0 va 1 belgilardan iborat bo‘lgan alfavit;
• sakkizlik va o‘n oltilik sanoq sistemalari belgilaridan
iborat bo‘lgan alfavitlarni keltirish mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiyaning asosiy tushunchalari
• Simmetrik shifrlarda ma’lumotni shifrlash va
deshifrlash uchun bir xil kalitdan foydalaniladi.
• Bundan tashqari ochiq kalitli (assimetrik)
kriptotizimlar mavjud bo‘lib, unda shifrlash va
deshifrlash uchun turlicha kalitlardan foydalaniladi.
• Turli kalitlardan foydalanilgani bois, shifrlash
kalitini oshkor qilsa bo‘ladi va shuni uchun ochiq
kalitni kriptotizim deb ataladi.
• Ochiq kalitini kriptotizimlarda shifrlash kalitini
ochiq kaliti deb atalsa, deshifrlash kalitini shaxsiy
kalit deb ataladi.
• Simmetrik kalitli kriptotizimlarda esa kalit -
simmetrik kalit deb ataladi.
Kiberxavfsizlik asoslari (CSF1316)
Kerkxofs prinsipi
• Ideal shifrlar uchun kalitsiz shifrmatndan ochiq
matnni tiklashning imkoni bo‘lmasligi zarur.
– Bu shart, hattoki hujumchilar uchun ham o‘rinli.
• Hujumchi algoritm (shifrlash algoritmi) haqida barcha
ma’lumotlarni bilgan taqdirda ham kalitsiz ochiq
matnni tiklashning imkoni bo‘lmasligi zarur.
– Ushbu qo‘yilgan maqsad, amalda bundan farqdi bo‘lishi mumkin.
• Kriptografiyaning fundamental nazariyasiga ko‘ra
kriptotizimning ichki ishlash prinsipi hujumchiga
to‘liq oshkor bo‘lishi zarur.
• Hujumchiga faqat kriptotizimda foydalanilgan kalit
noma’lum bo‘lishi zarur.
• Bu ta’limot Kerkxofs prinsipi deb ataladi.
Kiberxavfsizlik asoslari (CSF1316)
Kodlash va shifrlash orasidagi farq
• Aksariyat hollarda foydalanuvchilar ma’lumotni
shifrlash va kodlash tushunchalarini bir xil deb
tushuniladi.
– Aslida esa ular ikki turlicha tushunchalardir.
• Kodlash – ma’lumotni osongina qaytarish uchun hammaga
(hattoki hujumchiga ham) ochiq bo‘lgan sxema yordamida
ma’lumotlarni boshqa formatga o‘zgartirishdir.
• Kodlash ma’lumotlardan foydalanish qulayligini
ta’minlash uchun amalga oshiriladi va hamma uchun ochiq
bo‘lgan sxemalardan foydalaniladi.
• Masalan, ASCII, UNICODE, URL Encoding, base64.
Kiberxavfsizlik asoslari (CSF1316)
ASCII kodlash standarti
Kiberxavfsizlik asoslari (CSF1316)
SHifrlash
• SHifrlash – jarayonida ham ma’lumot boshqa formatga
o‘zgartiriladi, biroq uni faqat maxsus shaxslar
(deshifrlash kalitiga ega bo‘lgan) qayta o‘zgartirishi
mumkin bo‘ladi.
• SHifrlashdan asosiy maqsad ma’lumotni
maxfiyligini ta’minlash bo‘lib, uni qayta o‘zgartirish
ba’zi shaxslar (deshifrlash kalitiga ega bo‘lmagan) uchun
cheklangan bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiya va steganografiya
• Stenanografiya – bu maxfiy xabarni soxta xabar ichiga
berkitish orqali aloqani yashirish hisoblanadi.
• Boshqa so‘z bilan aytganda steganografiyaning asosiy g‘oyasi – bu
maxfiy ma’lumotlarning mavjudligi haqidagi shubhani
oldini olish hisoblanadi.
• Kriptografiyada esa jo‘natuvchi faqat ochiq matn
ko‘rinishidagi xabar yuborishi mumkin, bunda u xabarni ochiq
tarmoq (masalan, Internet) orqali uzatishdan oldin
shifrlangan matnga o‘zgartiradi. Ushbu shifrlangan xabar qabul
qiluvchiga kelganida esa yana oddiy matn ko‘rinishiga
qaytariladi.
• Umumiy holda ma’lumotni shifrlashdan asosiy maqsad
(simmetrik yoki ochiq kalitli kriptografik tizimlar asosida
farqi yo‘q) – ma’lumotni maxfiyligini qolganlardan sir
tutishdir.
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiya va steganografiya
Kiberxavfsizlik asoslari (CSF1316)
Ochiq matn SHifrlangan matn
SHaxsiy kalit
Ochiq kalit
SHifrlash
algoritmi
Deshifrlash
algoritmi
Ochiq matn
YUboruvchi Qabul qiluvchi
Biriktirish
jarayoni
Ajratish
jarayoni
Stego-kalit Stego-kalit
Xabar tashib
yuruvchi rasm
Maxfiy
xabar
Maxfiy
xabar
Stego-tasvir
a) Kriptografik himoya
b) Steganografik himoya
Kriptografiyaning asosiy bo‘limlari
1. Simmetrik kalitli kriptografiya.
– Ma’lumotni shifrlashda va deshifrlashda yagona kalitdan
(simmetrik kalitdan) foydalaniladi.
– SHuning uchun ham simmetrik kalitli kriptotizimlarni – bir
kalitli kriptotizimlar ham deb yuritiladi.
– Bundan kelib chiqadiki, simmetrik kalitli shifrlash
algoritmlaridan foydalanish uchun har ikkala tomonda bir xil
kalit mavjud bo‘lishi zarur.
2. Ochiq kalitli kriptografiya
– ma’lumotni shifrlash qabul qiluvchining ochiq kaliti bilan
amalga oshirilsa, uni deshifrlash qabul qiluvchining shaxsiy
kaliti bilan amalga oshiriladi.
– SHuning uchun ham ochiq kalitli kriptotizimlarni – ikki kalitli
kriptotizimlar deb ham yuritiladi.
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiyaning asosiy bo‘limlari
3. Xesh funksiyalar
– Ma’lumotni xeshlash uning butunligini kafolatlash maqsadida
amalga oshirilib, agar ma’lumot uzatilish davomida o‘zgarishga
uchrasa, u holda uni aniqlash imkoni mavjud bo‘ladi.
– Xesh-funksiyalarda odatda kiruvchi ma’lumotning uzunligi
o‘zgaruvchan bo‘lib, chiqishda o‘zgarmas uzunlikdagi qiymatni
qaytaradi.
– Zamonaviy xesh funksiyalarga MD5, SHA1, SHA256, O‘z DSt
1106:2009 larni misol keltirish mumkin.
– Quyida “ℎ𝑒𝑙𝑙𝑜” xabarini turli xesh funksiyalardagi qiymatlari
keltirilgan:
• 𝑀𝐷5 ℎ𝑒𝑙𝑙𝑜 = 5𝑑41402𝑎𝑏𝑐4𝑏2𝑎76𝑏9719𝑑911017𝑐592
• 𝑆𝐻𝐴1 ℎ𝑒𝑙𝑙𝑜 = 𝑎𝑎𝑓4𝑐61𝑑𝑑𝑐𝑐5𝑒8𝑎2𝑑𝑎𝑏𝑒𝑑𝑒0𝑓3𝑏482𝑐𝑑9𝑎𝑒𝑎9434𝑑
• 𝑆𝐻𝐴256 ℎ𝑒𝑙𝑙𝑜 =
2𝑐𝑓24𝑑𝑏𝑎5𝑓𝑏0𝑎30𝑒26𝑒83𝑏2𝑎𝑐5𝑏9𝑒29𝑒1𝑏161𝑒5𝑐1𝑓𝑎7425𝑒7304336
2938𝑏9824
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiyaning asosiy bo‘limlari
3. Xesh funksiyalar
• Xesh funksiya quyidagi xususiyatlarga ega:
– Bir xil kirish har doim bir xil chiqishni (xesh qiymat deb
ataladi) taqdim etadi.
– Bir qancha turli kirishlar bir xil chiqishni taqdim etmaydi.
– CHiqish qiymatdan kiruvchi qiymatni hosil qilishning imkoniyati
mavjud emas (bir tomonlamalik).
– Kirish qiymatini o‘zgarishi chiqishdagi qiymatni ham o‘zgarishiga
olib keladi.
• Odatda xesh funksiyalar kirishda ma’lumotdan tashqari
xech qanday qiymatni talab etmagani bois, kalitsiz
kriptografik funksiyalar deb ham ataladi.
Kiberxavfsizlik asoslari (CSF1316)
Xesh funksiya asosida ma’lumot butunligini
tekshirish
• Bunga asosan yuboruvchi xabarning xesh qiymatini
hisoblaydi va uni qabul qiluvchiga xabar bilan
birgalikda yuboradi. Qabul qiluvchi dastlab xabarning
xesh qiymatini hisoblaydi va qabul qilingan xesh qiymat
bilan solishtiradi. Agar har ikkala xesh qiymat teng
bo‘lsa, u holda ma’lumotning butunligi o‘zgarmagan, aks
holda o‘zgargan deb topiladi.
Kiberxavfsizlik asoslari (CSF1316)
Hello !
Hello !
Xesh qiymat
Hello !
Xesh qiymat
Xesh funksiya
Hello !
Xesh funksiya
Xesh qiymat
Xesh qiymat
Butunlikni
tekshirish
Haqiqiy
xabar
YUborilgan
xabar
Qabul
qilingan
xabar
Kriptografik akslantirishlar
• Odatda kriptografiyada ma’lumotlarni shifrlashda
(deshifrlashda) quyidagi ikki turdagi
akslantirishshlardan foydalaniladi.
– Ulardan biri o‘rniga qo‘yish (substitution) akslantirish bo‘lsa,
ikkinchichi o‘rin almashish (permutation) akslantirishidir.
Kiberxavfsizlik asoslari (CSF1316)
O‘rniga qo‘yish akslantirishi
• O‘rniga qo‘yish akslantirishida, ochiq matn belgilari bir alfavitdan
olinib, unga mos shifrmatn boshqa bir alfavitdan olinadi.
Kiberxavfsizlik asoslari (CSF1316)
Ochiq
matn
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
SHifr
matn
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
• Sodda ko‘rinishda olingan o‘rniga qo‘yish akslantirishi asosida
shifrlash uchun olingan matn quyida keltirilgan. Ushbu sodda
shifrlash usuli Sezar nomi bilan mashhur.
• Masalan, agar ochiq matn “HELLO” ga teng bo‘lsa, unga mos holda
shifrmatn “KHOOR” ga teng bo‘ladi.
• Mazkur holda shifrmatn alifbosi ochiq matn alifbosidan 3 ga surish
natijasida hosil qilingan va shuning uchun shifrlash kalitini 3 ga
teng deb qarash mumkin.
O‘rniga qo‘yish akslantirishi
• O‘rniga qo‘yish akslantirishida ochiq matndagi belgilar
shifrmatnda bo‘lmasligi mumkin.
• Biroq, ochiq matndagi belgilarning takrorlanish
chastotasi shifrmatndagi belgilarda ham bir xil bo‘ladi
(ko‘p alifboli o‘rniga qo‘yish usullari bundan mustasno).
• Masalan, yuqoridagi misolda ochiqmatndagi “L”
harfining takrorlanish chastotasi 2 ga teng. Uning o‘rniga
qo‘yilgan shifrmatndagi “O” harfining ham takrorlanish
chastotasi 2 ga teng. Bu holat ochiqmatndagi qolgan
belgilar uchun ham o‘rinli.
Kiberxavfsizlik asoslari (CSF1316)
O‘rin almashtirish akslantirishi
• Ochiq matn belgilarining o‘rni biror qoidaga ko‘ra
o‘zaro almashtiriladi. Bunda ochiq matnga ishtirok etgan
belgilar shifrmatnga ham ishtirok etib, faqat ularning
o‘rni almashgan holda bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
1 2 3 4 5 6 7 8
1 2 3 4 5 6 7 8
Ochiq matn = “POSSIBLE”
SHifr matn = “SIPLOSBE”
Kriptografiyaning tarixi
• Ma’lumotlarni shifrlashning dastlabki
ko‘rinishlaridan ming yillar avval foydanib kelingan.
• YAqin o‘n yilliklarga qadar foydalanilgan shifrlarni -
klassik shifrlar deb atalgan.
• Ba’zi manbalarda hisoblash qurilmalari yaratilgunga
qadar foydalanilgan shifrlar – klassik shifrlar
davriga tegishli deb olingan. Undan keyingi davr esa
zamonaviy shifrlar davri deb yuritiladi.
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiyaning tarixi
1. Qadimiy davr (qadimiy davr klassik shifrlari). Ushbu
davr klassik shifrlari asosan bir alfavitli o‘rniga
qo‘yish va o‘rin almashtirish akslantirishlariga
asoslangan. Ularga misol tariqasida Sezar, Polibiya
kvadrati usullarini keltirish mumkin.
2. O‘rta davr (o‘rta davr klassik shifrlari). Ushbu davr
shifrlari asosan ko‘p alifboli o‘rniga qo‘yishga
asoslangan bo‘lib, ularga Vijiner, Atbash usullarini
misol keltirish mumkin. Ushbu davr shifrlari birinchi
davr shifrlariga qaraganda yuqori bardoshlikka ega
bo‘lgan.
Kiberxavfsizlik asoslari (CSF1316)
Kriptografiyaning tarixi
3. 1 va 2 – jaxon urishi davri (1 va 2- jaxon urishi davri
klassik shifrlari). Ushbu davr kriptotizimlari asosan
elektromexanikaga asoslangan bo‘lib, radioto‘lqin
orqali shifrmatnni uzatishni (morze alifbosi) amalga
oshirgan. Mazkur davrga oid shifrlash usullariga
Zimmermann telegrami, Enigma shifri, SIGABA
mashinalarini misol keltirish mumkin.
4. Kompyuter davri (zamonaviy shifrlar). Ushbu davr
shifrlari hisoblash qurilmalariga mo‘ljallangan
bo‘lib, yuqori xavfsizlik darajasiga ega hisoblanadi.
Zamonaviy shifrlarga misol sifatida DES, AES, GOST
28147-89, IDEA, A5/1, RC4 (barchasi simmetrik) va
RSA, El-Gamal (ochiq kalitli) larni keltirish
mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Bir martali bloknot
• Bir martali bloknot (one time pad) yoki Vernam shifri
nomi bilan tanilgan kriptotizim bardoshli shifrlash
algoritmi hisoblanadi.
• Bir martali deb atalishiga asosiy sabab, undagi
kalitning (bloknotning) bir marta foydalanilishi.
• SHuning uchun ham amalga oshirish juda ham murakkab.
• Misol tariqasida quyidagi binar kodlash jadvali
olinsin.
Kiberxavfsizlik asoslari (CSF1316)
Belgilar E H I K L R S T
Binar
qiymat 000 001 010 011 100 101 110 111
Agar shifrlanuvchi ma’lumot, “HEILHITLER” ga teng bo‘lsa:
H E I L H I T L E R
001 000 010 100 001 010 111 100 000 101
Bir martali bloknot
• Bir martali bloknot usulida shifrlash uchun ochiq matn
uzunligiga teng bo‘lgan tasodifiy tanlangan kalit
zarur bo‘ladi.
• Ochiq matnga kalitni XOR amalida qo‘shish orqali
shifrmatn hosil qilinadi (R – ochiq matn, K – kalit va
S – shifrmatn deb belgilansa): 𝐶 = 𝑃⨁𝐾.
• XOR amali (⨁):
Kiberxavfsizlik asoslari (CSF1316)
0⨁0 = 0
0⨁1 = 1
1⨁0 = 1
1⨁1 = 0
Deshifrlash uchun: 𝑃 = 𝐶⨁𝐾, ya’ni, 𝑃 = 𝐶⨁𝐾 = P⨁K ⨁K=P.
Misol 1
• YUqorida keltirilgan ochiq mattni shifrlash uchun
quyidagi kalit olingan bo‘lsin:
• Ushbu kalit asosida shifrlash quyidagicha amalga
oshiriladi:
Kiberxavfsizlik asoslari (CSF1316)
111 101 110 101 111 100 000 101 110 000
H E I L H I T L E R
Ochiq matn: 001 000 010 100 001 010 111 100 000 101
Kalit: 111 101 110 101 111 100 000 101 110 000
SHifrmatn: 110 101 100 001 110 110 111 001 110 101
S R L H H H T H S R
Misol 1
• Deshifrlash uchun:
Kiberxavfsizlik asoslari (CSF1316)
S R L H H H T H S R
SHifrmatn: 110 101 100 001 110 110 111 001 110 101
Kalit: 111 101 110 101 111 100 000 101 110 000
Ochiq matn: 001 000 010 100 001 010 111 100 000 101
H E I L H I T L E R
Bir martali bloknot: Senariy 1
• A tomoning dushmani T mavjud va u A tomon kalit
sifatida quyidagini foydalangan deb uylaydi:
• Mazkur holatda dushman T ushbu kalitni B tomonga yubora
olsa, u holda B tomon quyidagi ochiq matnga ega bo‘ladi:
• Agar B tomon kriptografiyadan xabari bo‘lmasa, u holda
A tomon uchun jiddiy muammo tug‘iladi.
Kiberxavfsizlik asoslari (CSF1316)
101 111 000 101 111 100 000 101 110 000
S R L H H H T H S R
SHifrmatn: 110 101 100 001 110 110 111 001 110 101
“Kalit”: 101 111 000 101 111 100 000 101 110 000
“Ochiq matn”: 011 010 100 100 001 010 111 100 000 101
K I L L H I T L E R
Bir martali bloknot: Senariy 2
• A tomon dushmani T tomonidan qo‘lga olindi va u
shifrmatnni ham biladi va A tomondan kalitni talab
qilmoqda. A tomon har ikkala tomon uchun ham
“o‘ynashini” aytadi va kalitni quyidagicha teng deydi:
• T tomon esa quyidagi ochiq matnga ega bo‘ladi:
• Agar T tomon kriptografiyadan xabari bo‘lmasa, ochiq
matnga ishonadi va A tomonni qo‘yib yuboradi.
Kiberxavfsizlik asoslari (CSF1316)
111 101 000 011 101 110 001 011 101 101
S R L H H H T H S R
SHifrmatn: 110 101 100 001 110 110 111 001 110 101
“Kalit”: 111 101 000 011 101 110 001 011 101 101
“Ochiq matn”: 001 000 100 010 011 000 110 010 011 000
H E L I K E S I K E
Bir martali bloknot
• Kafolatga ega emasligi sababli, ushbu keltirilgan
misollar bir martali bloknot shifrini bardoshli
ekanini ko‘rsatadi. YA’ni, turli kalit uchun turlicha ochiq
matnni olish mumkin.
• Agar kalit bir marta foydalanilsa, hujumchi ochiq
matnni topa olmaydi.
• SHifrmatnga qarab faqat ochiq matn uzunligini bilishi
mumkin.
• Agar bitta kalitdan ko‘p marta foydalanilsa, u holda
jiddiy xavfsizlik muammosi tug‘iladi!!!!
Kiberxavfsizlik asoslari (CSF1316)
Misol 2
• Faraz qilaylik, quyidagi ikki ochiq matn 𝑃1 va 𝑃2 bitta
kalit 𝐾 dan foydalanib shifrlangan: 𝐶1 = 𝑃1⨁𝐾 va 𝐶2 =
𝑃2⨁𝐾.
• Kriptografiyada ushbu holatni “xavflilik” deb ataladi.
• YA’ni, foydalanilgan kalit endi muammo tug‘dirmaydi:
𝐶1⨁𝐶2 = 𝑃1⨁𝐾⨁𝑃2⨁𝐾 = 𝑃1⨁𝑃2
• Ikki matn va kalit quyidagiga teng bo‘lsin:
𝑃1 = 𝐿𝐼𝐾𝐸 = 100 010 011 000
𝑃2 = 𝐾𝐼𝑇𝐸 = 011 010 111 000
𝐾 = 110 011 101 111
Kiberxavfsizlik asoslari (CSF1316)
Misol 2
• U holda shifrlangan matnlar quyidagicha bo‘ladi:
• Agar hujumchi kriptogarfiyani yaqindan bilsa va bitta
kalitdan foydalanilganini bilsa:
– 2 va 4 shifrmatn belgilari teng ekanligini osongina topa oladi.
• Bundan tashqari, hujumchi taxminiy 𝑃1 ochiq matn olib
uni to‘g‘riligini 𝑃2 ochiq matn bilan tekshirib ko‘rish
imkoniyatiga ega.
Kiberxavfsizlik asoslari (CSF1316)
L I K E
𝑃1: 100 010 011 000
𝐾: 110 011 101 111
𝐶1: 010 001 110 111
I H S T
K I T E
𝑃2: 011 010 111 000
𝐾: 110 011 101 111
𝐶2: 101 001 010 111
R H I T
Misol 2
• Agar 𝑃1 = 𝐾𝐼𝐿𝐿 = 011 010 100 100 bo‘lsa,
• Olingan kalit 𝐾 yordamida esa ikkinchi shifrmatndan ochiq
matnni hisoblaydi:
• Topilgan kalit ikkinchi ochiq matn uchun mos bo‘lmagani
sababli, taxminiy 𝑃1 ni noto‘g‘riligini biladi.
• U qachonki 𝑃1 = 𝐿𝐼𝐾𝐸 shaklida taxmin qilsa, u holda 𝑃2 =
𝐾𝐼𝑇𝐸 ni va kalitni topa oladi.
Kiberxavfsizlik asoslari (CSF1316)
K I L L
Taxminiy 𝑃1: 011 010 100 100
𝐶1: 010 001 110 111
Taxminiy 𝐾: 001 011 010 011
𝐶2: 101 001 010 111
Taxminiy 𝐾: 001 011 010 111
Taxminiy 𝑃2: 100 010 000 100
L I E L
Kodlar kitobi
• Kodlar kitobi lug‘atga o‘xshash kitob bo‘lib, (ochiq matn
so‘zlari) va unga mos bo‘lgan kod so‘zlardan (shifrmatn)
tashkil topgan.
• Quyida birinchi jaxon urishida Nemislar tomonidan
foydalanilgan kodlar kitobidan namuna keltirilgan:
• Masalan, “Februar” so‘zini shifrlash uchun butun so‘z 5-belgili
kod so‘z 13605 bilan almashtirilgan.
Kiberxavfsizlik asoslari (CSF1316)
Ochiq matn SHifrmatn
Februar 13605
fest 13732
finanzielle 13850
folgender 13918
Frieden 17142
Friedenschluss 17149
⋮ ⋮
Kodlar kitobi
• Ushbu kodlar kitobi orqali mashhur Zimmermann
telegramini shifrlangan.
• 1917 yilda birinchi jaxon urishi davrida, Germaniya
tashqi ishlar vaziri Artur Zimmerman Germaniyaning
Meksikadagi elchisiga shifrlangan ko‘rinishdagi telegram
yuboradi.
• SHifrlangan xabar Britaniyaliklar tomonidan tutib
olinadi.
• Bu vaqtda Britaniya va Fransiya Germaniya bilan
urushayotgan va AQSH esa betaraf holatda edi.
Kiberxavfsizlik asoslari (CSF1316)
Zimmerman telegrami
Kiberxavfsizlik asoslari (CSF1316)
Zimmerman telegrami - deshifrlangan
Kiberxavfsizlik asoslari (CSF1316)
Kodlar kitobi
• Kodlar kitobi asosida shifrlash o‘rniga qo‘yish
akslantirishiga asoslangan.
• Kodlar kitobi hozirda amalda qo‘llaniluvchi simmetrik
blokli shifrlarni yaratishga asos bo‘lgan (ular bilan
keyingi darsda tanishib chiqiladi).
• Kodlar kitobi o‘z davrida etarli xavfsizlikni
ta’minlagan shifrlash usuli hisoblanadi.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
3-ma’ruza. Simmetrik shifrlar
Kutiladigan natija:
shaxsiy kalitli kriptografiyada kalit va blok uzunligi muammolarini
muhokama qilish;
shaxsiy kriptografik usullarni yaratishda mavjud xavflarni
muhokama qilish;
berilgan holat uchun mos shifrlash algoritmini tanlashni tavsiflash;
simmetrik kriptotizimlarda mavjud xavfsizlik muammolarini
tavsiflash;
Simmetrik kriptotizimlarning ikki turi
Ushbu ma’ruzada simmetrik kriptotizimlar, shuningdek ularning ikki
tarmog‘i: oqimli va blokli simmetrik shifrlash algoritmlariga to‘xtalib
o‘tiladi. Har ikkala turdagi simmetrik shifrlash algoritmlari ham
ma’lumotlarni shifrlashda va deshifrlashda yagona kalitdan foydalanadi.
Ularning o‘zaro farqi esa ma’lumotlarni shifrlash va deshifrlash
jarayonini amalga oshirish tartibida bo‘lib, foydalanilayotgan tizim
xususiyatidan kelib chiqqan holda tanlanadi. Bular haqida ushbu ma’ruzaning
so‘ngida batafsil ma’lumot beriladi.
Simmetrik kriptotizimlar bilan batafsil tanishishdan oldin,
quyidagi belgilanishlarni bilish zarur:
Ochiq matn 𝑃 ni simmetrik kalit 𝐾 bilan shifrlash: 𝐶 ൌ 𝐸ሺ𝑃, 𝐾ሻ.
SHifrmatn 𝐶 ni simmetrik kalit 𝐾 bilan deshifrlash: 𝑀 ൌ
𝐷ሺ𝐶, 𝐾ሻ.
Bu erda, 𝐸ሺሻ va 𝐷ሺሻ lar mos ravishda simmetrik kriptotizimdagi
shifrlash va deshifrlash funksiyalari.
Oqimli simmetrik shifrlash tizimlari
Simmetrik oqimli shifrlash algoritmining yaratilishi bir martali
bloknotga asoslangan bo‘lib, undan farqli jixati – bardoshligi etarlicha
kichik (va boshqariladigan) kalitga asoslanishigadir. YA’ni, kichik
uzunlikdagi kalitdan ochiq matn uzunligiga teng bo‘lgan ketma-ketlik hosil
qilinadi va bir martali bloknot sifatida foydalaniladi.
Oqimli shifr 𝑛 bitli kalit 𝐾 ni qabul qiladi va ochiqmatnni
uzunligiga teng bo‘lgan ketma െ ketlik 𝑆 ga uzaytiradi. Ketma – ketlik 𝑆 esa
ochiq matn 𝑃 bilan 𝑋𝑂𝑅 amalida qo‘shiladi va shifrmatn 𝐶 hosil qilinadi.
Bu o‘rinda ketma-ketlikni qo‘shish bir martali bloknotni qo‘shish kabi bir
xil bo‘ladi.
Oqimli shifrni quyidagicha sodda ko‘rinishda yozish mumkin:
𝑆𝑡𝑟𝑒𝑎𝑚𝐶𝑖𝑝ℎ𝑒𝑟ሺ𝐾ሻ ൌ 𝑆,
Bu erda, 𝐾 kalit va 𝑆 esa natijaviy ketma-ketlik. SHuni esda saqlash
zarurki, bu erda ketma-ketlik shifrmatn emas, balki bir martali bloknotga
o‘xshash oddiy qator.
Agar berilgan ketma-ketlik 𝑆 ൌ 𝑠, 𝑠ଵ, 𝑠ଶ, …, va ochiq matn 𝑃 ൌ
𝑝, 𝑝ଵ, 𝑝ଶ, …, berilgan bo‘lsa, mos bitlarni XOR amalida qo‘shish orqali
shifrmatn bitlari 𝐶 ൌ 𝑐, 𝑐ଵ, 𝑐ଶ, …, ni quyidagicha hosil qilamiz:
𝑐 ൌ 𝑝⨁𝑠, 𝑐ଵ ൌ 𝑝ଵ⨁𝑠ଵ, 𝑐ଶ ൌ 𝑝ଶ⨁𝑠ଶ , …
SHifrmatn 𝐶 ni deshifrlash uchun, yana ketma-ketlik 𝑆 dan
foydalaniladi:
𝑝 ൌ 𝑐⨁𝑠, 𝑝ଵ ൌ 𝑐ଵ⨁𝑠ଵ, 𝑝ଶ ൌ 𝑐ଶ⨁𝑠ଶ , …
YUboruvchi va qabul qiluvchini bir xil oqimli shifrlash algoritmi va
kalit 𝐾 bilan ta’minlash orqali, ikkala tomonda bir xil ketma-ketliklarni
hosil qilish mumkin. Biroq, natijaviy shifr kafolatli xavfsizlikka ega
bo‘lmaydi va bunda asosiy e’tibor amaliy tomondan qo‘llashga qaratiladi.
A5/1 oqimli shifrlash algoritmi
Ushbu oqimli shifrlash algoritmi GSM mobil aloqa tizimlarida
ma’lumotni konfidensialligini ta’minlash uchun foydalaniladi. Mazkur
algoritm algebraik tuzulishga ega bo‘lsada, uni sodda diagramma bilan ham
tasvirlash imkoniyati mavjud.
A5/1 shifrlash algoritmi uchta chiziqli siljitish registorlaridan
iborat bo‘lib, ular mos holda 𝑋, 𝑌 va 𝑍 kabi belgilanadi. 𝑋 registor o‘zida 19
bit (𝑥, 𝑥ଵ, … , 𝑥ଵ଼), 𝑌 registor esa 22 bit (𝑦, 𝑦ଵ, … , 𝑦ଶଵ) va 𝑍 registor esa 23
bit (𝑧, 𝑧ଵ, … , 𝑧ଶଶሻ ma’lumotni saqlaydi. Uchta registorlarning mazkur
o‘lchamdagi bitlarni saqlashi bejizga emas, sababi chiziqli siljitish
registorlari o‘zida jami bo‘lib 64 bitni saqlaydi. SHu sababli, A5/1
shifrlash algoritmida foydalaniluvchi kalit 𝐾 ning uzunligi 64 bitga teng
bo‘ladi va ushbu kalit uchta registorni dastlabki to‘ldirish uchun
foydalaniladi. SHundan so‘ng, oqimli shifrlash algoritmi talab etilgan
uzunlikdagi (ochiq matn uzunligiga teng bo‘lgan) ketma-ketliklarni generatsiya
qilib beradi. Ketma-ketliklarni generatsiya qilish tartibini o‘zranishdan
oldin, uchta registorlar haqida ba’zi ma’lumotlarni bilish talab etiladi.
𝑋 registor siljigan vaqtida, quyidagi amallar ketma-ketligi
bajariladi:
𝑡 ൌ 𝑥ଵଷ⨁𝑥ଵ⨁𝑥ଵ⨁𝑥ଵ଼
𝑖 ൌ 18,17,16, … ,1 uchun 𝑥 ൌ 𝑥ିଵ
𝑥 ൌ 𝑡
SHunga o‘xshash, 𝑌 va 𝑍 registorlar uchun ham quyidagilar bajariladi:
𝑡 ൌ 𝑦ଶ⨁𝑦ଶଵ
𝑖 ൌ 21,20,19, … ,1 uchun 𝑦 ൌ 𝑦ିଵ
𝑦 ൌ 𝑡
va
𝑡 ൌ 𝑧⨁𝑧ଶ⨁𝑧ଶଵ⨁𝑧ଶଶ
𝑖 ൌ 22,21,20, … ,1 uchun 𝑧 ൌ 𝑧ିଵ
𝑧 ൌ 𝑡
Berilgan uchta bit 𝑥, 𝑦 va 𝑧 uchun 𝑚𝑎𝑗ሺ𝑥, 𝑦, 𝑧ሻ funksiyasi ularning eng
ko‘pini qaytaradi. Agar 𝑥, 𝑦 va 𝑧 bitlar 0 ga teng bo‘lsa, u holda funksiya 0 ni
qaytaradi, aks holda birni qaytaradi. Funksiyaga kiruvchi bitlar toq bo‘lgani
uchun, funksiya har doim 0 ni yoki 1 ni qaytaradi. Boshqa holatlar bo‘lmaydi.
A5/1 shifrida, ketma-ketlikning har bir bitini generatsiya qilish uchun
quyidagilar bajariladi. Dastlab, 𝑚 ൌ 𝑚𝑎𝑗ሺ𝑥଼, 𝑦ଵ, 𝑧ଵሻ funksiya qiymati
hisoblanadi.
SHundan so‘ng 𝑋, 𝑌 va 𝑍 registorlar quyidagicha sijitiladi (yoki
siljitilmaydi):
agar 𝑥଼ ൌ 𝑚 ga teng bo‘lsa, 𝑋 siljitiladi;
agar 𝑦ଵ ൌ 𝑚 ga teng bo‘lsa, 𝑌 siljitiladi;
agar 𝑧ଵ ൌ 𝑚 ga teng bo‘lsa, 𝑍 siljitiladi;
SHundan so‘ng, ketma-ketlikning bir biti 𝑠 quyidagicha generatsiya
qilinadi va ochiq matn biti bilan XOR amalida qo‘shiladi (agar shifrlansa)
yoki shifrmatn biti bilan XOR amalida qo‘shiladi (agar deshifrlansa).
𝑠 ൌ 𝑥ଵ଼⨁𝑦ଶଵ⨁𝑧ଶଶ
YUqorida keltirilgan ketma-ketlikdagi amallar talab etilgancha
takrorlanadi (ochiq matn yoki shifr matn uzunligiga teng).
Agar biror registor siljitilganda, uning to‘liq holati siljish
natijasida o‘zgaradi. Ketma-ketlikning bir bitini hosil qilishda uchta
registordan kamida ikkitasi siljiydi va shuning uchun yuqoridagi ketma-
ketlikni davom ettirgan holda yangi bitlar ketma-ketligini hosil
qilishimiz mumkin.
A5/1 oqimli shifrlash algoritmi murakkab ko‘rinsada, qurilmada
amalga oshirilganda yuqori tezlikga ega bo‘ladi. Umumiy holda A5/1 oqimli
shifrni 3.1-rasmdagi kabi ifodalash mumkin.
3.1-rasm. A5/1 ketma-ketlik generatori
Misol
Faraz qilaylik 64 bitli kalit 𝐾 ni 𝑋, 𝑌 va 𝑍 registorlariga bo‘lib
yozish natijasi quyidagicha bo‘lsin (3.2-rasm).
3.2-rasm. A5/1 ketma-ketlik generatori
Mazkur holatda 𝑚𝑎𝑗ሺ𝑥଼, 𝑦ଵ, 𝑧ଵሻ ൌ 𝑚𝑎𝑗ሺ1,1,0ሻ ൌ 1 ga teng bo‘ladi va bu
𝑋 va 𝑌 registorlar siljishini ko‘rsatadi. SHuning uchun
𝑡 ൌ 𝑥ଵଷ⨁𝑥ଵ⨁𝑥ଵ⨁𝑥ଵ଼ ൌ 0⨁1⨁1⨁1 ൌ 1
𝑖 ൌ 18,17,16, … ,1 uchun 𝑥 ൌ 𝑥ିଵ
𝑥 ൌ 1
SHunga o‘xshash, 𝑌 registor uchun ham quyidagilar bajariladi:
𝑡 ൌ 𝑦ଶ⨁𝑦ଶଵ ൌ 0⨁0 ൌ 0
𝑖 ൌ 21,20,19, … ,1 uchun 𝑦 ൌ 𝑦ିଵ
𝑦 ൌ 0
𝑋 va 𝑌 registorlari siljigandan keyingi holat esa quyidagicha bo‘ladi:
3.3-rasm. A5/1 ketma-ketlik generatori
Siljigan holatdan so‘ngi registorlar holatidan generatsiya bo‘lgan bir
bit 𝑠 ൌ 𝑥ଵ଼⨁𝑦ଶଵ⨁𝑧ଶଶ ൌ 1 ⨁ 0 ⨁0 ൌ 1 ga teng bo‘ladi. SHu tartibda, talab
etilgan bitlar ketma-ketligi generatsiya qilinadi.
Oqimli shifrlash algoritmlari hisoblash qurilmalari hozirgi
kundagi kabi rivojlanmagan vaqtlarda juda ham mashhur bo‘lib, hozirgi
kunda ularning o‘rnini simmetrik blokli shifrlar egallamoqda. Biroq
shunday holatlar mavjudki, oqimli shifrlar shubhasiz zarur bo‘ladi.
Masalan, real vaqt tizimlaridan biri GSM tarmog‘ida ma’lumotlarni
shifrlashda blokli simmetrik shifrlarni qo‘llashning imkoni yo‘q. Sababi,
shifrlash uchun zarur bo‘lgan bir blokni (blok uzunligi kamida 64 bit bo‘ladi)
ma’lum vaqtda to‘plashi talab etiladi. Bu esa so‘zlashuvda to‘xtalishni olib
keladi. Bundan tashqari, ma’lumotni shifrlab uzatish jarayonida
shifrmatnga bo‘lgan o‘zgarishga (tashqi ta’sirlar natijasida) simmetrik
oqimli shifrlash bardoshli sanaladi. Masalan, oqimli shifrlashda
shifrmatndagi bir bitning o‘zgarishi ochiq matnning ham bir bitini
o‘zgarishiga olib keladi. Simmetrik blokli shifrlarda esa bir bitning
o‘zgarishi bir blokning (masalan, 64 bit) o‘zgarishiga olib keladi. Bundan
tashqari, simmetrik oqimli shifrlash blokli shifrlarga qaraganda kichik
imkoniyatli qurilmalarni talab etadi.
Blokli simmetrik shifrlash algoritmlari
Takroriy amalga oshiriluvchi blokli shifrlash ochiq matnni
fiksirlangan (o‘zgarmas uzunlikdagi) bloklarga ajratadi va shifrmatnning
fiksirlangan uzunlikdagi bloklarini hosil qiladi. Aksariyat blokli
simmetrik shifrlar loyihasida, shifrmatn - ochiq matnni funksiya 𝐹 orqali
biror miqdordagi raundlar soni davomida takroran bajarish orqali
olinadi. Oldingi raunddan chiqqan natija va kalit 𝐾 ga asoslangan 𝐹
funksiya – raund funksiyasi deb nomlanadi. Bunday nomlanishiga asosiy
sabab, uni ko‘plab raundlar davomida bajarilishidir.
Blokli simmetrik shifrlarni yaratishdagi asosiy maqsad – bu
xavfsizlik va samaradorlikga erishishdir. Xavfsiz yoki samarali bo‘lgan
blokli shifrlarni yaratish murakkab muammo emas, biroq, ham xavfsiz ham
samarali bo‘lgan simmetrik blokli shifrlarni yaratish – bu san’atdir.
Simmetrik blokli shifrlarni yaratishda ko‘plab tarmoqlardan
foydalaniladi. Ular orasida quyidagi tarmoqlar amalda keng qo‘llaniladi:
1. Feystel tarmog‘i.
2. SP (Substitution – Permutation network) tarmoq.
3. Lai-Messey tarmog‘i.
Ma’ruzaning davomida Feystel tarmog‘i va unga asoslangan sodda
blokli simmetrik shifr bilan tanishib o‘tiladi.
Feystel tarmog‘i - bu aynan bir blokli shifr hisoblanmay, simmetrik
blokli shifrni loyihalashning umumiy prinsipi sanaladi. Feystel
tarmog‘iga ko‘ra ochiq matn bloki 𝑃 teng ikki chap va o‘ng qismlarga bo‘linadi:
𝑃 ൌ ሺ𝐿, 𝑅ሻ,
va har bir raund 𝑖 ൌ 1,2, … , 𝑛, uchun yangi chap va o‘ng tomonlar quyidagi
qoidaga ko‘ra hisoblanadi:
𝐿 ൌ 𝑅ିଵ
𝑅 ൌ 𝐿ିଵ⨁𝐹ሺ𝑅ିଵ, 𝐾ሻ
Bu erda, 𝐾 kalit 𝑖 – raund uchun qismkalit (raund kaliti) hisoblanadi.
Qism kalitlar esa o‘z navbatida kalit 𝐾 dan biror kalit generatori
algoritmi orqali hisoblanadi. YAkuniy, shifrmatn bloki 𝐶 esa oxirgi raund
natijalariga teng bo‘ladi, ya’ni:
𝐶 ൌ ሺ𝐿, 𝑅ሻ.
Feystel tarmog‘ida deshifrlash XOR amalining “sehrgarligi”ga
asoslanadi. YA’ni, 𝑖 ൌ 𝑛, 𝑛 െ 1, … ,1 lar uchun quyidagi tenglik amalga
oshiriladi:
𝑅ିଵ ൌ 𝐿
𝐿ିଵ ൌ 𝑅⨁𝐹ሺ𝑅ିଵ, 𝐾ሻ
Oxirgi raund natijasi, deshifrlangan matnni beradi: 𝑃 ൌ ሺ𝐿, 𝑅ሻ.
Har bir raundda foydalaniluvchi Feystel tarmog‘ining 𝐹 funksiyasi
qaytuvchi (teskari funksiyasiga ega) bo‘lishi talab etilmaydi. Biroq, olingan
har qanday 𝐹 funksiya to‘liq xavfsiz bo‘la olmaydi.
TEA blokli shifrlash algoritmi
TEA (Tiny Encryption Algorithm) algoritmi Feystel tarmog‘iga
asoslanmagan bo‘lsada, sodda va unga o‘xshash algoritmdir. Boshqa so‘z bilan
aytganda shifrlash va deshifrlash funksiyalari bir-biridan farq qiladi.
TEA algoritmi 64-bit uzunlikdagi ochiq matn bloklari va 128 bitli
kalitdan foydalaniladi. Algoritm 32 bitli so‘zlar bilan amallar
bajarishga mo‘ljallangan va shuning uchun 𝑚𝑜𝑑2ଷଶ amalidan foydalaniladi.
Ushbu algoritmda raundlar soni o‘zgaruvchan bo‘lib, xavfizlik nuqtai-
nazaridan raundlar soni kamida 32 ga teng olinishi shart. TEA
algoritmining har bir raundi Feystel tarmog‘ining ikki raundiga o‘xshash.
Blokli shifrlarni loyihalashda raund funksiyasining murakkabligi
va raundlar sonining orasida balans bo‘lishi lozim. Masalan, raund
funksiyasi sodda bo‘lsa, raundlar soni kamroq yoki aksincha bo‘ladi. TEA
algoritmi sodda algoritm bo‘lgani uchun, bardoshli bo‘lishi uchun raundlar
sonini katta tanlash zarur. TEA algoritmining shifrlash funksiyasi quyida
keltirilgan.
ሺ𝐾ሾ0ሿ, 𝐾ሾ1ሿ, 𝐾ሾ2ሿ, 𝐾ሾ3ሿሻ ൌ 128 bitli kalit
ሺ𝐿, 𝑅ሻ ൌ ochiq matn bloki ሺ64 bitሻ
𝑑𝑒𝑙𝑡𝑎 ൌ 0𝑥9𝑒3779𝑏9
𝑠𝑢𝑚 ൌ 0
𝑓𝑜𝑟 𝑖 ൌ 1 dan 32 gacha
𝑠𝑢𝑚 ൌ 𝑠𝑢𝑚 𝑑𝑒𝑙𝑡𝑎
𝐿 ൌ 𝐿 ሺሺሺ𝑅 ≪ 4ሻ 𝐾ሾ0ሿሻ⨁ሺ𝑅 𝑠𝑢𝑚ሻ⨁ሺሺ𝑅 ≫ 5ሻ 𝐾ሾ1ሿሻሻ
𝑅 ൌ 𝑅 ሺሺሺ𝐿 ≪ 4ሻ 𝐾ሾ2ሿሻ⨁ሺ𝐿 𝑠𝑢𝑚ሻ⨁ሺሺ𝐿 ≫ 5ሻ 𝐾ሾ3ሿሻሻ
keyigi 𝑖
shifrmatn ൌ ሺ𝐿, 𝑅ሻ
Bu erda “≪” amali sonni chapga surish amali va “≫” amali o‘nga surish
amali hisoblanadi. Masalan, ikkilik ko‘rinishdagi bir baytli son
“10110101” ga teng bo‘lsa, u holda ushbu sonni chapga 4 birlik surish natijasi
“01010000” ga teng bo‘ladi. Ushbu sonni 5 birlik o‘nga surish natijasi esa
“00000101” ga teng bo‘ladi.
TEA algoritmi Feystel tarmog‘iga asoslanmagan bo‘lsada (Feystel
tarmog‘ida shifrlash va deshifrlash funksiyalari bir xil bo‘ladi),
deshifrlashda XOR amalining o‘rniga qo‘shish yoki bo‘lish amallaridan
foydalanilmaydi. TEA algoritmining deshifrlash funksiyasi quyida
keltirilgan.
ሺ𝐾ሾ0ሿ, 𝐾ሾ1ሿ, 𝐾ሾ2ሿ, 𝐾ሾ3ሿሻ ൌ 128 bitli kalit
ሺ𝐿, 𝑅ሻ ൌ shifr matn bloki ሺ64 bitሻ
𝑑𝑒𝑙𝑡𝑎 ൌ 0𝑥9𝑒3779𝑏9
𝑠𝑢𝑚 ൌ 𝑑𝑒𝑙𝑡𝑎 ≪ 5
𝑓𝑜𝑟 𝑖 ൌ 1 dan 32 gacha
𝑅 ൌ 𝑅 െ ሺሺሺ𝐿 ≪ 4ሻ 𝐾ሾ2ሿሻ⨁ሺ𝐿 𝑠𝑢𝑚ሻ⨁ሺሺ𝐿 ≫ 5ሻ 𝐾ሾ3ሿሻሻ
𝐿 ൌ 𝐿 െ ሺሺሺ𝑅 ≪ 4ሻ 𝐾ሾ0ሿሻ⨁ሺ𝑅 𝑠𝑢𝑚ሻ⨁ሺሺ𝑅 ≫ 5ሻ 𝐾ሾ1ሿሻሻ
𝑠𝑢𝑚 ൌ 𝑠𝑢𝑚 െ 𝑑𝑒𝑙𝑡𝑎
keyigi 𝑖
ochiq matn ൌ ሺ𝐿, 𝑅ሻ
Blokli shifrlar rejimlari
Oqimli shifrlardan foydalanish juda ham sodda – ochiq matn (yoki
shifrmatn) uzunligiga teng bo‘lgan kalitlar ketma-ketligi generatsiya
qilinadi va XOR amalida qo‘shiladi. Blokli shifrlardan foydalanish ham
oson, faqat bir blokni shifrlash. Biroq, bir nechta (ko‘plab) bloklarni
shifrlash qanday amalga oshiriladi? Javob esa, bir qaraganda oson emas.
Faraz qilaylik quyidagi ochiq matn bloklari berilgan bo‘lsin:
𝑃, 𝑃ଵ, 𝑃ଶ, … O‘zgarmas kalit 𝐾 uchun blokli shifr bu – kodlar kitobi
hisoblanadi. Sababi, blokli shifrlar ochiq matn bloki va shifrmatn bloki
o‘rtasida o‘zgarmas bog‘lanishni yaratadi. Kodlar kitobi kabi foydalaniluvchi
blokli shifrlash rejimi bu – elektron kodlar kitobi (electronic codebook
mode, ECB) rejimidir. ECB rejimida quyidagi formuladan foydalangan
holda ma’lumotlar bloklari shifrlanadi:
𝑖 ൌ 0,1,2, … lar uchun 𝐶 ൌ 𝐸ሺ𝑃, 𝐾ሻ
Deshifrlash uchun esa quyidagi formuladan foydalaniladi:
𝑖 ൌ 0,1,2, … lar uchun 𝑃 ൌ 𝐷ሺ𝐶, 𝐾ሻ
Ushbu yondashuv asosida blokli shifrlarni samarali amalga oshirsa
bo‘ladi. Biroq, mazkur yondashuvda jiddiy xavfsizlik muammosi mavjud.
Faraz qilaylik ECB rejimdan foydalangan holda ma’lumot
shifrlandi va tarmoq orqali uzatildi. Uzatish davomida hujumchi ularni
tutib oldi va shifrmatn bloklari orasidan ikkitasini bir-biriga
tengligini (𝐶 ൌ 𝐶ሻ ni aniqladi. Buning natijasida esa, hujumchi
aniqlangan shifrmatn bloklariga mos ochiq matn bloklari ham bir-biriga
teng: 𝑃 ൌ 𝑃. Albatta ushbu holat shifrmatnni topish uchun etarli emas,
lekin bir shifrmatn blokiga mos kelgan qolgan bloklarni aniqlash
imkoniyatini beradi. Bunday hollarda hujumchi haqiqatda 𝑃 yoki 𝑃 ochiq matn
bloklarini aniqlay olmasada, unga aloqador ba’zi ma’lumotni oshkor etadi.
Mazkur holatni grafik ravishda tasvirlaganda 3.2-rasmda ko‘rsatilgani kabi
bo‘ladi. Boshqa so‘z bilan aytganda, rasmning chap tomondagi tasvirning
o‘xshash har bloki chap qismida ham bir xil shifrmatn blokiga almashgan.
Mazkur holda hujumchini shifrmatndan foydalangan holda ochiq matnni
bashorat qilishi murakkab vazifa emas.
3.2-rasm. ECB rejimida ma’lumotni shifrlash natijasi
Biroq, ECB rejimida shifrlash va deshifrlash amallarini
paralellashtirish imkoniyati mavjud va bu tezkorlikni oshiradi. Bundan
tashqari agar shifrmatnni uzatish davomida bloklardan birining o‘zgarishi
faqat shu blokni natijasiga ta’sir qiladi. YA’ni, faqat shu blokni o‘zi
zararlanadi.
ECB rejimida mavjud muammolarni bartaraf etgan rejimlardan biri
bu - cipher block chaining (CBC) rejimidir. CBC rejimida bir blokdan
chiqqan shifrmatn keyingi ochiq matnni yashirish uchun foydalaniladi va
shundan so‘ng shifrlash amalga oshiriladi. Mazkur rejimda shifrlash
formulasi quyidagicha:
𝑖 ൌ 0,1,2, … lar uchun 𝐶 ൌ 𝐸ሺ𝑃⨁𝐶ିଵ, 𝐾ሻ
Deshifrlash funksiyasi esa quyidagicha bo‘ladi:
𝑖 ൌ 0,1,2, … lar uchun 𝑃 ൌ 𝐷ሺ𝐶, 𝐾ሻ⨁𝐶ିଵ
Birinchi blokni shifrlash uchun undan oldingi shifrmat bloki
bo‘lmagani uchun, boshlang‘ich vektor deb ataluvchi (initialization vector, IV) 𝐼𝑉
dan foydalaniladi va u mantiqiy tomondan 𝐶ିଵ ga o‘zlashtiraladi.
SHifrmatn bloklari maxfiy saqlanmagani bois unga analog bo‘lgan, 𝐼𝑉 ham
maxfiy saqlanmaydi. Biroq, 𝐼𝑉 tasodifiy ravishda generatsiya qilinishi
shart.
𝐼𝑉 dan foydalangan holda, birinchi blokni shifrlash quyidagicha
amalga oshiriladi: 𝐶 ൌ 𝐸ሺ𝑃⨁𝐼𝑉, 𝐾ሻ.
Mos holda birinchi blokni deshifrlash esa quyidagicha amalga
oshiriladi: 𝑃 ൌ 𝐷ሺ𝐶, 𝐾ሻ⨁𝐼𝑉.
CBC rejimida ma’lumotlarni shirflash ECB rejimidan farqli
ravishda bir xil ochiq matn bloklari turli shifr matn bloklariga
almashinadi va buning natijasida 3.2-rasm holati quyidagicha bo‘ladi (3.3-
rasm).
3.3-rasm. CBC rejimida shifrlash natijasi
Agar CBC rejimidan foydalanib shifrlangan ma’lumotni uzatish
davomida biror bitga o‘zgarish bo‘lsa, u holda yakuniy holat qanday bo‘ladi?
(baxtimizga hozirda bunday holatlar kam uchraydi) Faraz qilinsin
shifrmatnning 𝐶 bloki zararlandi: 𝐶 ൌ 𝐺. U holda
𝑃 ് 𝐷ሺ𝐺, 𝐾ሻ⨁𝐶ିଵ va 𝑃ାଵ ് 𝐷ሺ𝐶ାଵ, 𝐾ሻ⨁𝐺
Biroq,
𝑃ାଶ ൌ 𝐷ሺ𝐶ାଶ, 𝐾ሻ⨁𝐶ାଵ
va qolgan bloklar to‘g‘ri deshifrlanadi. YA’ni, bir blokning
zararlanishi ikkita blokga ta’sir ko‘rsatadi. Undan keyingi bloklar esa
o‘zgarmas saqlanadi.
Simmetrik blokli shifrlash algoritmlari oqimli shifrlash
algoritmlariga qaragan yuqori hisoblash imkoniyatini talab etadi va shunga
mos ravishda yuqori bardoshlikni ta’minlaydi. Simmetrik blokli shifrlash
algoritmlari oqimli shifrlar kabi ma’lumot konfidensialligini
ta’minlash uchun foydalaniladi. Bundan tashqari blokli shifrlardan
autentifikatsiya masalalarida, ma’lumot butunligini ta’minlashda keng
qo‘llaniladi.
Simmetrik kriptotizimlardagi muammolar
Simmetrik shifrlash tizimlari ma’lumotni shifrlashda va
deshifrlashda aynan bir kalitdan foydalanadi. Bu esa tarmoq bo‘ylab
shifrlangan ma’lumotni uzatishdan oldin shifrlash kalitini uzatishni
taqqazo etadi. Boshqa so‘z bilan aytganda, kalitlarni tomonlar orasida
xavfsiz uzatish simmetrik kriptotizimlar oldidagi asosiy muammo
sanaladi.
Bundan tashqari bir foydalanuvchi qolganlari bilan ma’lumot
almashmoqchi bo‘lsa, ularning har biri bilan alohida-alohida kalitlarga ega
bo‘lishi talab etiladi. Bu esa foydalanuvchiga ko‘p sonli kalitlarni xavfsiz
saqlash zaruriyatini keltirib chiqaradi.
Simmetrik kriptotizimlarda kalit uzunligi
Amalda foydalanish uchun kriptografik tizimlarning kalit
uzunligiga qat’iy talablar qo‘yiladi. Ushbu talablar vaqt o‘tishi hisoblash
qurilmalari imkoniyatining o‘zgarishiga bog‘liq holda o‘zgarib boradi.
Kriptotizimlarda foydalanilgan kalitni joriy vaqtdagi hisoblash
qurilmalari orqali hisoblab topishning imkoniyati bo‘lmasligi zarur. Bu
erda kalitni topish deganda biror uzunlikdagi kalitni bo‘lishi mumkin
bo‘lgan barcha variantlarini hisoblab chiqish nazarda tutiladi. Masalan,
kalit uzunligi 4 bitga teng bo‘lsa, u holda bo‘lishi mumkin bo‘lgan variantlar
soni 2ସ ൌ 16 ga teng bo‘ladi yoki umumiy qilib aytganda 𝑛 bitli kalitlarni
bo‘lishi mumkin bo‘lgan variantlari 2 ga teng bo‘ladi.
Hozirgi kunda simmetrik kriptotizimlarda foydalaniluvchi
kalitlarning uzunligi kamida 128 bitli teng bo‘lishi zarur. Quyidagi 3.1-
jadvalda turli uzunlikdagi kalitlarni bo‘lishi mumkin bo‘lgan barcha
variantlarini hisoblash uchun turli qiymatdagi qurilmalardan
foydalanganda sarflanadigan vaqt sarflari keltirilgan. Ko‘rsatilgan
natijalar 2005 yildagi narx asosida keltirilgan.
3.1-jadval
Qurilma narxi Kalit uzunligi
80-bit 112-bit 128-bit
10 000 $ 7 000 yil 1013 yil 1018 yil
100 000 $ 700 yil 1012 yil 1017 yil
1 000 000 $ 70 yil 1011 yil 1016 yil
10 000 000 $ 7 yil 1010 yil 1015 yil
100 000 000 $ 245 kun 109 yil 1014 yil
Nazorat savollari
1. Simmetrik oqimli shifrlarning bir martali bloknotga o‘xshash
va farqli tomonlari. Nima uchun biz simmetrik oqimli shifrlarni bir
martali bloknot kabi bardoshli deb ayta olmaymiz.
2. A5/1 oqimli shifrlash algoritmida 𝑚𝑎𝑗ሺ𝑥଼, 𝑦ଵ, 𝑧ଵሻ funksiyasi
qanday ahamiyatga ega.
3. A5/1 oqimli shifrlash algoritmining har bir qadamida qancha
ketma-ketlik hosil bo‘ladi.
4. A5/1 oqimli shifrlash algoritmidagi 𝑋, 𝑌 va 𝑍 registorlarining
dastlabki qiymati kanday olinadi.
5. A5/1 oqimli shifrlash algoritmi amalda qayerda foydalaniladi
va qanday hisoblash resursini talab etadi.
6. Blokli shifrlash va oqimli shifrlash usullari orasidagi farqni
tushuntiring.
7. Blokli shifrlarda raund va raund funksiyasi tushunchalariga izoh
bering.
8. Simmetrik blokli shifrlarni yaratishda qanday tarmoqlardan
foydalaniladi.
9. Blokli shifrlarda blok uzunligi tushunchasiga izoh bering.
10. Blokli shifrlarda raund kaliti (qism kalit) tushunchasi va uni
shifrlash kalitidan asosiy farqi.
11. Ma’lumot uzatish davomida xalallar natijasida o‘zgarish
ehtimoli mavjud bo‘lsa, simmetrik shifrlar algoritmlarining qaysi
turidan foydalangan maqul.
12. TEA blokli shifrlash algoritmida blok uzunligi, kalit
uzunligi va raundlar soni haqida ma’lumot bering.
13. TEA blokli shifrlash algoritmida kalitdan raund kalitlari
qanday hosil qilinadi.
14. Blokli shifrlashda rejimlar nima va ular nimaga kerak.
15. ECB shifrlash rejimida qanday kamchilik bor va uni kodlar
kitobiga o‘xshash tomoni nimada.
16. Blokli shifrlashda bir xil bloklarni turli shifrmatn bloklari
ko‘rinishida keltirish. SBC rejimi.
17. CBC ejimida shifrmatn blokining o‘zgarinishi ochiq matn
bloklariga qanday ta’sir qiladi.
18. Simmetrik kriptotizimlarga tegishli bo‘lgan umumiy muammolar
nimadan iborat.
19. Simmetrik kriptotizimlarda kalit uzunligi va kalitni bo‘lishi
mumkin bo‘lgan variantlar sonini aniqlashni hisoblash qurilmasiga
bog‘liqligi.
20. Xavfsizlik nuqtai nazaridan hozirgi kunda simmetrik
shifrlarda kalitga qo‘yiladigan talab qanday.
4 - Ma’ruza: Assimetrik shifrlar
Kriptografiya bor joyda shuni bilish kerakki, hech qanday
zo‘ravonlik matematik muammoni echa olmaydi - Jacob
Appelbaum.
Assimetrik shifrlash algoritmlari
• Ma’lumotni shifrlashda va deshifrlash jarayonlarida
turli kalitlardan foydalanadi.
– SHu sababli, kalitlarni taqsimlash muammosi mavjud emas.
• Ochiq kalitli kriptotizimlarni yaratishda “qopqonli”
bir tomonlama funksiyalarga asoslaniladi.
– funksiya bir tomonlama osonlik bilan hisoblanadi, biroq, ushbu
funksiyani teskarisini hisoblash juda ham murakkab.
• Mazkur bir tomonlama funksiyalarga misol sifatida
faktorlash amalini olishimiz mumkin.
– Tub bo‘lgan ikkita p va q sonlarni generatsiyalash va 𝑁 = 𝑝 ∗ 𝑞 ni
hisoblash oson.
– Biroq, N soni etarlicha katta bo‘lganda uni ikkita tub sonning
ko‘paytmasi shaklida ifodalash murakkab vazifa (yuqori hisoblash
imkoniyatini talab etadi).
Kiberxavfsizlik asoslari (CSF1316)
Modul arifmetikasi
• Kriptografiyada 𝑎 sonni 𝑏 songa bo‘lgandagi qoldiq 𝑟 ga teng
bo‘lsa, u holda quyidagicha belgilanadi: 𝑎𝑚𝑜𝑑𝑏 ≡ 𝑟.
– Dasturlash tillarida esa 𝑎%𝑏 kabi belgilanadi.
• Kriptografiyada modul sifatida (ya’ni, bo‘luvchi) faqat tub
sonlardan foydalanish talab etiladi.
– YA’ni, 𝑎 𝑚𝑜𝑑 𝑛 tenglikdagi 𝑛 har doim tub bo‘lishi talab etiladi.
• Misollar:
7𝑚𝑜𝑑3 ≡ 3 ∗ 2 𝑚𝑜𝑑3 + 1𝑚𝑜𝑑3 ≡ 0 + 1 ≡ 1
14𝑚𝑜𝑑3 ≡ 3 ∗ 4 𝑚𝑜𝑑3 + 2𝑚𝑜𝑑3 ≡ 0 + 2 ≡ 2
2𝑚𝑜𝑑3 ≡ 0 ∗ 3 𝑚𝑜𝑑3 + 2𝑚𝑜𝑑3 ≡ 2
5𝑚𝑜𝑑7 ≡ 5
−2𝑚𝑜𝑑5 ≡ −2 + 5 𝑚𝑜𝑑5 ≡ 3𝑚𝑜𝑑5 ≡ 3
−7𝑚𝑜𝑑3 ≡ −7 + 3 𝑚𝑜𝑑3 ≡ −4𝑚𝑜𝑑3 ≡ −4 + 3 𝑚𝑜𝑑3 ≡
− 1𝑚𝑜𝑑3 ≡ −1 + 3 𝑚𝑜𝑑3 ≡ 2
Kiberxavfsizlik asoslari (CSF1316)
Modul arifmetikasi
• 𝟑−𝟏𝒎𝒐𝒅𝟕 ≡ 𝟏
𝟑
𝒎𝒐𝒅𝟕 ≡?
• Ushbu muammoni echishda Evklidning kengaytirilgan
algoritmidan foydalanish mumkin.
• Agar 𝑎−1𝑚𝑜𝑑𝑛 ≡ 𝑏 bo‘lsa, u holda 𝑎 ∗ 𝑏 𝑚𝑜𝑑𝑛 ≡ 1
tenglik o‘rinli bo‘ladi.
3−1𝑚𝑜𝑑7 ≡ 𝑥
7 = 3 ∗ 2 + 1
3 = 1 ∗ 3 + 0
• Demak, 1 soni 3 va 7 sonlari uchun EKUB bo‘ladi.
• Oxirgi tenglikdan boshlab quyidagicha teskari yozish
amalga oshiriladi:
1 = 7 − 3 ∗ 2 = 7 + −2 ∗ 3 = 7 ∗ 1 + −2 ∗ 3
Kiberxavfsizlik asoslari (CSF1316)
Modul arifmetikasi
• Tenglikni ikki tomonini modulga (𝑚𝑜𝑑7) olinadi:
7 ∗ 1 𝑚𝑜𝑑7 + −2 ∗ 3 𝑚𝑜𝑑7 𝑚𝑜𝑑7 ≡ 1𝑚𝑜𝑑7
YOki
−2 ∗ 3 𝑚𝑜𝑑7 ≡ 1𝑚𝑜𝑑7 ≡ 1
• Ushbu tenglikni 3 ∗ 𝑥 𝑚𝑜𝑑7 ≡ 1 ga taqqoslash orqali
𝑥 = −2 ga tengligini yoki −2𝑚𝑜𝑑7 = 5 ligini topish mumkin.
• YA’ni, 3 ∗ 5 𝑚𝑜𝑑7 ≡ 1 tenglik o‘rinli.
Kiberxavfsizlik asoslari (CSF1316)
RSA algoritmi
• RSA ochiq kalitli shifrlash algoritmi mualliflari
bo‘lgan uchta olimlar, Rivest, Shamir va Adleman,
sharafiga qo‘yilgan.
• RSA algoritmi katta sonlarni faktorlash muammosiga
asoslanadi.
• RSA algoritmida quyidagi jarayonlar mavjud:
– Kalitni generatsiyalash;
– SHifrlash;
– Deshifrlash.
Kiberxavfsizlik asoslari (CSF1316)
RSA – kalitlarni generatsiyalash
• Ikkita katta uzunlikdagi 𝒑 va 𝒒 sonlari tanlanadi.
• Ularning ko‘paytmasi hisoblanadi: 𝑵 = 𝒑 ∗ 𝒒.
• Eyler funksiyasi hisoblanadi: 𝑵 = 𝒑 − 𝟏 ∗ 𝒒 − 𝟏 .
– Eyler funksiyasi 𝑵 sonidan kichik va u bilan o‘zaro tub bo‘lgan
sonlar miqdorini ko‘rsatadi.
• 𝝋 𝑵 bilan o‘zaro tub bo‘lgan 𝒆 soni tanlanadi.
• 𝒆𝒅 = 𝟏 𝒎𝒐𝒅 𝝋 𝑵 shartni qanoatlantiruvchi 𝒅 soni
hisoblanadi.
• Demak,
– (𝑵, 𝒆) ochiq kalit jufti
– 𝒅 maxfiy kalitni tashkil etadi.
• SHundan so‘ng, 𝒑 va 𝒒 sonlar o‘chirib tashlanadi.
Kiberxavfsizlik asoslari (CSF1316)
RSA – shifrlash va deshifrlash
• SHifrlash:
– 𝐶 = 𝑀𝑒 𝑚𝑜𝑑 𝑁.
• Deshifrlash:
– 𝑀 = 𝐶𝑑 𝑚𝑜𝑑 𝑁.
Kiberxavfsizlik asoslari (CSF1316)
Misol
• 𝑝 = 11 va 𝑞 = 3 ga teng bo‘lsin.
• 𝑁 = 𝑝 ∗ 𝑞 = 33 ga teng bo‘ladi.
• 𝜑 𝑁 = 𝑝 − 1 𝑞 − 1 = 20 ga teng bo‘ladi.
• U holda, 𝑒 = 3 ga teng bo‘lsin.
• Evklidning kengaytirilgan algorimtiga ko‘ra 𝑑 = 7.
– YA’ni, 𝑒𝑑 = 3 ∗ 7 = 1 𝑚𝑜𝑑 20.
• Ochiq kaliti jufti 𝑁, 𝑒 = 33,3 .
• SHaxsiy kaliti esa 𝑑 = 7.
Kiberxavfsizlik asoslari (CSF1316)
Misol
• Faraz qilaylik:
• B tomon A tomonga 𝑀 = 15 ma’lumotni shifrlash
yubormoqchi:
– Buning uchun B tomon A tomonning ochiq kaliti juftini 𝑁, 𝑒 =
(33,3) oladi.
– SHifrmatnni quyidagicha hisoblaydi:
• 𝐶 = 𝑀𝑒 𝑚𝑜𝑑 𝑁 = 153 = 3375 = 9 𝑚𝑜𝑑 33
– Uni A tomonga yuboradi.
• A tomon 𝐶 = 9 shifrmatnni deshifrlash uchun:
– shaxsiy kalit 𝑑 = 7 dan foydalanadi
• 𝑀 = 𝐶𝑑 𝑚𝑜𝑑 𝑁 = 97 = 4782969 = 144938 ∗ 33 + 15 = 15 𝑚𝑜𝑑 33.
Kiberxavfsizlik asoslari (CSF1316)
RSA algoritmi
• RSA algoritmida kichik tub sonlardan ( 𝑝 va 𝑞 uchun )
foydalanilgan taqdirda, hujumchi ochik bo‘lgan 𝑁 ni
osonlik bilan ikkita tub sonning ko‘paytmasi
ko‘rinishiga yozish mumkin.
• SHuning uchun RSA algoritmidan amalda foydalanish
uchun tanlanuvchi tub sonlar uzunligi kamida 2048 bit
bo‘lishi talab etiladi.
• RSA algoritmini buzishning faktorlash muammosini
echishdan tashqari biror usuli aniqlanmagan.
Kiberxavfsizlik asoslari (CSF1316)
Ochiq kalitli kriptotizimlardan foydalanish
• A tomonning ochiq kaliti bilan xabar 𝑀 ni shifrlash:
𝐶 = {𝑀}𝐴.
• 𝐴 tomonning shaxsiy kaliti bilan shifrmatnni
deshifrlash: 𝑀 = [𝐶]𝐴.
• Bundan esa quyidagi tenglikni osonlik bilan yozish
mumkin: [{𝑀}𝐴]𝐴= 𝑀.
Kiberxavfsizlik asoslari (CSF1316)
Ochiq kalitli kriptotizimlardan foydalanish
• Simmetrik shifrlar bilan bajargan ixtiyoriy
amalingizni, ochiq kalitli shifrlash algoritmlari bilan
ham amalga oshirish mumkin.
• Simmetrik kriptotizimlar kabi ochiq kalitli
kriptotizimlardan ham ma’lumotni butunligini
ta’minlashda foydalaniladi.
• Biroq, jarayon ko‘proq vaqt talab etadi.
• Ochiq kalitli kriptotizimlar simmetrik
kriptotizimlarda mavjud bo‘lgan kalitni taqsimlash
muammosini o‘zida bartaraf etgan.
Kiberxavfsizlik asoslari (CSF1316)
Gibrid kriptotizim
Kiberxavfsizlik asoslari (CSF1316)
A tomon B tomon
{ K } B
E(B tomon ma’lumoti, K)
E(A tomon ma’lumoti, K)
Ochiq kalitli kriptotizimlarda kalit uzunligi
Simmetrik shifrlash algoritmi RSA algoritmi (𝑝 va 𝑞 sonlari)
56 bit 512 bit
80 bit 1024 bit
112 bit 2048 bit
128 bit 3072 bit
192 bit 7680 bit
256 bit 15360 bit
Kiberxavfsizlik asoslari (CSF1316)
Simmetrik va ochiq kalitli kriptotizimlar bir
xil bardoshlikka ega bo‘lganda ulardagi
kalitlarning uzunliklari
Faktorlash hujumi
• Natijalar bir sekundda millionta amal bajaruvchi (one-
million-instruction-per-second, mips) kompyuter yoki yiliga
1013 amal bajarishi hisobida olingan.
Kiberxavfsizlik asoslari (CSF1316)
𝑁 ning bitdagi uzunligi Talab etiluvchi yillar
512 30 000
768 2*108
1024 3*1011
1280 1014
1536 3*1016
2048 3*1020
• Hisoblash qurilmalari imkoniyatining ortishi
kriptografik algoritmlarning bardoshligini
kamayishiga olib keladi.
E’TIBORINGIZ UCHUN
RAXMAT!!!
5-ma’ruza. Ma’lumotning butunligi
Kutiladigan natija:
- xeshlashdan “barmoq izini” va elektron raqamli imzoni hosil qilishda
foydalanishni muhokama qilish;
- simmetrik shifrlash algoritmlaridan ma’lumot butunligini
tekshirishda foydalanishni muhokama qilish;
- ochiq kalitli kriptotizimlardan ham konfidensiallik ham rad
etishdan himoyalashni ta’minlashda foydalanishni muhokama qilish;
- ochiq kalitli kriptotizimlardan ham butunlikni ham rad etishdan
himoyalashni ta’minlashda foydalanishni muhokama qilish;
- ochiq kalitli kriptotizimlarda ochiq kalit egasini aniqlashda PKI
tizimlaridan foydalanishni muhokama qilish.
Simmetrik shifrlash algoritmlaridan ma’lumot butunligini
tekshirish
Bundan oldingi ma’ruzalarda har ikkala shifrlash algoritmlaridan
(simmetrik va ochiq kalitli) faqat ma’lumotni konfidensiyalligini
ta’minlashda foydalanish haqida aytib o‘tildi. Mazkur ma’ruzada esa
ulardan ma’lumotni butunligini tekshirishda foydalanish tartibi bilan
tanishib o‘tiladi.
2-ma’ruzada xesh – funksiyadan foydalanib ma’lumotni butunligini
tekshirishning sodda usuli keltirilgan edi. Biroq, ushbu usulda jiddiy
xavfsizlik muammosi bo‘lgani bois, undan amalda foydalanilmaydi. YA’ni,
2.4-rasmda keltirilgan usulda hujumchi tomonidan faqat ma’lumot
o‘zgartirilgan holda butunlikni tekshirish imkonyati mavjud. Biroq,
hujumchi ham ma’lumotni ham xesh qiymatni almashtirish orqali
foydalanuvchini osonlik bilan ma’lumot butunligiga ishontirish mumkin.
Buning asosiy sababi, ma’lumotni xesh qiymatini hosil qilishda hujumchiga
noma’lum biror axborotdan foydalanilmaganligidir.
Ushbu muammoni bartaraf etuvchi – xabarlarni autentifikatsiyalash
kodi (message authentication code, MAC) tizimlari mavjud bo‘lib, unga ko‘ra
biror maxfiy kalit asosida ma’lumotning xesh qiymati hisoblanadi (5.1-
rasm).
MAC MAC =? MAC
Kalit Kalit
Ma’lumot Ma’lumot
Jo‘natuvchi Qabul qiluvchi
5.1-rasm. MAS tizimi
MAC tizimlarini ishlab chiqishda blokli shifrlardan ham
foydalanish mumkin. Buning uchun blokli shifrni CBC rejimida
foydalanish va eng oxirgi shifrmatn blokini olishning o‘zi etarli
(qolganlari tashlab yuboriladi). Ushbu oxirgi shifrmatn bloki MAC
sifatida xizmat qiladi. Mazkur holda 𝑁𝑁 blokdan iborat bo‘lgan ma’lumot
bloklari, 𝑃𝑃0, 𝑃𝑃1, 𝑃𝑃2 , … , 𝑃𝑃𝑁𝑁−1 uchun MAC quyidagi formula orqali
hisoblanadi:
𝐶𝐶0 = 𝐸𝐸(𝑃𝑃0⨁𝐼𝐼𝐼𝐼, 𝐾𝐾), 𝐶𝐶1 = 𝐸𝐸(𝑃𝑃1⨁𝐶𝐶0, 𝐾𝐾), … , 𝐶𝐶𝑁𝑁−1 = 𝐸𝐸(𝑃𝑃𝑁𝑁−1⨁𝐶𝐶𝑁𝑁−2, 𝐾𝐾) =
𝑀𝑀𝑀𝑀𝐶𝐶.
Buning uchun har ikkala tomonda 𝐼𝐼𝐼𝐼 va 𝐾𝐾 ni bo‘lishining o‘zi etarli.
Faraz qilaylik, A va B tomonlardan uzatilayotgan ma’lumotlarini
butunligini tekshirish talab etilgan bo‘lsin (bu erda ma’lumotni
konfidensialligini ta’minlash masalasi qaralmagan). Bu holda A va B
tomonlar orasida xavfsiz taqsimlangan 𝐾𝐾 kalit yordamida A tomon 𝑀𝑀𝑀𝑀𝐶𝐶 ni
hisoblanadi va ma’lumot va 𝐼𝐼𝐼𝐼 ga qo‘shib B ga uzatadi. Bu holda B tomon
ma’lumot, 𝐾𝐾 va 𝐼𝐼𝐼𝐼 yordamida 𝑀𝑀𝑀𝑀𝐶𝐶 ni hisoblaydi. Agar hisoblangan "𝑀𝑀𝑀𝑀𝐶𝐶"
qabul qilingan 𝑀𝑀𝑀𝑀𝐶𝐶 ga teng bo‘lsa, ma’lumot o‘zgartirilmagan aks holda
o‘zgartirilgan deb topiladi.
Qanday qilib, ikkita hisoblangan 𝑀𝑀𝑀𝑀𝐶𝐶 qiymatlar turlicha bo‘lishi
mumkin? Faraz qilaylik A tomon quyidagilarni B ga yuborgan bo‘lsin:
𝐼𝐼𝐼𝐼, 𝑃𝑃0, 𝑃𝑃1, 𝑃𝑃2, 𝑃𝑃3, 𝑀𝑀𝑀𝑀𝐶𝐶.
Faraz qilaylik hujumchi birinchi blok 𝑃𝑃1 ni o‘zgartirdi (uni 𝑄𝑄 deb
belgilaymiz) va bu holda B tomon MAC ni quyidagicha hisoblaydi:
𝐶𝐶0 = 𝐸𝐸(𝑃𝑃0⨁𝐼𝐼𝐼𝐼, 𝐾𝐾), 𝐶𝐶
́1 = 𝐸𝐸(𝑄𝑄⨁𝐶𝐶0, 𝐾𝐾),
𝐶𝐶
́2 = 𝐸𝐸�𝑃𝑃2⨁
𝐶𝐶
́1, 𝐾𝐾�,
𝐶𝐶
́3 =
𝐸𝐸�𝑃𝑃3⨁𝐶𝐶
́2, 𝐾𝐾� = "𝑀𝑀𝑀𝑀𝐶𝐶" ≠ 𝑀𝑀𝑀𝑀𝐶𝐶.
YA’ni, ochiq matndagi bir blokning o‘zgarishi keyingi barcha bloklarga
ta’sir qiladi va buning natijasida shifrmatn bloklari turlicha bo‘ladi.
Bizga ma’lumki, CBC rejimida shifrmatndagi bir blok o‘zgarishi
deshifrlanganda faqat 2 ta ochiq matn blokiga ta’sir qiladi. Biroq, ochiq
matnning bir blokini o‘zgarishi undan keyingi barcha shifrmatn bloklariga
ta’sir qiladi va bu MAC tizimlari uchun juda muhim.
Albatta, mazkur usul MAC tizimlarini yaratishning yagona usuli emas.
Quyida xesh funsiyalar asosida MAC tizimlarini yaratish bilan tanishib
chiqiladi.
Xesh – funksiyalar asosida ma’lumot butunligini tekshirish
YUqorida 𝑀𝑀 ma’lumot butunligini tekshirishda ℎ(𝑀𝑀) ni hisoblash va
qabul qiluvchiga 𝑀𝑀, ℎ(𝑀𝑀) ni yuborish orqali amalga oshirishning kamchiligi
haqida aytib o‘tilgan edi. SHuning uchun, amalda xesh funksiyalardan
ma’lumot butunligini ta’minlashda bevosita foydalanilmaydi. Boshqa so‘z
bilan aytganda, xesh funksiyalardan ma’lumot butunligini ta’minlashda
hisoblangan xesh qimatni o‘zgartira olmaslikni kafolatlash maqsad
qilinadi. Buni amalga oshirish uchun balki xesh qiymatni simmetrik kalitli
shifrlar asosida shifrlash zarurdir (ya’ni, 𝐸𝐸(ℎ(𝑀𝑀), 𝐾𝐾)). Biroq, buni amalga
oshirishning soddaroq usuli – xeshlangan MAS (hashed MAC yoki HMAC)
mavjud.
Bunga ko‘ra, xesh qiymatn shifrlashning o‘rniga, xesh qiymatni hisoblash
jarayonida kalitni bevosita ma’lumotga biriktirish amalga oshiriladi.
HMAC tizimida kalitlar qanday biriktiriladi? Umumiy holda ikki usul:
kalitni matnni oldidan qo‘yish (ℎ(𝐾𝐾, 𝑀𝑀)) yoki kalitni matndan keyin qo‘yish
(ℎ(𝑀𝑀, 𝐾𝐾)) mavjud bo‘lsada, ularning har ikkalasida jiddiy xavfsizlik
muammosi mavjud.
Xesh funksiyalar ham simmetrik kriptotizim hisoblanadi va
simmetrik blokli shifrlash kabi ma’lumotni xeshlashda bloklarga ajratadi.
Odatda aksariyat xesh funksiyalar uchun (masalan, MD5, SHA1, Tiger) blok
uzunligi 64 baytga yoki 512 bitga teng.
HMAC tizimida kalit ma’lumotga quyidagicha biriktiriladi. Dastlab
xesh funksiyadagi blokning uzunligi baytlarda aniqlanadi. Masalan. MD5
xesh fuknsiyasida blok uzunligi 𝐵𝐵 = 64 baytga teng. Olingan kalit (𝐾𝐾)
uzunligi ham blok uzunligiga olib kelinadi. Bunda 3 ta holat bo‘lishi
mumkin: (1) agar kalitning uzunligi 64 baytga teng bo‘lsa, hech qanday o‘zgarish
amalga oshirilmaydi, (2) agar kalitning uzunligi 64 dan kichik bo‘lsa, u holda
etmagan baytlar o‘rni nollar bilan to‘ldiriladi, (3) agar kalit uzunligi blok
uzunligidan katta bo‘lsa, kalit dastlab xeshlanadi va hosil bo‘lgan xesh
qiymatning o‘ng tomonidan blok uzunligiga etguncha nollar bilan
to‘ldiriladi. SHu tariqa, kalit uzunligi blok uzunligiga moslashtiriladi.
Quyidagi 𝑖𝑖𝑖𝑖𝑖𝑖𝑖𝑖 va 𝑜𝑜𝑖𝑖𝑖𝑖𝑖𝑖 o‘zgaruvchilar quyidagicha hosil qilinadi:
𝑖𝑖𝑖𝑖𝑖𝑖𝑖𝑖 = 0𝑥𝑥36 ni 𝐵𝐵 marta takrorlash natijasida
𝑜𝑜𝑖𝑖𝑖𝑖𝑖𝑖 = 0𝑥𝑥5𝑐𝑐 ni 𝐵𝐵 marta takrorlash natijasida
Bu holda HMAC quyidagicha hisoblanadi:
𝐻𝐻𝑀𝑀𝑀𝑀𝐶𝐶(𝑀𝑀, 𝐾𝐾) = 𝐻𝐻�𝐾𝐾 ⊕ 𝑜𝑜𝑖𝑖𝑖𝑖𝑖𝑖, 𝐻𝐻(𝐾𝐾⨁𝑖𝑖𝑖𝑖𝑖𝑖𝑖𝑖, 𝑀𝑀)�.
Tenglikdan ko‘rinib turibdiki, HMAC da ikki marata xeshlash amalga
oshirilmoqda. Kalit 𝐾𝐾 faqat ikki tomonga (yuboruvchi va qabul qiluvchiga)
ma’lum bo‘lgani uchun, hujumchi mos xesh qiymatni qayta hisoblay olmaydi. A
tomondan yuborilgan (𝑀𝑀, 𝐻𝐻𝑀𝑀𝑀𝑀𝐶𝐶(𝑀𝑀, 𝐾𝐾)) ma’lumot juftlaridan hujumchi
faqat ma’lumotni o‘zgartirishi mumkin bo‘ladi va bu holat qabul qiluvch
tomonidan osonlik bilan aniqlanadi.
Ochiq kalitli shifrlash algoritmlari asosida ma’lumot
butunligini tekshirish va rad-etishdan himoyalash
Mazkur bo‘limda ochiq kalitli kriptotizimlar va xesh funksiyalar
asosida ishlovchi – elektron raqamli imzo tizimlari bilan tanishib o‘tiladi.
O‘zbekiston Respublikasining Elektron raqamli imzo to‘g‘risidagi qonunida
elektron raqamli imzoga quyidagicha ta’rif berilgan:
“Elektron raqamli imzo (ERI) — elektron hujjatdagi mazkur
elektron hujjat axborotini elektron raqamli imzoning yopiq kalitidan
foydalangan holda maxsus o‘zgartirish natijasida hosil qilingan hamda
elektron raqamli imzoning ochiq kaliti yordamida elektron hujjatdagi
axborotda xatolik yo‘qligini aniqlash va elektron raqamli imzo yopiq
kalitining egasini identifikatsiya qilish imkoniyatini beradigan imzo”.
Elektron raqamli imzo oddiy qo‘lda qo‘yiluvchi imzo kabi bo‘lib, faqat
elektron hujjatlarda qo‘yiladi va imzo qo‘yilgan ma’lumotni butunligini
ta’minlaydi va imzolovchini qo‘yilgan imzodan bosh tortmasligini (rad
etmasligini) kafolatlaydi. Axborot xavfsizligada rad etish muammosi
mavjud bo‘lib, unga ko‘ra foydalanuvchi hujjatni imzolaganini rad etadi
(ya’ni, men imzolamadim deb turib oladi). Mazkur muammoni oldini olish
uchun aynan elektron raqamli imzo tizimlari foydalaniladi.
SHunday qilib, ERI tizimlari nafaqat ma’lumotning butunligini
ta’minlaydi va balki imzolovchini majburiyatlardan qochishiga yo‘l
qo‘ymaydi (yoki rad etishni oldini oladi). SHu sababli, ERI tizimlari faqat
ma’lumotni butunligini ta’minlovchi simmetrik kriptotizimlarga
asoslangan MAS tizimlaridan ajralib turadi.
MAS tizimlarida xesh qiymatni qayta hisoblay olmaslik uchun, matnga
kalit biriktirilgan bo‘lsa, ERI tizimlarida ma’lumotning xesh qiymati
shaxsiy kaliti bilan “shifrlash” lanadi va ERI hosil qilinadi. Ushbu
xabarni “deshifrlash” uchun esa tomonning ochiq kalitini bilishning o‘zi
etarli. Demak, oddiy imzo tizimiga o‘xshash (oddiy imzo tizimida bir kishi
imzo qo‘yadi va qolganlar uni haqiqiyligini tekshirishi talab etiladi) ERI
tizimida ham shaxsiy kalit egasi xabarni imzolaydi, qolganlar esa uni ochiq
kalitidan foydalangan holda imzoni haqiqiyligini tekshiradi.
Agar A tomon xabar 𝑀𝑀 ga imzo qo‘ygan bo‘lgan u holda imzo 𝑆𝑆 = [𝑀𝑀]𝐴𝐴
shaklida ifodalanadi (xuddi ochiq kalitli kriptografiyada shaxsiy kalit
bilan deshifrlash kabi). ERI tizimlari ikkita jarayondan iborat: ERIni
shakllantirish va ERIni tekshirish (5.2-rasm).
5.2-rasm. ERI sxemasi
ERIni shakllantirish jarayoni. Faraz qilinsin, A tomondan 𝑀𝑀
xabarni imzolash talab etilsin. Buning uchun xabar 𝑀𝑀 ning xesh qiymati
hisoblanadi: 𝐻𝐻 = ℎ(𝑀𝑀). SHundan so‘ng, xabarning xesh qiymati 𝐻𝐻
foydalanuvchining shaxsiy kaliti bilan “shifrlanadi” (bu haqiqiy
shifrlash emas, shunchaki shaxsiy kalit bilan 𝐻𝐻 ustiga biror amal
bajarishdan iborat) va imzo 𝑆𝑆 = [𝐻𝐻]𝐴𝐴. Hosil qilingan imzo ma’lumotga
biriktirilib {𝑀𝑀, 𝑆𝑆} qabul qiluvchiga uzatiladi.
ERIni tekshirish jarayoni. Faraz qilinsin, 𝐵𝐵 tomondan 𝑀𝑀′ xabarga
qo‘yilgan imzo 𝑆𝑆 ni tekshirish talab etilsin. Buning uchun 𝐵𝐵 tomon dastlab
xabar 𝑀𝑀′ ni xesh qiymatini hisoblaydi: 𝐻𝐻′ = ℎ(𝑀𝑀′). 𝑀𝑀 tomonning ochiq
kaliti bilan 𝑆𝑆 ni “deshifrlaydi” (bu haqiqiy deshifrlash emas, shunchaki
ochiq kalit bilan 𝑆𝑆 ustiga biror amal bajargan holda 𝐻𝐻 tiklash) va 𝐻𝐻 ni hosil
qiladi. Agar ikki xesh qiymatlar (𝐻𝐻 va 𝐻𝐻′) o‘zaro teng bo‘lsa, ERI to‘g‘ri deb
topiladi (demak xabar butun).
Rad – etishdan himoyalashni tushunishdan oldin, MAS asosida
butunlikni ta’minlashga bir sodda misol olsak. Faraz qilaylik 𝑀𝑀 tomon
o‘zining sevimli dalloli 𝐵𝐵 tomonga 100 ta aksiyasini olishga buyurtma berdi.
Berilgan buyurmani butunligina ta’minlash uchun 𝑀𝑀 tomon 𝐵𝐵 tomon bilan
taqsimlangan kalit 𝐾𝐾𝐴𝐴𝐴𝐴 yordamida MAS ni hisobladi. Ma’lum vaqt o‘tgandan
so‘ng, buyurtmalar tayyor bo‘ladi. Biroq, 𝑀𝑀 tomon to‘lovni amalga oshirishdan
oldin aksiyalarning narxi tushib ketadi. Bu vaqtda esa, 𝑀𝑀 tomon buyurtmani
men bermadim deb turib oladi va ni rad etadi. Sababi, butunlikni
ta’minlash uchun hisoblangan MAC ni har ikkala tomon ham hosil qila oladi.
Mazkur holat ERI bilan amalga oshirilsachi? YA’ni, 𝑀𝑀 tomon
buyurtmani o‘zining shaxsiy kaliti bilan imzolab 𝐵𝐵 tomonga yuboradi. Bu
erda 𝑀𝑀 tomon buyurmani men bermadim deb rad eta olmaydi. Sababi,
buyurtmani imzolash faqat shaxsiy kalit bilan amalga oshiriladi. SHaxsiy
kalit esa, faqat 𝑀𝑀 tomonga ma’lum.
Ochiq kalitli shifrlash algoritmlari asosida ma’lumot
konfidensialligini ta’minlash va rad-etishdan himoyalash
Faraz qilinsin, 𝑀𝑀 va 𝐵𝐵 tomonlar ochiq kalitli kriptotizimlardan
foydalanish imkoniyati mavjud hamda 𝑀𝑀 tomon 𝐵𝐵 tomonga 𝑀𝑀 xabarni
yuborishni istaydi. Agar konfidensiallikni ta’minlash uchun 𝑀𝑀 tomoni 𝐵𝐵
tomonning ochiq kaliti bilan xabar 𝑀𝑀 ni shifrlasa, butunlik va rad etishdan
himoyalash uchun 𝑀𝑀 tomon shaxsiy kaliti bilan 𝑀𝑀 xabarga imzo qo‘yadi. Biroq,
faraz qilinsin, 𝑀𝑀 tomon ma’lumotni konfidensialligi va rad etishdan
himoyalanishini istaydi. Buning uchun esa 𝑀𝑀 tomon shunchaki shifrlash yoki
imzolash bilan muammoni echa olmaydi.
Bir qarashda 𝑀𝑀 tomon 𝑀𝑀 xabarga birinchi imzo qo‘yib, so‘ng shifrlashi
va 𝐵𝐵 tomonga yuborishining o‘zi etarlidek tuyuladi, ya’ni:
{[𝑀𝑀]𝐴𝐴}𝐴𝐴
YOki, birinchi shifrlab keyin imzolash 𝑀𝑀 tomon uchun yaxshidek ko‘rinar,
ya’ni:
[{𝑀𝑀}𝐴𝐴]𝐴𝐴
Xo‘sh? YUqoridagilardan qay biri masalaga to‘g‘ri echim bo‘la oladi.
Keling, yuqoridagi holatlar uchun misollar qarab chiqaylik.
Birinchi holat. Farz qilaylik 𝑀𝑀 va 𝐵𝐵 tomonlar orasida ishqiy
munosabat bo‘lsin va 𝑀𝑀 tomon 𝐵𝐵 tomonga quyidagi xabarni yuborishga qaror
qildi:
𝑀𝑀 = "𝐼𝐼 𝑙𝑙𝑜𝑜𝑙𝑙𝑙𝑙 𝑦𝑦𝑜𝑜𝑦𝑦"
Buning uchun u birinchi imzolash va keyin shifrlash ketma-ketligidan
foydalanmoqchi va 𝐵𝐵 ga quyidagini yuboradi:
{[𝑀𝑀]𝐴𝐴}𝐴𝐴
SHundan so‘ng, 𝑀𝑀 va 𝐵𝐵 tomonlar orasida ozgina kelishmovchilik kelib
chiqadi va 𝐵𝐵 tomon janjal boshlamoqchi bo‘ladi. Buning uchun qabul qilingan
xabarni deshifrlaydi va [𝑀𝑀]𝐴𝐴 ga ega bo‘ladi va uni uchinchi 𝐶𝐶 tomonning ochiq
kalitidan foydalanib shifrlaydi va 𝐶𝐶 yuboradi (5.3-rasm):
{[𝑀𝑀]𝐴𝐴}𝐶𝐶
Albatta mazkur holatda, 𝐶𝐶 tomon 𝑀𝑀 tomon uni yaxshi ko‘rarkan deb
o‘ylaydi va bu ikkala 𝑀𝑀 va S tomonlar uchun muammo olib kelsa, 𝐵𝐵 tomon esa
bundan huzur qiladi.
5.3-rasm. Imzo qo‘yish va shifrlash sxemasi muammosi
Mazkur holatdan xulosa chiqargan 𝑀𝑀 tomon konfidensiallikni
ta’minlash uchun imzolash va shifrlash sxemasi mos emasligini biladi.
SHuning uchun bundan keyin mazkur holatlarda shifrlash va keyin imzolash
sxemasidan foydalanishni qaror qiladi.
Ma’lum vaqtdan so‘ng, 𝑀𝑀 va 𝐵𝐵 tomonlar o‘zaro kelishib olishdi. SHundan
so‘ng 𝑀𝑀 tomon bir yangi nazariyani yaratdi va 𝐵𝐵 tomon bilan ulanishni istadi.
Mazkur holatda xabar quyidagicha bo‘lsin:
𝑀𝑀 = "𝐵𝐵𝐵𝐵𝑜𝑜𝐵𝐵𝐵𝐵𝑜𝑜𝐵𝐵𝑖𝑖𝑦𝑦𝐵𝐵𝑦𝑦𝐵𝐵𝑙𝑙𝐵𝐵 𝑖𝑖𝐵𝐵𝑙𝑙 𝐵𝐵ℎ𝑖𝑖𝐵𝐵 𝑖𝑖𝐵𝐵 𝑜𝑜𝐵𝐵𝑙𝑙 𝑙𝑙𝐵𝐵𝑖𝑖, 𝑚𝑚𝑦𝑦𝑐𝑐ℎ 𝑚𝑚𝑦𝑦𝑐𝑐ℎ 𝐵𝐵ℎ𝑖𝑖𝑐𝑐𝑖𝑖𝑙𝑙𝐵𝐵
𝑖𝑖𝐵𝐵 𝐵𝐵ℎ𝑙𝑙 𝑚𝑚𝑖𝑖𝑖𝑖𝑖𝑖𝑙𝑙𝑙𝑙, 𝐵𝐵ℎ𝑙𝑙𝐵𝐵 𝐵𝐵ℎ𝑖𝑖𝐵𝐵 𝑖𝑖𝑎𝑎𝑖𝑖𝑖𝑖𝐵𝐵 𝑖𝑖𝐵𝐵 𝐵𝐵ℎ𝑙𝑙 𝑜𝑜𝐵𝐵ℎ𝑙𝑙𝐵𝐵 𝑙𝑙𝐵𝐵𝑖𝑖"
𝑀𝑀 tomon xabarni yuborishda shifrlash va imzolash sxemasidan
foydalandi:
[{𝑀𝑀}𝐴𝐴]𝐴𝐴
Bu vaqtda kelib, 𝐶𝐶 tomon 𝑀𝑀 va 𝐵𝐵 tomonlar bilan xanuzgacha xafa va
ulardan “o‘ch olishni” istaydi hamda 𝑀𝑀 va 𝐵𝐵 tomonlar orasida joylashib,
barcha o‘tuvchi xabarlarni to‘sib qoladi. Bundan tashqari, 𝐶𝐶 tomon 𝑀𝑀 tomon shu
kunlarda bir yangilik ustida ish olib borayotganidan xabardor. SHuning uchun
𝑀𝑀 tomondan uzatiladigan har bir xabarni muhim deb hisoblaydi. 𝐶𝐶 tomon 𝑀𝑀
tomondan uzatilgan shifrlangan va imzolangan xabarni muhim deb
hisoblaydi va uni tutib oladi. SHundan so‘ng shifrlangan xabar {𝑀𝑀}𝐴𝐴 ga o‘z
nomidan imzo qo‘yadi (5.4-rasm):
[{𝑀𝑀}𝐴𝐴]𝐶𝐶
𝐵𝐵 tomon mazkur xabarni qabul qilgandan so‘ng, uni 𝐶𝐶 tomon yuborganini
aniqlaydi va deshiflagandan so‘ng 𝐶𝐶 tomon haqiqatda yangi nazariyani yaratgan
deb hisoblaydi va 𝐶𝐶 tomonni rag‘batlantiradi. Bu holatdan so‘ng, 𝑀𝑀 tomon
shifrlash va imzolash sxemasi ham o‘rinli emasligini aniqlaydi.
5.4-rasm. SHifrlash va imzolash sxemasidagi muammo
Birinchi misolda, 𝐶𝐶 tomon {[𝑀𝑀]𝐴𝐴}𝐶𝐶 ni 𝑀𝑀 dan 𝐶𝐶 ga kelgan deb o‘yladi. Bu
esa to‘g‘ri fikr emas. Sababi, 𝐶𝐶 tomonning ochiq kaliti barchaga ma’lum va u
bilan ixtiyoriy kishi biror ma’lumotni shifrlab yuborishi mumkin.
Ikkinchi misolda esa, [{𝑀𝑀}𝐴𝐴]𝐶𝐶 xabarning haqiqiy muallifini 𝐵𝐵 tomon
𝐶𝐶 tomon deb o‘yladi. Biroq, bu o‘rinda ham 𝐵𝐵 tomonning ochiq kaliti barchaga
ochiq bo‘lgani uchun, ixtiyoriy kishi shifrlab yuborishi mumkin. 𝐶𝐶 tomon
shifrmatnga imzo qo‘ygan bo‘lsada, u ma’lumotni 𝐶𝐶 tomon shifrlaganini
anglatmaydi.
Har ikkala holda ham asosiy muammo, qabul qiluvchini ochiq kalitli
kriptotizimlar aslida qanday ishlashini bilmasligidadir. Ochiq kalitli
kriptotizimlar bilan bog‘liq bo‘lgan cheklanishlar mavjud. Bular ochiq kalit
bilan ixtiyoriy kishi ma’lumotni shifrlay olishi yoki imzoni ixtiyoriy
kishi tekshiri olishidir. SHuning uchun, ochiq kalitli kriptotizimlardan
foydalanganda mavjud holatni e’tiborga olish tavsiya etiladi.
Ochiq kalitlar infratuzilmasi (Public key infrastructure, PKI)
Ochiq kalitli kriptografiya bilan bog‘liq bo‘lgan muammolardan yana
biri bu - ochiq kalitning kimga tegishli ekanligini aniqlashdir. Faraz
qilaylik, 𝑀𝑀 tomon biror maxfiy xabar 𝑀𝑀 ni 𝐵𝐵 tomonga yubormoqchi. Buning
uchun 𝑀𝑀 tomon 𝐵𝐵 tomonning ochiq kalitidan foydalanadi. Biroq, g‘arazli
niyatda bo‘lgan 𝐶𝐶 tomon o‘z ochiq kalitini 𝑀𝑀 tomonga 𝐵𝐵 tomonni ochiq kaliti
sifatida taqdim etadi. 𝑀𝑀 tomonni mazkur holatni tekshirish imkoniyati
bo‘lmagani bois, unga ishonadi va maxfiy xabarni 𝐶𝐶 tomonning ochiq kaliti
bilan shifrlaydi.
Mazkur muammoni oldini olish uchun ochiq kalitli kriptografik
tizimlarda ochiq kalitlar infratuzilmasidan foydalaniladi.
Ochiq kalitlar infratuzilmasi yoki PKI real hayotda ochiq kalitli
kriptotizimlardan xavfsiz foydalanish uchun talab etiluvchi barcha narsani
o‘z ichiga oladi. PKI tarkibidan barcha narsalarning birgalikda ishlashi juda
ham murakkab jarayon bo‘lib, quyida ularning ayrim tashkil etuvchilari va
PKI ning asosiy vazifalari bilan tanishib chiqiladi.
Raqamli sertifikat (yoki ochiq kalit sertifikati yoki qisqacha
sertifikat) foydalanuvchining ismi va uning ochiq kalitidan iborat bo‘ladi
(amalda foydalanuvchiga va sertifikatga tegishli ma’lmotlar ham bo‘ladi) va
u sertifikat markazi (certificate authorit yoki CA) tomonidan imzolanadi.
Masalan, 𝑀𝑀 tomonning sertifikati quyidagidan iborat bo‘ladi:
𝑀𝑀 = (A tomon nomi, 𝑀𝑀 tomoning ochiq kaliti) va 𝑆𝑆 = [𝑀𝑀]𝐶𝐶𝐴𝐴.
Ushbu sertifikatni tekshirish uchun 𝐵𝐵 tomon {𝑆𝑆}𝐶𝐶𝐴𝐴 ni hisoblaydi va 𝑀𝑀
ga tengligini tekshiradi.
𝐶𝐶𝑀𝑀 tomoni odatda ishonchli uchunchi tomon (trusted third party yoki TTP)
sifatida qaraladi. YA’ni, odatda 𝑀𝑀 foydalanuvchi uchun shaxsiy va ochiq
kalitlar juftini generatsiya qiladi. SHaxsiy kalitni 𝑀𝑀 tomoning o‘ziga
taqdim etadi va o‘zidan o‘chirib tashlaydi. Ochiq kalitni esa sertifikat
shaklida taqdim etadi. Agar 𝐵𝐵 tomon 𝑀𝑀 tomonga biror ma’lumotni shifrlab
yubormoqchi bo‘lsa, uning sertifikatidan foydalanadi. Buning uchun
sertifikatdagi imzoni tekshirishi talab etadi. Bu esa o‘z navbatida 𝐵𝐵
tomonga 𝐶𝐶𝑀𝑀 ni ochiq kalitini (ya’ni, unga teng bo‘lgan sertifikatni) bilishni
talab etadi. Bundan kelib chiqadiki, 𝐶𝐶𝑀𝑀 tomoning ochiq kaliti (yoki
sertifikati) oldindan foydalanilayotgan tizimda mavjud bo‘ladi va bu
haqida barcha ma’lumotga ega bo‘ladi.
Nazorat savollari
1. 2.4-rasmda keltirilgan ma’lumot butunligini tekshirish
usulida qanday muammo mavjud.
2. 2.4-rasmda keltirilgan ma’lumot butunligini tekshirish usuli
va MAS tizimlari orasidagi farq nimada?
3. CBC shifrlash rejimining qanday xususiyati undan MAC
tizimlarini qurishda foydalanilishini ta’minlaydi.
4. CBC rejimida qurilgan MAC tizimi va HMAC tizimlari
orasida qanday farq va o‘xshashliklar mavjud.
5. Ma’lumotni uzatishda “rad etish” holati nima va unga misol
keltiring.
6. ERIga ta’rif bering va uning asosiy vazifalarini keltiring.
7. ERI va MAS tizimlarining o‘xshashlik va farqli tomonlari.
Nima uchun ERI rad etishdan himoyalaydi, MAS esa yo‘q.
8. Ochiq kalitli kriptotizimlardan ma’lumot butunligi va rad
etishdan himoyalashda foydalanish holatini tushuntiring.
9. Ochiq kalitli kriptotizimlardan ma’lumot maxfiyligi va rad
etishdan himoyalashda foydalanish holatini tushuntiring.
10. PKI tizimlari nima uchun zarur va u ochiq kalitli
kriptotizimlardagi qanday muammoni bartaraf etadi.
11. Raqamli sertifikat qanday ma’lumotdan iborat va nima uchun
sertifikat markazining imzosi bo‘lishi muhim.
12. RSA algoritmi asosida ma’lumotni shifrlash va imzolashda
aynan bir xil kalitdan foydalanishning qanday zaifligi mavjud.
13. Agar ma’lumotni butunligini tekshirish talab etilsa, u holda
MAC dan foydadanish afzalmi yoki ERIdan? Fikringizni asoslang.
14. Agar ma’lumotni rad-etishdan himoyalash talab etilsa, a holda
MAC dan foydalanish afzalmi yoki ERIdan? Fikringizni asoslang.
6 – mavzu. Autentifikatsiya
Kutiladigan natija:
- identifikatsiya, autentifikatsiya, avtorizatsiya va ruxsatlarni
nazoratlash tushunchalarini tushuntirish;
- avtorizatsiya va autentifikatsiya tushunchalari orasidagi farqni
tushuntiring;
- autentifikatsiyalashda foydalaniladigan uchta asosiy xususiyatlarni
tushuntiring;
- autentifikatsiya usullaridagi afzallik va kamchiliklarni
tushuntiring;
- ko‘p faktorli autentifikatsiyaning ahamiyatini tushuntirish;
- insonlar va qurilmalarni identifikatsiyalash, autentifikatsiyalash va
avtorizatsiya jarayonlari orasidagi farqni tushuntiring;
- ruxsatlarni nazoratlashga qaratilgan hujumlar va ularga qarshi himoya
haqida umumiy tushunchalarni namoyish etish.
Identifikatsiya, autentifikatsiya, avtorizatsiya va ruxsatlarni
nazoratlash
Tizim resurslarini boshqarish bilan bog‘liq bo‘lgan ixtiyoriy
xavfsizlik muammosi uchun biz ruxsatlarni nazoratlash terminini “soyabon”
sifatida foydalansak bo‘ladi. Mazkur sohaga oid tushuntirishlarni olib
borganda 3 ta asosiy muhim bo‘lgan soha mavjud: identifikatsiya,
autentifikatsiya va avtorizatsiya.
Identifikatsiya – shaxsni kimdir deb davo qilish jarayoni. Masalan,
siz telefonda o‘zingizni tanitishingizni identifikatsiyadan o‘tish deb aytish
mumkin. Bunda siz o‘zingizni, masalan, “Men Bahodirman” deb tanitasiz. Bu
o‘rinda “Bohodir” sizning identifikatoringiz bo‘lib xizmat qiladi.
SHunday qilib, identifikatsiya – sub’ekt identifikatorini tizimga yoki
talab qilgan sub’ektga taqdim etish jarayoni hisoblanadi. Bundan tashqari,
elektron pochta tizimida ham pochta manzilni – identifikator sifatida
qarash mumkin. Pochta manzilini taqdim etish jarayonini esa
identifikatsiyalash jarayoni sifatida qarash mumkin. Elektron pochta
tizimida pochta manzili takrorlanmas yoki unikal bo‘ladi. SHundan kelib
chiqib aytish mumkinki, foydalanuvchining identifikatori tizim ichida
unikal va takrorlanmasdir.
Autentifikatsiya – foydalanuvchini (yoki biror tomonni) tizimdan
foydalanish uchun ruxsati mavjudligini aniqlash jarayoni. Masalan,
foydalanuvchini shaxsiy kompyuterdan foydalanish jarayonini olsak.
Dastlab kirishda foydalanuvchi o‘z identifikatorini (ya’ni, foydalanuvchi
nomini) kiritadi va u orqali tizimga o‘zini tanitadi (identifikatsiya
jarayonidan o‘tadi). SHundan so‘ng, tizim foydalanuvchidan taqdim etilgan
identifikatorni haqiqiyligini tekshirish uchun parolni so‘raydi. Agar
identifikatorga mos parol kiritilsa (ya’ni, autentifikatsiyadan o‘tsa),
foydalanuvchi kompyuterdan foydalanish imkoniyatiga ega bo‘ladi. Boshqa
so‘z bilan aytganda, autentifikatsiyani foydalanuvchi yoki sub’ektni
haqiqiyligini tekshirish jarayoni deb aytish mumkin.
Autentifikatsiyadan o‘tgandan so‘ng foydalanuvchi tizim resursidan
foydalanish imkoniyatiga ega bo‘ladi. Biroq, autentifikatsiyadan o‘tgan
foydalanuvchiga tizimda ixtiyoriy amallarda bajarishga ruxsat berilmaydi.
Masalan, autentifikatsiyadan o‘tgan – imtiyozga ega foydalanuvchi uchun
dasturlarni o‘rnatish imkoniyatini berilishi talab etilsin. Xo‘sh,
autentifikatsiyadan o‘tgan foydalanuvchiga qanday qilib ruxsatlarni cheklash
mumkin? Mazkur masalalar bilan aynan, avtorizatsiya sohasi shug‘ullanadi.
Avtorizatsiya – identifikatsiya, autentifikatsiya jarayonlaridan o‘tgan
foydalanuvchi uchun tizimda bajarishi mumkin bo‘lgan amallarga ruxsat
berish jarayonidir.
Demak, autentifikatsiya binar qaror – ya’ni, ruxsat beriladi yoki yo‘q.
Avtorizatsiya esa tizimning turli resurslariga foydalanishni cheklash uchun
foydalaniluvchi qoidalar to‘plami haqidagi barcha narsa.
Xavfsizlik sohasida terminlar standartlashtirilgan ma’nolaridan
ayri qo‘llaniladi. Xususan, ruxsatlarni nazoratlash ko‘p hollarda
avtorizatsiyaga sinonim sifatida ishlatiladi. Biroq, mazkur kursda
ruxsatlarni nazoratlash kengroq qaraladi. YA’ni, avtorizatsiya va
autentifikatsiya jarayonlari ruxsatlarni nazoratlashning qismlari sifatida
qaraladi.
YUqorida keltirilgan atamalarga berilgan ta’riflarni
umumlashtirgan holda quyidagicha xulosa qilish mumkin:
Identifikatsiya – siz kimsiz?
Autentifikatsiya – siz haqiqatdan ham sizmisiz?
Avtorizatsiya – sizga buni bajarishga ruxsat bormi?
Parolnaya avtorizatsiya YOzish kerak
Autentifikatsiya
Autentifikatsiyada yoki identifikatsiya jarayonlarida sub’ektlar inson
ko‘rinishida yoki qurilma (kompyuter) ko‘rinishida bo‘lishi mumkin. YA’ni,
inson insonni autentifikatsiyadan o‘tkazishi mumkin, mashina insonni
autentifikatsiyadan o‘tkazishi mumkin yoki mashina mashinani
autentifikatsiyadan o‘tkazishi mumkin. Mazkur ma’ruzada mashina insonni
yoki mashina mashinani autentifikatsiyadan o‘tkazish senariylariga asosiy
e’tibor qaraladi.
Mashina insonni quyidagi “narsalar” asosida autentifikatsiyadan
o‘tkazishi mumkin:
- siz bilgan biror narsa (something you know);
- sizda mavjud biror narsa (something you have);
- sizning biror narsangiz (something you are).
“Siz bilgan biror narsa” holatiga parol misol bo‘la oladi. “Sizda
mavjud biror narsa” holatiga esa smartkartalar, token, mashinaning pulti
yoki kaliti misol bo‘la oladi. “Sizning biror narsangiz” holati odatda
biometrik parametrlarga sinonim sifatida qaraladi. Masalan, hozirda siz
noutbuk sotib olib, undagi barmoq izi skaneri orqali autentifikatsiyadan
o‘tishingiz mumkin.
Parol
Parol – faqat foydalanuvchiga ma’lum va biror tizimda
autentifikatsiya jarayonidan o‘tishni ta’minlovchi biror axborot. Parol
amalda autentifikatsiya jarayonida keng qo‘llaniluvchi parametr hisoblanadi.
Masalan, biz o‘z shaxsiy kompyuterlarimizdan foydalanish huquqini olish
uchun talab etilgan parolni kiritishimiz talab etiladi. Mazkur holatni
mobil telefonlar uchun ham ishlatish mumkin. Parolga asoslangan holatdagi
autentifikatsiyalash jarayonining umumiy ko‘rinishi 6.1-rasmda keltirilgan.
Foydalanuvchi Server
Foydalanuvchi identifikatori,
parol
OK/ Xatolik
6.1-rasm. Parolga asoslangan mashina-insonni autentifikatsiyalash jarayoni
Parolga asoslangan autentifikatsiyalash quyidagi xususiyatlarga ega:
- parolga asoslangan autentifikatsiyani amalga oshirish qulay (sarf
xarajati kam, almashtirish oson);
- foydalanuvchi paroli odatda unga aloqador ma’lumot bo‘ladi (masalan,
uning yaxshi ko‘rgan futbol komandasi, telefon raqami va hak.) (123456,
12345, qwerty) va shuning uchun “hujumchilar” tomonidan aniqlanishi
oson;
- murakkab parollarni esda saqlash murakkab (masalan,
jfIej(43jEmmL+y);
- parolga asoslangan autentifikatsiya usuli amalda keng qo‘llaniluvchi
usul.
Smartkarta yoki token
Smartkartalar yoki qurilma ko‘rinishidagi tokenlar
autentifikatsiyalash uchun qo‘llaniladi. Smartkarta – kredit karta
o‘lchamidagi qurilma bo‘lib, kichik hajmdagi xotira va hisoblash imkoniyatiga
ega. Smartkarta odatda o‘zida biror maxfiy kattalikni, kalit yoki parolni,
saqlaydi va hattoki biror hisoblashni amalga oshiradi. 6.2-rasmda maxsus
maqsadli smartkarta va uni o‘quvchi qurilma (smartkarta o‘quvchi qurilma) aks
ettirilgan.
6.2-rasm. Smartkarta va smartkarta o‘quvchi
Biror narsa asosida autentifikatsiyalash usullarini turli
ko‘rinishlarda amalga oshirish mumkin. Masalan, parollar generatorini
misol qilib olaylik. Parollar generatori kichik qurilma bo‘lib, tizimda
kirishda qo‘llaniladi. Faraz qilaylik Alisada parol generatori mavjud va
undan foydalanib Bobdan autentifikatsiyadan o‘tmoqchi. Buning uchun Bob
biror tasodifiy son 𝑅𝑅 ni (“savolni”) Alisaga yuboradi. Alisa qabul
qilingan 𝑅𝑅 sonini va parol generatoridan foydalanish uchun talab qilingan
PIN ni parol generatoriga kiritadi. Parol generatori esa Alisaga javobni
taqdim etadi va u Bobga uzatiladi. Agar javob to‘g‘ri bo‘lsa, Alisa
autentifikatsiyadan o‘tadi, aks holda o‘ta olmaydi. Mazkur senariyning
umumiy ko‘rinishi 6.3-rasmda keltirilgan.
Alisa Bob,
K
Parol
generatori,
K
1. Men Alisa
1. R
3. PIN, R
4. h(R,K)
5. h(R,K)
6.3-rasm. Tokenga asoslangan autentifikatsiya jarayoni
Keltirilgan sxemaga ko‘ra, Bob va parol generatorida taqsimlangan
kalit 𝐾𝐾 bo‘lishi shart. Ushbu sxemada “savol-javob” mexanizmi ishlatilgan.
YA’ni, savol sifatida Bob Alisaga 𝑅𝑅 sonini uzatadi va unga mos bo‘lgan javob
- ℎ(𝑅𝑅, 𝐾𝐾) ni qabul qiladi. Qabul qilgan ma’lumotni tekshirish orqali Bob
Alisani haqiqiyligini tekshiradi.
Smartakarta yoki “sizda mavjud biror narsa” asosida autentifikatsiya
usullari quyidagi xususiyatlarga ega:
- smartkartaga asoslangan autentifikatsiyada biror narasani esda
saqlashni talab etilmaydi;
- amalga oshirish va qurilma narxi yuqori (xususan, token yo‘qolgan
taqdirda uni almashtirish qimmatga tushadi);
- token yoki smartkartani yo‘qotib qo‘yish muammosi mavjud;
- token xavfsiz olib yurilsa yuqori xavfsizlik darajasini
ta’minlaydi.
Biometrik parametrlarga asoslangan autentifikatsiya
Biometrik parametrga asoslangan autentifikatsiya usulida biometrik
parametr insonning o‘zi uchun kalit sifatida xizmat qiladi. Juda ham ko‘plab
biometrik parametrlar mavjud, masalan, barmoq izi, yuz tasviri, ko‘z
qorachig‘i, ovoz, harakat tarzi, quloq shakli, qo‘l shakli va hak. Biometrik
parametrlarga asoslangan autentifikatsiya usuli amalda keng qo‘llaniladi.
Masalan, qo‘p qavatli uylarni kirish eshiklarida yoki tashkilotlarga
kirishda barmoq iziga asoslangan autentifikatsiya usuli, noutbuklarda va
mobil telefonlarda yuz tasviriga asoslangan yoki barmoq iziga asoslangan
autentifikatsiyadan keng qo‘llaniladi (6.4-rasm).
Barmoq izi YUz tasviri Ko‘z qorachig‘i Ovoz
6.4-rasm. Biometrik na’munalarga misollar
Axborot xavfsizligi sohasida biometrik parametrlar parollarga
qaraganda yuoqri xavfsizlikni ta’minlovchi alternativ sifatida qaraladi.
Biometrik parametrlarga asoslangan autentifikatsiya usuli quyidagi
xususiyatlarga ega:
- biometrik parametrga asoslangan usul o‘zida esda saqlash va birga
olib yurish zaruriyatini talab etmaydi;
- biometrik parametrga asoslangan autentifikatsiyani amalga
oshirish parolga asoslangan usuldan qimmat va tokenga
asoslangan usuldan arzor hisoblanadi (ba’zi, istisno holatlar
mavjud);
- biometrik parmetrni almashtirish imkoniyati mavjud emas, ya’ni,
agar biometrik parametr qalbakilashtirilsa, u holda
autentifikatsiya tizimi shu foydalanuvchi uchun to‘liq buzilgan
hisoblanadi;
- turli biometrik parametrlarga asoslangan autentifikatsiya
usullari insonlar tomonidan turli darajada qabul qilinadi.
Autentifikatsiya sohasida foydalanish uchun ideal biometrik parametr
quyidagilarni qanoatlantirishi shart:
- universal bo‘lishi – biometrik parametr barcha
foydalanuvchilarda bo‘lishi shart;
- farqli bo‘lish – tanlangan biometrik parametr barcha insonlar
uchun farq qilishi shart;
- o‘zgarmaslik – tanlangan biometrik parametr vaqt o‘tishi bilan
o‘zgarmay qolishi shart;
- to‘planuvchanlik – fizik xususiyat osonlik bilan to‘planuvchi
bo‘lishi shart. Amalda fizik xususiyatni to‘planuvchanligi,
insonning jarayonga e’tibor berishiga ham bog‘liq bo‘ladi.
Biometrik parametr nafaqat autentifikatsiya masalasini echishda
balki, identifikatsiyalashda ham keng qo‘llaniladi. YA’ni, “Siz kimsiz?”
degan savolga javob bera oladi. Masalan, FBI da jinoyatchilarga tegishli
barmoq izlari bazalari mavjud. Ushbu bazada barmoq izlari (barmoq izi
tasviri, foydalanuvchi nomi) shaklida saqlanadi va bu orqali biror
insonni jinoyatchilar ro‘yxatida bor yo‘qligini tekshira oladi. Buning uchun,
tekshiriluvchi insondan barmoq izi tasviri olinadi va u FBI bazasida
mavjud bo‘lsa, u holda tekshiriluvchi insonning nomi barmoq izi tasviriga
mos foydalanuvchi nomi bilan bir xil bo‘ladi.
Bir tomonlama va ikki tomonlama autentifikatsiya
Agar tomonlardan biri ikkinchisini autentifikatsiyadan o‘tkazsa, bir
tomonlama autentifikatsiya deb ataladi. Agar har ikkala tomon bir-birini
autentifikatsiyadan o‘tkazsa, u holda ikki tomonlama autentifikatsiya deb
ataladi. Masalan, elektron pochtadan foydalanish davomida faqat server
foydalanuvchini haqiqiyligini tekshiradi (parol orqali) va shu sababli uni
bir tomonlama autentifikatsiyalash deb atash mumkin. Elektron to‘lovlarni
amalga oshirishda esa ham server foydalanuvchini autentifikatsiyadan
o‘tkazadi ham foydalanuvchi serverni autentifikatsiyadan o‘tkazadi. SHuning
uchun mazkur holatni ikki tomonlama autentifikatsiyalash deb aytish
mumkin.
Ko‘p faktorli autentifikatsiya
YUqorida keltirilgan barcha autentifikatsiya senariylarida faqat
bitta omil o‘yicha haqiqiylikni tekshirish amalga oshirildi. Masalan,
pochtada kirishda faqat parolni bilsangiz siz autentifikatsiyadan o‘ta olasiz
yoki kirishda barmoq izini to‘g‘ri kiritsangiz, eshik ochiladi. YA’ni, server
faqat foydalanuvchidan parolni yoki barmoq izini to‘g‘ri bo‘lishini istayapti.
Mazkur ko‘rinishdagi autentifikatsiya – bir faktorli autentifikatsiya deb
ataladi. Bir faktorli autentifikatsiyada tekshirish faqat bitta faktor
bo‘yicha (masalan, parol) amalga oshiriladi.
Biroq, bir faktorli autentifikatsiyalashni amalda joriy qilish
natieasida yuqori xavfsizlikni ta’minlash mumkin emas. Masalan, ovozga
asoslangan autentifikatsiya tizimini olaylik. Agar hujumchi
foydalanuvchini ovozini diktafonga yozib olib, uni autentifikatsiyadash
o‘tish jarayonida taqdim etsa, osonlik bilan autentifikatsiya tizimini aldab
o‘tishi mumkin. Sababi, faqat bitta faktor (ovoz) bo‘yicha tekshirish amalga
oshirilmoqda. SHunga o‘xshash holatni parolga asoslangan yoki tokenga
asoslangan autentifikatsiya jarayonida ham kuzatish mumkin.
Mazkur muammoni bartaraf etish uchun, birinchi faktorga qo‘shimcha
qilib, yana boshqa faktorlardan foydalanish mumkin. Masalan, ovozga
asoslangan autentifikatsiyalashda qo‘shimcha qilib paroldan foydalanish
mumkin. YA’ni, foydalanuvchi dastlab tizimga o‘z ovozi orqali
autentifikatsiyadan o‘tadi va udan so‘ng parol bo‘yicha autentifikatsiyadan
o‘tkaziladi. Har ikkala bosqichda ham autentifikatsiyadan muvaffaqqiyatli
o‘tilganda, foydalanuvchi tizimdan foydalanish imkoniyatiga ega bo‘ladi. Ko‘p
faktorli autentifikatsiyalashdan foydalanishda hayotimizda ham ko‘plab
misollar keltirish mumkin. Maalan, plastik kartadan to‘lovni amalga
oshirishda. Plastik kartadan to‘lovni amalga oshirishdagi autentifikatsiya
jarayoni o‘zida “sizda mavjud biror narsa” va “siz bilgan biror narsa”
usullarini birlashtirgan. YA’ni, dastlab foydalanuvchida plastik kartani
o‘zini bor bo‘lishini talab etadi va ikkinchidan uni PIN kodini bilishni
talab etadi. SHu sababli, ushbu usulni ko‘p faktorli autentifikatsiyalash
deb aytish mumkin.
Ko‘p faktorli autentifikatsiya usuli faktorlardan bittasi
qalbakilashtirilgan taqdirda ham autentifikatsiya jarayonini
buzilmasligiga olib keladi.
OTR yozish kerak
Autentifikatsiya usullariga qaratilgan hujumlar
Mavjud autentifikatsiya usullarini buzishda ko‘plab hujum
usullaridan foydalaniladi. Ushbu hujum usullarini autentifikatsiya
usullariga mos ravishda quyidagicha tavsiflash mumkin:
1. Siz bilgan biror narsa. Autentifikatsiyalashning mazkur usulini
buzish uchun quyidagi hujum usullaridan foydalaniladi:
a. Parollar lug‘atidan foydalanishga asoslangan hujum.
Bunga ko‘ra statistika bo‘yicha eng ko‘p qo‘llaniluvchi parollar
yordamida autentifikatsiyadan o‘tishga harakat qilinadi.
b. Parollarni barcha variantlarini ko‘rib chiqish. Ushbu
usulda parolning bo‘lishi mumkin bo‘lgan barcha variantlari
generatsiya qilinadi va ular tekshirib ko‘riladi.
c. “Elka orqali qarash” hujumi. Ushbu hujum foydalanuvchi
parolni kiritish jarayonida yonida turib qarab turish orqali
bilib olishni maqsad qiladi.
d. Zararli dasturlar asosida hujum. SHunday maxsus dasturiy
vositalar mavjudki ular foydalanuvchi kompyuterida
o‘rnatilib, klaviatura orqali kiritilgan barcha
ma’lumotlarni serveriga uzatadi. Ushbu zararli dasturiy
vositalar “keylogger” deb ataladi.
2. Sizda mavjud biror narsa. Autentifikatsiyaning mazkur usulini
buzish uchun quyidagi hujum usullaridan foydalaniladi:
a. Fizik o‘g‘irlash. Hujumning mazkur turi tokenni yoki smart
kartani o‘g‘irlashni maqsad qiladi. Mazkur hujum bu toifdagi
autentifikatsiya uchun eng xavfli hujum hisoblanadi.
b. Dasturiy ko‘rinishdagi tokenlarning zararli dasturlarga
bardoshsizligi. Ba’zi tokenlar dasturiy ko‘rinishda bo‘lib,
mobil qurilmalarda ishlaydi va shu sababli zararli dastur
tomonidan boshqarilishi mumkin.
3. Sizning biror narsangiz. Autentifikatsiyaning mazkur usulini
buzish uchun quyidagi hujum usullaridan foydalaniladi:
a. Qalbakilashtirish. Hujumning mazkur turi biometrik
parametrni qalbakilashtirishni maqsad qiladi. Masalan,
yuzlari o‘xshash bo‘lgan Hasan o‘rniga Xusan autentifikatsiyadan
o‘tishi yoki sifati yuqori bo‘lgan foydalanuvchi yuz tasviri
mavjud rasm bilan tizimni aldashni misol qilish mumkin.
b. Ma’lumotlar bazasidagi biometrik parametrlarni
almashtirish. Ushbu hujum bevosita foydalanuvchilarni
biometrik parametrlari (masalan, barmoq izi tasviri, yuz
tasviri va hak) saqlangan bazaga qarshi amalga oshiriladi.
YA’ni, tanlangan foydalanuvchini biometrik parametrlari
hujumchini biometrik parametrlari bilan almashtiriladi.
Autentifikatsiya usullariga qaratilgan hujumlarni oldini olish uchun
har bitta usulda o‘ziga xos qarshi choralari mavjud. Umumiy holda mazkur
hujumlarni oldini olish uchun quyidagi himoya usullari va xavfsizlik
choralari tavsiya etiladi:
1. Murakkab parollardan foydalanish. Aynan ushbu usul parolni barcha
variantlarini tekshirib ko‘rish va lug‘atga asoslangan hujumlarni oldini
olishga katta yordam beradi.
2. Ko‘p faktorli autentifikatsiyadan foydalanish. Mazkur usul
yuqorida keltirilgan barcha muammolarni bartaraf etishda katta amaliy
yordam beradi.
3. Tokenlarni xavfsiz saqlash. Ushbu tavsiya biror narsaga egalik
qilishga asoslangan autentifikatsiya usulidagi mavjud muammolarni oldini
olish uchun samarali hisoblanadi.
4. Tiriklikka tekshirishdan foydalanish. Ushbu usul biometrik
parametrlarga asoslangan autentifikatsiyalash usullarida tasvir orqali
aldab o‘tish hujumini oldini olish uchun samarali hisoblanadi.
Nazorat savollari
7 - Ma’ruza: Parolga qarshi
hujumlar va parollarni saqlash
Oldinlari biror narsani oshkor qilish qimmat va sir
saqlash arzon edi. Hozirda, narsalarni sir saqlash qimmat,
oshkor qilish esa oson bo‘lib qoldi. - Clay Shirky,
N.Y.U.da professor.
Biror narsani bilishga asoslangan
• Parollar
• Parol sifatida juda ham ko‘p narsalar!
– PIN
– Telefon raqam
– Onasining qizlik familiyasi
– Tug‘ulgan kuni
– Itingizni nomi va hak.
Kiberxavfsizlik asoslari (CSF1316)
Parol bilan bog‘liq muammolar
• Parollar hozirgi kundagi xavfsizlik injineriyasiga
qaratilgan eng katta amaliy muammolar.
• Insonlar kriptografik kalit darajasidagi parollarni
esda saqlash qobilyatiga ega emas.
Kiberxavfsizlik asoslari (CSF1316)
Nima uchun parol?
• Nima uchun “biror nimani bilish” asoslangan
autentifikatsiya “biror narsaga egalik qilishga” va
“sizdagi biror narsaga” asoslangangan qaraganda
ommaviyroq?
• Narxi: Tekin.
• Qulaylik: adminlar uchun yangi tokenni (qurilmani)
olishdan ko‘ra parolni almashtirish osonroq.
Kiberxavfsizlik asoslari (CSF1316)
Kriptogarfik kalit VS parol
Kiberxavfsizlik asoslari (CSF1316)
Kriptografik kalit
• Kalit uzunligi 64 bit
• U holda, jami kalitlar
= 264 ta kalit
• Tasodifiy tanlanadi…
• …u holda hujumchi
topish uchun 263 ta
kalitni sinab ko‘rishi
kerak.
Parollar
• Parol uzunligi 8 belgiga va
256 ta turli belgidan iborat
• U holda 2568 = 264 parol
• Foydalanuvchi parolni
tasodifiy tanlamaydi
• U holda, hujumchi 263 dan
kichik amal bajarib parolni
topadi
(lug‘atga asoslangan hujum)
Parollardagi asosiy muammo???
• Bu ularning tasodifiy tanlanmasligi!!!
– Masalan, 220 ≈ 1 000 000 ta eng keng tarqalgan parollardan
iborat bo‘lgan parollar lug‘ati mavjud.
– Parolni topish uchun buzg‘unchiga juda qo‘l kelishi mumkin.
– Kriptografik kalitni topishda esa, 264 ta kalitni 220 ta bo‘lishi
mumkin bo‘lgan kalitdan biriga mos kelish ehtimoli 220
264
= 1/244
ga yoki kamida 17 triliondan birga to‘g‘ri keladi.
Kiberxavfsizlik asoslari (CSF1316)
YAxshi va yomon parollar
Kiberxavfsizlik asoslari (CSF1316)
• YOmon parollar
– frank
– Fido
– password
– 4444
– Pikachu
– 102560
– AustinStamp
• YAxshi parol?
– jfIej,43j-EmmL+y
– 09864376537263
– P0kem0N
– FSa7Yago
– 0nceuP0nAt1m8
– PokeGCTall150
Parollarni tanlash – TAJRIBA!
Kiberxavfsizlik asoslari (CSF1316)
• Foydalanuvchilar guruhi 3 ga bo‘lindi va ularga
parolni tanlashda quyidagi maslahatlar
berildi.
– Guruh A: kamida 6 belgi, 1 tasi harf bo‘lmagan
– Guruh B: iboraga asoslangan parollar
– Guruh C: 8 belgili tasodifiy tanlangan
• Natijalar
– Guruh A: 30% ga yaqin parollar buzishga oson
– Guruh B: 10% ga yaqini buzilgan
• Parollarni esda saqlash oson
– Guruh C: 10% ga yaqini buzilgan
• Parollarni esda saqlash murakkab
← G‘OLIB
Iboraga asoslangan parollar
• jfIej(43j-EmmL+y parolni buzish buzg‘unchi uchun qanchalik
murakkab bo‘lsa, uni eslash foydalanuvchi uchun ham
shunchalik murakkab.
• Hattoki, yadroviy raketani uchirish uchun javobgar bo‘lgan
AQSHning malakaviy hodimidan ham 12 raqamdan iborat
bo‘lgan otish kodini eslab qolishi talab etiladi.
• Iboralar:
– keltirilgan FSa7Yago parol “four score and seven years ago”
iborasidan olingan.
Kiberxavfsizlik asoslari (CSF1316)
Parolga qarshi hujum
• Parolni buzuvchining umumiy hujum yo‘li:
begonanormal foydalanuvchi administrator.
– buzg‘unchi dastlab ixtiyoriy akkauntga kirish usulini qidiradi;
– keyin o‘z imtiyoz darajasini oshirishga harakat qiladi.
• Boshqa muhim masala:
– parolni buzishga urinish aniqlanganda to‘g‘ri javob berish bilan
bog‘liq.
– Masalan, tizim uch marta muvaffaqiyatsiz urinishdan so‘ng
akkauntni bloklaydi. Agar shunday bo‘lsa, tizim qancha vaqt
bloklanishi kerak?
• 5 sek?
• 5 min?
– Javobini topish murakkab!!!
Kiberxavfsizlik asoslari (CSF1316)
Parolni saqlash va o‘zaro solishtirish
• Parollar odatda parollar faylida ochiq saqlanmaydi.
• Parollar parollar faylida xeshlangan holda saqlanadi:
– A tomonning paroli FSa7Yago ga teng bo‘lsa, faylda 𝑦 =
ℎ(𝐹𝑆𝑎7𝑌𝑎𝑔𝑜) saqlanadi, ya’ni: 𝑦 = ℎ(𝑥) shaklida.
– Buzg‘unchi 𝒚 dan 𝒙 ni teskari hisoblab topa olmaydi.
– Solishtirishda esa yangi kiritilgan parolning xeshi faylda
saqlangan mos xesh bilan solishtiriladi.
• Parollar lug‘ati:
– buzg‘unchida 𝑁 ta eng keng foydalanilgan parollar,
𝑑0, 𝑑1, 𝑑2, … , 𝑑𝑁−1, saqlangan lug‘at mavjud;
– lug‘atdagi har bir parolni xeshlaydi: 𝑦0 = ℎ 𝑑0 , 𝑦1 =
ℎ 𝑑1 , … , 𝑦𝑁−1 = ℎ 𝑑𝑁−1 va (𝑑0, 𝑦0) juftlik ko‘rinishidagi yangi
lug‘atni hosil qiladi.
Kiberxavfsizlik asoslari (CSF1316)
Parolni saqlash va o‘zaro solishtirish
• agar buzg‘unchi biror xesh qiymat ko‘rinishidagi parolni
“orqaga qaytarish” uchun uni 𝑁 ta xesh qiymat bilan
solishtirib ko‘radi:
– Agar moslik aniqlansa, u holda parolni haqiqiy qiymati
topiladi.
• (𝑑0, 𝑦0) ko‘rinishdagi ko‘plab lug‘atlarni Internet
tarmog‘i orqali bepul yoki pullik ko‘rinishlarda topish
mumkin.
• Agar buzg‘unchida parollar lug‘ati bo‘lsa, uni ishini
murakkablashtirish yo‘li bormi?
Kiberxavfsizlik asoslari (CSF1316)
Parolni saqlash va o‘zaro solishtirish
• Bor.
– parolni xeshlab saqlashda unga maxfiy bo‘lgan kattalikni (“tuz”,
salt – deb ataladi) qo‘shib, keyin xeshlash kerak;
– YA’ni, 𝑦 = ℎ(𝑝, 𝑠) ko‘rinishida.
• 𝑝 – parol bo‘lsa, 𝑠 – “tuz”, har bir parol uchun tasodifiy tanlanadi.
– Parollar faylida esa (𝑠, 𝑦) shaklida saqlanadi.
• Murakkabligi nimada???
– A tomonning paroli “tuz” 𝑠𝑎 bilan birgalikda xeshlangan;
– va B tomoning paroli esa 𝑠𝑏 bilan birgalikda xeshlangan bo‘lsin.
– Buzg‘unchi A tomonning parolini topishi uchun parollar
lug‘atidagi barcha parolga 𝑠𝑎 ni qo‘shishi talab etiladi.
– B tomon uchun esa 𝑠𝑏 ni.
– 𝑁 ta foydalanuvchidan iborat parollar fayli uchun, buzg‘unchining
ishi 𝑁 faktorga ko‘payadi.
Kiberxavfsizlik asoslari (CSF1316)
Parolni buzushning matematik hisobi - TAJRIBA
• Faraz:
• Parollar 8 ta belgidan va har biri 128 ta turli
belgi bo‘lishi mumkin
– U holda 1288 = 256 bo‘lishi mumkin bo‘lgan parollar
• Parollar fayli 210 ta paroldan iborat bo‘lsin.
• Hujumchi lug‘ati 220 ta eng keng tarqalgan paroldan
iborat bo‘lsin.
• Ehtimollik 1/4 bilan parol lug‘atda mavjud bo‘lsin.
• Talab etilgan ish xeshlashlar soni bilan o‘lchanadi.
Kiberxavfsizlik asoslari (CSF1316)
Parolni buzushning matematik hisobi – TAJRIBA –
HOLAT 1
Kiberxavfsizlik asoslari (CSF1316)
• 1 ta parolga hujum lug‘atsiz amalga oshirilgan
– O‘rtacha 256/2 = 255 o‘rinishni amalga oshirish kerak.
– Kalitni barcha variantini hisoblash kabi murakkab.
• Bu holda salt yordam beradimi?
Parolni buzushning matematik hisobi – TAJRIBA –
HOLAT 2
• 1 ta parolga hujum lug‘at yordamida amalga
oshirilgan
• Salt bilan
– Kutilgan ish: 1/4 (219) + 3/4 (255) = 254.6
– Amalda, lug‘atdagi barcha parolni sinab ko‘rish…
– …u holda ishi 220 va parolni topish ehtimoli 1/4 ga
teng.
• Agar salt ishlatilmagan bo‘lsachi?
– Lug‘atni hisoblashda bir marta ish bajariladi: 220
– Kutiladigan ish yuqoridagi kabi
– Biroq, oldingan xeshlangan lug‘atlar bilan uni
“amalga oshirish” juda oson…
Kiberxavfsizlik asoslari (CSF1316)
Parolni buzushning matematik hisobi – TAJRIBA –
HOLAT 3
• 210 =1024 paroldan iborat fayldagi ixtiyoriy
parolni topish, lug‘atdan foydalanmasdan
– Faraz qilaylik barcha 210 parollar farqli
– 255 taqqoslash amalga oshirladi parolni topishdan oldin
• Agar salt foydalanilmagan bo‘lsa
– Har bir hisoblangan xesh 210 ta taqqoslashni talab etadi.
– SHuning uchun kutiladigan xeshlashlar soni 255/210 = 245
• Agar salt foydalanilgan bo‘lsa
– Kutiladigan ish hajmi 255
– Har bir taqqoslash xeshlashni talab etadi.
Kiberxavfsizlik asoslari (CSF1316)
Parolni buzushning matematik hisobi – TAJRIBA –
HOLAT 4
• 1024 paroldan iborat fayldagi ixtiyoriy
parolni topish, lug‘atdan foydalanib
– 1 yoki bir nechta parolni lug‘atda bo‘lish ehtimoli: 1 –
(3/4)1024 = 1
– SHuning uchun, parolni lug‘atda bo‘lmaslik ehtimoli
ko‘rib o‘tilmaydi.
• Agar salt foydalanilgan bo‘lsa, kutilayotgan ish
222 dan kam bo‘ladi
– Taqriban bajariladigan ish: 220 / (1/4)
• Agar salt foydalanilmagan bo‘lsa?
– Agar lug‘at oldindan xeshlanmagan bo‘lsa, kutiladigan
ish taqriban 219/210 = 29 ga teng bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Parol bilan bog‘liq boshqa muammolar
• Ko‘plab foydalanuvchilarda qator qayd yozuvlari mavjud
– SHu sabab parollardan takror foydalaniladi;
– Foydalanuvchining bir parolini buzg‘unchi tomonidan
aniqlanishi, ko‘plab qayd yozuvlarini ham buzulishiga olib
keladi.
• Bundan tashqari:
– sotsial injineriya (tadqiqotlarga ko‘ra, 34% holatda
foydalanuvchilardan parollari so‘ralganda, ular tomonidan so‘rov
maqullangan);
– Zararli dasturiy vositalar (keystroke logging, spyware).
Kiberxavfsizlik asoslari (CSF1316)
Parol bilan bog‘liq boshqa muammolar
• Mashhur parolni buzuvchi vositalar
– Password Crackers
– Password Portal
– L0phtCrack and LC4 (Windows)
– John the Ripper (Unix)
• Adminlar ushbu vositalardan foydalanish
orqali parollarni tekshirish zarar (hujumchidan
oldin).
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
8 - Ma’ruza: Ma’lumotlarning
fizik xavfsizligi
Erkin bo‘lgan va shunday qolishni istagan odamlar uchun yaxshi
tashkil etilgan va qurollangan militsiya ularning eng yaxshi
xavfsizligi hisoblanadi - Thomas Jefferson.
Fizik xavfsizlik
Fizik xavfsizlik tashkilotdagi axborot
xavfsizligi programmasining asosi
hisoblanadi.
U tashkilotning infrtuzilmasi,
binolari, ishchi stansiyalari va
xodimlarini ruxsatsiz fizik
boshqarishni cheklash bilan shug‘ullanadi.
Muvaffaqqiyatli ruxsatsiz
fizik boshqarish axborotni
tizimini o‘g‘irlinishi, zarar
etkazilishi va
o‘zgartirilishiga olib keladi.
Fizik xavfsizlikni buzulishi
bevosita axborot va tizimning
konfidensialligi, butunligi
va foydalanuvchanligiga ta’sir
qiladi.
Fizik
xavfsizlikni
ta’minlash juda
ham muhim.
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlik zaruriyati
• AQSHning Department of Health and Human Services
Breach Portal tashkiloti tomonidan 2015 yilda
tashkilotlarda eng ko‘p yuzaga kelgan xavfsizlik
insidentlari fizik xavfsizlikni buzishga uringani
aniqlangan (61 %).
Kiberxavfsizlik asoslari (CSF1316)
34%
27%
23%
16%
Fizik nazoratni
buzilishi
Fizik o‘g‘irlash
Hakking/ AT
buzulishi
Boshqalar
Fizik xavfsizlik zaruriyati
Kiberxavfsizlik asoslari (CSF1316)
Fizik sathni ananaviy tarmoqlararo ekran vositasi
yordamida himoyalash imkoniyati mavjud emas.
Fizik sath quyidagilarni o‘z ichiga oladi:
• barcha kabel va tarmoq tizimlari;
• tizim va kabellarni fizik nazoratlash;
• tizim va kabel uchun quvvat manbai;
• tizimni madadlash muhiti.
Fizik xavfsizlikka ta’sir qiluvchi
faktorlar
Tabiiy tahdidlar
• Toshqinlar
• YOng‘inlar
• Zilzila
• CHaqmoq va
momaqaldiroq
• Harorat va namlik
Sun’iy tahdidlar
• Vandalizim
• Qurilmaning yo‘qolishi
• Fizik qurilmalarni
buzulishi
• O‘g‘irlash
• Terrorizm
• Sotsial injineriya
• Tizimlarni ruxsat
etilmagan
nazoratlash
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlikni nazoratlash
Ma’muriy nazorat
• Qoida va
muolajalarni yaratish
• Joylashuv
arxitekturasini
loyihalash
• Xavfsizlik belgilari
va ogohlantirish
signallari
• Ishchi joy
xavfsizligini
ta’minlash
• SHaxs xavfsizligini
ta’minlash
Fizik nazorat
• Fizik to‘siqlarni
o‘rnatish
• Xavfsizlik
qo‘riqchilarini ishga
olish
• Fizik qulflar
Texnik nazorat
• Ruxsatlarni
nazoratlash
• “Qopqon”
• YOng‘inga qarshi
tizimlar
• YOritish tizimlari
• Ogohlantirish
tizimlari
• Quvvat manbalari
• Video kuzatuv
tizimlari
• Qurollarni aniqlash
• Muhitni nazoratlash
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlikni nazoratlash tashkilot axborot aktivlarini
va binolaridan foydalanishni kuzatish, qaydlash va nazoratlalshga
yordam beradi.
Fizik xavfsizlikni nazoratlash: joylashuv va
arxitektura
Kiberxavfsizlik asoslari (CSF1316)
Joylashuv holati
• binoning joylashuvi
• qo‘shni binolar
• elektr va suv manbalari
• kanalizatsiya tizimi
• kichik va katta yo‘llarga yaqinligi
• transport masalasi
• tez yordam ko‘rsatish holati,
shifoxona,
• aeroportga yaqinligi
• mazkur hududda mahalliy holatda
jinoyatchilar ko‘rsatkichi
• yoki turli xavfsizlik
insidentlarini mavjudligi va
h.k.lar
Fizik xavfsizlikni nazoratlash: joylashuv va
arxitektura
Kiberxavfsizlik asoslari (CSF1316)
Arxitekturani loyihalash:
• binoga kirish eshiklarining sonini, asosiy kirish, zinalar,
lift, mashina stoyankasi, o‘tish yo‘laklari va qabul qilish
hududini o‘z ichiga olgan holda, aniqlashtirish;
• joylashgan hududingizga yaqin qo‘shni binolarni topish va ular
uchun ichki va tashqi arxitekturani tekshirish. Atrofdagi
narsalar haqida qo‘shimcha ma’lumot olish uchun binolarning
egasi va menedjerlari bilan suhbatlashish.
• katastropik buzilishlar va tashqi tomondan aktivlarni
ko‘rinishi orqali zarar etuvchi aktivlarni tahlil qilish;
• agar bino boshqa tashkilotlar bilan sheriklikda foydalanilsa,
ularni sizning shaxsiy ma’lumotlaringizga va muhim
aktivlaringizga ta’siri haqida o‘ylang;
• fizik xavfsizlikni, maxfiy ma’lumotni saqlash va tashkilot
ishlarini samarali amalga oshirish yo‘lga qo‘yishni boshqarish
uchun talab etilgan muhim infratuzilmani aniqlashtirish
Fizik xavfsizlikni nazoratlash: yong‘inga
qarshi tizimlar
YOng‘inga qarshi tizimlar
Aktiv yong‘inga
qarshi himoya
Passiv yong‘inga
qarshi himoya
Kiberxavfsizlik asoslari (CSF1316)
Aktiv yong‘inga qarshi himoya
• YOng‘inni aniqlash tizimi:
– ushbu tizim yong‘in tarqalishidan oldin uni aniqlashga yordam
beradi. Ushbu tizim tutunni aniqlovchilar, alangani
aniqlovchilar va issiqlikni aniqlovchilarni o‘z ichiga oladi.
• YOng‘inni bartaraf etish tizimlari:
– ushbu tizimlar inson aralashuvisiz yong‘inni dastlabki
bosqichlarida uni bartaraf etish bilan shug‘ullanadi. Ushbu
tizimlar zararni kamaytirishga va qurilmalarni yo‘q bo‘lishidan
himoyalaydi. YOng‘inni bartaraf etish tizimlari avtomatik va
avtomatik bo‘lgan turlarga ajratiladi. Ushbu tizimlarga:
o‘to‘chirgich (ognetushiet), suv purkash tizimlarini misol
keltirsa bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
YOng‘inga qarshi passiv himoya
Passiv yong‘inga qarshi himoya usuli amaliyotda quyidagi
usullar asosida oshiriladi:
• minimal darajada yonuvchan materiallardan foydalanish;
• binoga yong‘inni tarqalishini oldini olish uchun qo‘shimcha
etaj yoki xonalarni qurish;
• binoga istiqomat qiluvchilarni yong‘in sodir bo‘lganda
qilinishi zarur bo‘lgan ishlar bilan tanishtirish;
• yong‘inga aloqador tizimlarni to‘g‘ri madadlar;
• etarli sondagi qo‘shimcha chiqish yo‘llarining mavjudligi.
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlikni nazoratlash: fizik
to‘siqlar
Zaborlar/ elektr zaborlar/ metal to‘siqlar
• hududlarni, nazoratlangan hududlarni va ruxsat etilmagan kirishdan
himoyalani belgilash
Tumba
• avtomabillarni kirishidan himoyalash
Turniketlar
• bir vaqtda bir shaxsni ichkariga kirishini yoki chiqishini ta’minlaydi
• shaxs tomonidan mos tanga, bilet, barmoq izi yoki token ko‘rsatiladi
Boshqa to‘siqlar
• eshiklar, oynalar, reshyotkalar, deraza pardalari
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlikni nazoratlash:
xavfsizlik xodimi
• Xavfsizlik xodimi/ qo‘riqchi tashkilot fizik xavfsizligini
amalga oshirish, monitor qilib borish va madadlashni amalga
oshiradi.
• Ular maxfiy axborotni yo‘qolishidan, o‘g‘irlanishidan, noto‘g‘ri
foydalanishidan himoyalash uchun xavfsizlik tizimini
o‘rnatish, baholash va ishlab chiqishga javobgardirlar.
• Tashkilotda xodimlar tomonidan amalga oshirilgan himoya
24x7x365 tartibida amalga oshirilishi zarur.
• Fizik xavfsizlikka jalb etilgan shaxslar quyidagilar:
– Qo‘riqchilar
– Tashkilotdagi qo‘riqchilar boshlig‘i
– Xavfsizlik xodimi
– Axborot xavfsizligining bosh xodimi (Chief Information Security
Officer)
Kiberxavfsizlik asoslari (CSF1316)
Ruxsatlarni nazoratlash: autentifikatsiya
usullari
Biror narsani
bilishga
asoslangan
Biror narsaga
egalik
qilishga
asoslangan
Biometrik
parametrlarga
asoslangan
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlikni nazoratlash: fizik
qulflar
Mexanik qulflar
Raqamli qulflar
Elektr/ elektromagnetik qulflar
Kombinatsion qulflar
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlikni nazoratlash: YAshirin qurol/
kontrabanda qurilmalarini aniqlash moslamasi
• Tashkilotlarda odatda shaxslar tomonidan olib kiriladigan
jixozlar yoki vositalar maxsus skanerlar yordamida tekshiruvdan
o‘tkaziladi.
• Bunda turli qurollar yoki kontrabanda vositalarini, bombalar, otish
qurilmalarini aniqlash amalga oshiriladi.
Kiberxavfsizlik asoslari (CSF1316)
YUrish orqali X-Ray metal detektor
metal detektor
Metal detektor
Fizik xavfsizlikni nazoratlash: qopqon
• Qopqon chegarani buzib o‘tuvchini
tutuvchi va fizik xavfsizlikni
nazoratlash vositasi hisoblanadi.
• Ushbu vosita odatda xavfsiz
hududni xavfsiz bo‘lmagan
hududdan ajratadi.
• Qopqon mexanik qulflashga
asoslangan kichik soha bo‘lib,
ikkita kirish eshigi mavjud.
• Ikkinchi eshik ochilishidan oldin
birinchi eshik yopilgan holatda
bo‘ladi.
• SHaxsni autentifikatsiyalash smart
karta, PIN kod yoki biometrik
usullar asosida amalga
oshirilishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlikni nazoratlash: xavfsizlik
yorliqlari va ogohlantiruvchi signallar
• Xavfsizlik yorliqlari yuqori va
past xavfsizlik sohasida axborotga
bo‘lgan murajaatni cheklash uchun
foydalaniladi.
• Odatda quyidagi turdagi
xavfsizlik yorliqlari mavjud:
– ochiq ma’lumotlar (unclassified);
– cheklangan ma’lumotlar (restricted);
– konfidensial ma’lumotlar
(confidential);
– maxfiy ma’lumotlar (secret);
– o‘ta maxfiy ma’lumotlar (top secret).
Kiberxavfsizlik asoslari (CSF1316)
• Ogohlantiruvchi signallar odatda
tashkilotda ruxsat etilmagan
harakatlarni amalga oshirni
kamaytirish uchun foydalaniladi.
• Ushbu signallar tashkilotda katta
hajmli hodimlarni cheklash uchun
katta amaliy yordam beradi.
• Odatda ogohlantiruvchi signallar
sifatida “TAQIQLANGAN
HUDUD” (RESTRICTED AREA),
“OGOHLANTIRISH” (WARNING),
“XAVFLI” (DANGER) iboralardan
foydalaniladi.
Fizik xavfsizlikni nazoratlash: video
kuzatuv vositalari
• Ushbu tizimlar tashkilot aktivlarini bosqinchilardan, o‘g‘rilardan
himoyalashda muhim ahamiyatga ega.
• Video kuzatuv moslamalari odatda tashkilotning kirish eshiklarida,
zallarda va ishchi sohalarida o‘rnatiladi.
• Hozirgi kundagi video kuzatuv vositalari nafaqat harakatlarni qayd
etishda balki, bo‘layotgan harakatlarni aniqlash imkonini beradi.
Kiberxavfsizlik asoslari (CSF1316)
Dome CCTV Bullet CCTV C-mount CCTV Day/ night CCTV
Fizik xavfsizlikni nazoratlash: fizik
xavfsizlik siyosati va muolajalari
Har bir tashkilot samarali fizik xavfsizlikni amalga oshirish
uchun talab qilingan fizik xavfiszlik siyosatini va
muolajalarini amalga oshirishi shart.
• Tashkilot fizik xavfsizligining siyosati o‘zida
quyidagilarni mujassamlashtiradi:
– tashkilotni fizik xavfsizligi nuqtai-nazaridan;
– xodimlarning vazifalari va majburiyatlari;
– foydalanishlarni boshqarishni nazoratlash;
– qaydlash va auditlash.
• Fizik xavfsizlik muolajasi quyidagilarni o‘z ichiga oladi:
– qulflash tizimini boshqarish;
– suqilib kirish insidentlarini qaydlash;
– tashrif buyuruvchilarni boshqarish;
– konfidensial materiallarni yo‘q qilish;
– qog‘oz ko‘rinishidagi axborot uchun toza stol siyosatini va axborotni
ishlashda toza ekran siyosatini amalga oshirish.
Kiberxavfsizlik asoslari (CSF1316)
Boshqa fizik xavfsizlik choralari: yoritish
tizimlari
• Tashkilot binolarining atrofida
etarlicha yoritish amalga
oshirilmaganligi boshqa xavfsizlik
vositalarining vazifasiga salbiy
ta’sir o‘tkazadi.
• Muhitning yoritish tizimi holat va
sezuvchanlikga aloqador holda
quyidagilarga bo‘linadi:
– doimiy yoritish tizimlari – tashkilot
binosi atrofida har doim o‘rnatiluvchi
yoritish vositalari.
– kutish rejimidagi yoritish tizimlari –
biror ogohlantiruvchi signal asosida
avtomatik yoki avtomatik bo‘lmagan
shaklda ishlaydi.
– harakatlanuvchi yoritish tizimlari –
qo‘lda boshqariluvchi yoritish tizimlari
bo‘lib, kechasi va zarur bo‘lganda yoritish
uchun foydalaniladi.
– favqulotda yoritish tizimlari – elektr
quvvati manbalari ishdan chiqqanda yoki
elektr energiyasi uzilganda vaqtinchalik
tashkilot binolarini yoritish bilan
shug‘ullanadi.
Kiberxavfsizlik asoslari (CSF1316)
Boshqa fizik xavfsizlik choralari: quvvat
manbalari
• Etarli darajada quvvatning
bo‘lmasligi va tez tez uzilib
qolishi natijasida jixozlarga
zarar etishi mumkin.
• Tashkilotlarda quvvat manbaini
uzulishi yuzaga kelganda quyidagi
xavfsizlik choralari amalga
oshirilishi zarur:
– quvvat tebranishlariga tayyor turish;
– quvvat uzilishi kuzatilganda
uzluksiz quvvat manbalaridan (UPS –
Unintrruptible power supply)
foydalanish;
– muhitni tahdidlardan himoyalash
tizimlari;
– ish joylarida statik elektrga
g‘arazli ta’sir qilishdan himoyalash
tizimlari;
– elektr quvvatidan foydalanuvchi
vositalarni to‘g‘ri foydalanish.
Kiberxavfsizlik asoslari (CSF1316)
Ish joyining xavfsizligi: qabulxona
• Qabulxona mehmonlar uchun oson foydalanishni ta’minlagani bois,
fizik nuqta nazardan zaif bo‘lishi mumkin.
• Tashkilotda har kuni turli mehmonlar, hamkorlar, xodimlar va hak.lar
kelishadi.
• SHu sababli, qabulxonada o‘tiruvchilar ularni har birini tanib olishga
harakat qilishi shart.
• Bundan tashqari qabulxonada har bir kiruvchini qayd etish lozim.
Kiberxavfsizlik asoslari (CSF1316)
Ish joyining xavfsizligi: Server/ zaxira
nusxalash qurilmalarining xavfsizligi
Faqat, ruxsat etilgan shaxs Server/ zaxira
nusxalash qurilmalaridan foydalana olishi
kerak.
Server va zaxira nusxalash qurilmalarini
fizik xavfsizligini ta’minlash uchun
quyidagilar amalga oshiriladi:
• Server va zaxira nusxalash
qurilmalarini alohida honada saqlash.
Bu chora ushbu qurilmalarni nomalum va
ruxsat etilmagan xodimlar tomonidan
boshqarilishini cheklaydi.
• Server va zaxira nusxalash vositalari
joylashgan xonani yoki muhitga kuzatuv
kameralarini o‘rnatish, smart karta
yoki biometrik parametrga asoslangan
autentifikatsiyani amalga oshirish.
• Serverlarni maxsus tagliklarga
o‘rnatish. Bu serverni o‘g‘irlinishidan va
zarar etishidan himoyalaydi.
• Turli quvvat o‘zgarishini oldini olish
uchun serverlar UPS vositasiga ulangan
bo‘lishi.
• Qurilmalarni qulflanuvchi xona va
kabinetlarda saqlash.
Kiberxavfsizlik asoslari (CSF1316)
Ish joyining xavfsizligi: Kritik aktivlar
va olib yuriluvchi qurilmalar
• Kritik aktivlar, ishchi
stansiyalar, rouiterlar va
svitchlar, printerlar,
boshqa tarmoq
qurilmalari, olib
yuriluvchi vositalar,
laptoplar va hak.lar
xavfsizligiga ham e’tibor
berishi lozim.
• Ular osonlik bilan
o‘g‘irlanishi, yo‘qolishi,
zarar etishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Muhitni nazoratlash: isitish, ventilyasiya va havoni sovitish
tizimlari (Heating, ventilating and air-conditioning system, HVAC)
• Mazkur tizimlar xona yoki
bino ichidagi muhitni
nazoratlash uchun
ishlatiladi va
tashkilotdagi qurilmalar
ishlashi uchun zurur bo‘lgan
muhitni yaratishga xizmat
qiladi.
• Ular nafaqat qurilmalar
ishlovchi mos sharoitni
yaratish uchun balki
xodimlar ishlashi va
tashkilot faoliyati uchun
zarur bo‘lgan muhitni
yaratish uchun ham
qo‘lliniladi.
Kiberxavfsizlik asoslari (CSF1316)
Muhitni nazoratlash: elektromagnit
shovqinlarni ekranlash
• Tashkilotda bir elektron
qurilmadan hosil bo‘lgan
elektromagnit shovqinlar
atrofdagi boshqa qurilmalar
ishiga ta’sir etadi.
• Elektrmagnit shovqinlarni
ekranlashda elektron vositalar
metal bilan qoplanadi va
tarqaluvchi elektr to‘lqini
boshqa vositaga ta’sir etishiga
yo‘l qo‘yilmaydi.
• Tashkilotlarda elektron
qurilmalar ko‘p bo‘lgan
hollarda (masalan,
telekommunikatsiya yoki
shifoxonalarda) ularni
ekranlash zaruriyati yanada
ortadi.
Kiberxavfsizlik asoslari (CSF1316)
Fizik xavfsizlik: ogohlik / o‘qitish
• YAxshi o‘qitilgan va malakaga ega
bo‘lgan xodim tashkilot fizik
xavfsizligiga bo‘lgan
risklarni minimallashtirishi
mumkin.
• Ogohlantirish yoki o‘qitish
dasturiy quyidagilarni
mujassamlashtirgan bo‘lishi
shart:
– hujumlarni kamaytiruvchi
usullarni ta’minlashi;
– maxfiy axborotni olib
yurishdagi risklar;
– xavfsizlik xodimlarining
muhimligini;
– barcha qurilma va ma’lumotlarga
bo‘lishi mumkin bo‘lgan hujum
ehtimolini ko‘rib chiqish.
Kiberxavfsizlik asoslari (CSF1316)
Ogohlik/ o‘qitish kurslari:
• Sinf mashg‘ulotlari
• Aylana stol mashg‘ulotlari
• Xavfsizlik haqida xabardor
qiluvchi veb sayt
• Master klass darslari.
Hulosa: fizik xavfsizlikni amalga oshirilganini
quyidagilar orqali baholanadi:
1. Ruxsatsiz kirishlarni oldini olish uchun mos ruxsatlarni
nazoratlash usullarini o‘rnatilgani.
2. Muhim hududlar to‘g‘ri yoritish tizimi asosida kuzatilayotgani.
3. Turli tahdidlar, yong‘in, tutun, elektr, suv va hak.lar uchun aniqlovchi
ogohlantiruvchi tizimlar o‘rnatilgani va ularni to‘g‘ri ishlayotgani.
4. To‘g‘ri eshiklarni qulflash tizimi o‘rnatilgani va ularni to‘g‘ri
ishlayotgani.
5. Tashkilot binosi va hududini etarli sondagi qo‘riqchilar tomonidan
qo‘riqlanayotgani.
6. Xavfsizlik xodimlarini to‘g‘ri o‘quv mashg‘ulotlariga yuborilgani.
7. Xavfsizlik xodimlarini ishonarli agentliklardan olingan.
8. Tashkilotdagi kuzatuv kameralari to‘g‘ri o‘rnatilgani va uzluksiz
ishlayotgani.
9. Fizik xavfsizlik insidentlarini aniqlash va qayd qilish uchun
to‘g‘ri muolajalar amalga oshirilgani.
10. Favqulotda vaziyatlar uchun xodimlar bilan aloqa o‘rnatuvchi
axborotni mavjudligi.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
9 - Ma’ruza: Ma’lumotlarga
nisbatan ruxsatlarni mantiqiy
boshqarish. Formal modellar.
Barcha odamlarga ma’lumot bering va ularni xabardor
qiling. Bu bizning ozodligimizni saqlashning yagona
ishonchli tayanchidir - Thomas Jefferson.
Ruxsatlarni nazoratlash
• Ruxsatlarni nazoratlash sohasi quyidagi qism sohalardan
iborat:
– Identifikatsiya
– Autentifikatsiya
– Avtorizatsiya.
• Avtorizatsiya – identifikatsiya, autentifikatsiya
jarayonlaridan o‘tgan foydalanuvchi uchun tizimda
bajarishi mumkin bo‘lgan amallarga ruxsat berish
jarayonidir.
• Avtorizatsiya tushunchasi odatda foydalanishni
boshqarish tushunchasiga sinonim sifatida ham
foydalanadi.
Kiberxavfsizlik asoslari (CSF1316)
Foydalanishni boshqarish
• Foydalanishni boshqarish - sub’ektni ob’ektga ishlash
qobilyatini aniqlashdir.
Kiberxavfsizlik asoslari (CSF1316)
Sub’ekt Ob’ekt
Ruxsat
Natija
• Sub’ekt – bu inson, dastur, jarayon va hak. bo‘lishi
mumkin.
• Ob’ekt – bu ma’lumot, resurs, jarayon va hak. bo‘lishi
mumkin.
Foydalanishni boshqarish usullari
Kiberxavfsizlik asoslari (CSF1316)
Foydalanishni boshqarishning quyidagi usullari
mavjud:
• diskretsion foydalanishni boshqarish usuli
(Discretionary access control, DAC);
• mandatli foydalanishni boshqarish usuli
(Mandatory access control, MAC);
• rolga asoslangan foydalanishni boshqarish usuli
(Role-based access control, RBAC);
• attributlarga asoslangan foydalanishni
boshqarish usuli (Attribute-based access control,
ABAC).
Foydalanishni boshqarish usullaridan
amalda foydalanish
Tizimda ushbu foydalanish usullari bir-biridan
alohida-alohida foydalanilishi talab etilmaydi va
ularning kombinatsiyasidan ham foydalanish mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Mandatli
Rolga
asoslangan
Diskretsion
Foydalanishni
nazorat tizimlari
DAC usuli
• Foydalanishni boshqarishning mazkur usuli tizimdagi
shaxsiy ob’ektlarni himoyalash uchun qo‘llaniladi.
• Bunga ko‘ra ob’ekt egasining o‘zi undan foydalanish
huquqini va kirish turini o‘zi belgilaydi.
• DAC da sub’ektlar tomonidan ob’ektlarni boshqarish
sub’ektlarning identifikatsiya axborotiga asoslanadi.
– Masalan, UNIX operatsion tizimida fayllarni himoyalashda,
fayl egasi qolganlarga o‘qish (r), yozish (w) va bajarish (x)
amallaridan bir yoki bir nechtasini berishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
DAC usulidan foydalanish
• Asosan,
aksariyat
operatsion
tizimlarda
keng
foydalaniladi:
Kiberxavfsizlik asoslari (CSF1316)
DAC usulining tahlili
• Ma’lumotlar undan foydalanish huquqiga ega bo‘lmagan
sub’ektlar tomonidan foydalanilmasligi to‘liq
kafolatlamagan:
– YA’ni, o‘qish huquqiga ega bo‘lgan bir foydalanuvchini ma’lumotni
egasining ruxsatisiz huquqga ega bo‘lmagan foydalanuvchiga
yuborish imkoniyati mavjud.
• Tizimdagi barcha ob’ektlar ulardan foydalanishni
belgilaydigan su’ektlarga tegishli:
– Amalda esa, tizimdagi barcha ma’lumotlar shaxslarga tegishli
emas, balki butun tizimga tegishli bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
MAC usuli
• Mazkur usuli foydalanish ruxsati ob’ektning egasi
tomonidan amalga oshirmaydi.
• MAC usulida foydalanishlar sub’ektlar va ob’ektlarni
klassifikatsiyalashga asosan boshqariladi.
• Tizimning har bir sub’ekti va ob’ekti bir nechta xavfsizlik
darajasiga ega bo‘ladi.
• Ob’ektning xavfsizlik darajasi tashkilotda ob’ektning
muhimlik darajasi bilan yoki yo‘qolgan taqdirda keltiradigan
zarar miqdori bilan xarakterlanadi.
• Sub’ektning xavfsizlik darajasi esa unga ishonish
darajasi bilan belgilanadi.
• Misol:
O‘TA MAXFIY (O‘M), MAXFIY (M), KONFIDENSIAL (K) va
OCHIQ (O) shaklida yoki: O‘M > M > 𝐾 > 𝑂.
Kiberxavfsizlik asoslari (CSF1316)
MAC usuli
• MAC usuli bilan foydalanishni boshqarishda
xavfsizlik markazlashgan holatda xavfsizlik siyosati
ma’muri tomonidan amalga oshiriladi.
• Masalan, Alisa O‘TA MAXFIY ruxsatnomasiga ega
bo‘lgan sub’ektlarga ruxsat bera olmaydi.
• Bunda foydalanuvchi xavfsizlik siyosatini o‘zgartira
olmaydi.
– DAC usulida esa ob’ektning egasi xavfsizlik siyosatini quradi
va kimga foydalanish uchun ruxsat berilishini aniqlaydi.
• MAS usuli o‘rnatilgan tizimlar xavfsizlik siyosati
ma’muriga tashkilot bo‘ylab xavfsizlik siyosatini amalga
oshirish imkoniyatini beradi.
Kiberxavfsizlik asoslari (CSF1316)
MAS asosida axborot maxfiyligini
ta’minlash
• Agar ob’ekt va sub’ekning xavfsizlik darajalari
orasidagi bir qancha bog‘liqliklar shartlari
bajarilsa u holda sub’ekt ob’ektdan foydalanish
huqiqiga ega bo‘ladi.
• Masalan:
– agar sub’ektning xavfsizlik darajasida ob’ektning xavfsizlik
darajasi mavjud bo‘lsa, u holda O‘QISH uchun ruxsat beriladi.
– agar sub’ektning xavfsizlik darajasi ob’ektning xavfsizlik
darajasida bo‘lsa, u holda YOZISH ruxsati beriladi.
Kiberxavfsizlik asoslari (CSF1316)
MAS asosida axborot maxfiyligini
ta’minlash
Kiberxavfsizlik asoslari (CSF1316)
O‘M
M
K
O
4
3
2
1
O‘qish
O‘qish
O‘qish
O‘qish
YOzish
YOzish
YOzish
YOzish
Sub’ektlar Ob’ektlar
Axborot oqimi
MAS asosida axborot maxfiyligini
ta’minlash – TAHLIL
• Ushbu modelda foydalanuvchi va sub’ekt tushunchalri bir –
biridan farq qiladi.
• Xavfsizlik darajasi sub’ektga beriladi.
• Foydalanuvchi esa u yoki bu vaqtda sub’ekt nomidan ish
qilishi mumkin.
• 1. Quyi sathli foydalanuvchi barcha yuqori sathli
ob’ektlarga yozishi mumkin.
– Bu holda u o‘zining mavjud ob’ektini qayta yozishi mumkin va bu
o‘chirishga tengdir.
• 2. YUqori sath foydalanuvchisi quyi sathdagi
ob’ektlarni o‘zgartira olmaslik muammosini, turli
hujjatlardan foydalanish uchun turli darajadagi
ishonchga ega bo‘lgan sub’ektlar nomidan ish ko‘rish
bilan hal etadi.
Kiberxavfsizlik asoslari (CSF1316)
MAS asosida axborot ishonchligini
ta’minlash
Qoida:
• agar sub’ektning
xavfsizlik darajasida
ob’ektning xavfsizlik
darajasi mavjud
bo‘lsa, u holda YOZISH
uchun ruxsat beriladi.
• agar sub’ektning
xavfsizlik darajasi
ob’ektning xavfsizlik
darajasida bo‘lsa, u
holda O‘QISH ruxsati
beriladi.
Kiberxavfsizlik asoslari (CSF1316)
O‘M
M
K
O
4
3
2
1
YOzish
YOzish
YOzish
YOzish
O‘qish
O‘qish
O‘qish
O‘qish
Sub’ektlar Ob’ektlar
Axborot oqimi
RBAC usuli
• RBAC usulida foydalanishni boshqarishning asosiy
g‘oyasi tizimning ishlash logikasini tashkilotda kadrlar
vazifasiga yaqinlashtirish.
– YA’ni, RBAC usuli foydalanuvchini axborotga ruxsatini
boshqarishda uning tizimdagi harakat xiliga asoslanadi.
– Masalan, boshliq oddiy hodimga ko‘ra ko‘proq harakatni amalga
oshiradi va shuning uchun qolganlarga nisbatan kengroq
foydalanishni boshqarish huquqiga ega bo‘ladi.
• Rol tushunchasini muayyan faoliyat turi bilan bog‘liq
harakatlar va majburiyatlar to‘plami sifatida
belgilanishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
RBAC usuli
• Har bir ob’ekt uchun har bir foydalanuvchini
foydalanish ruxsatini belgilash o‘rniga, rol uchun
ob’ektlardan foydalanish ruxsatini ko‘rsatish etarli.
• Foydalanuvchilar o‘z navbatida o‘zlarining rollarini
ko‘rsatishadi.
• Masalan, buxgaleteriya ma’lumotlaridan foydalanish
uchun buxgalter roli talab etiladi. Agar Alisa buxgalter
bo‘lsa, ushbu ruxsatga ega bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
RBAC usuli xususiyatlari
• Foydalanuvchi turli vaziyatlarda turli rollarni
bajarishi mumkin.
– Masalan, prorektor bir vaqtning o‘zida o‘qituvchi vazifasini ham
bajarishi mumkin.
• Xuddi shu rolni bir nechta foydalanuvchilar ba’zan bir
vaqtning o‘zidan ishlatishlari mumkin.
• Ba’zi tizimlarda esa foydalanuvchiga bir vaqtning o‘zida
bir nechta rollarni bajarishga ruxsat berilsa,
boshqalarida har qanday vaqtda bir-biriga zid bo‘lmagan
bir yoki bir nechta rollarni cheklash mavjud bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
RBAC usuli afzalliklari
• Ma’murlashning osonligi
– Rolli modelda rol va foydalanuvchi tushunchalarini ajratish
vazifani ikki qismga ajratish imkonini beradi: foydalanuvchi
rolini aniqlash va rol uchun ob’ektga ruxsatini aniqlash.
– Ushbu yondashuv boshqaruv jarayonini sezilarli darajada
osonlashtiradi.
– Foydalanuvchini javobgarlik sohasini o‘zgartirganda undan eski
rolni olib tashlash va unga yangi vazifasiga mos kelidagan rolni
berishning o‘zi kifoya qiladi.
• Masalan, Alisaga prorektor roli emas balki oddiy o‘qituvchi rolini
berishning o‘zi kifoya.
• Rollar ierarxiyasi
– Rollarning haqiqiy ierarxiyasini yaratish orqali haqiqiy biznes
jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin.
– Har bir rol o‘z imtiyozlari bilan bir qatorda boshqa rollarning
imtiyozlariga ega bo‘lishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
RBAC usuli afzalliklari
• Eng kam imtiyoz prinsipi
– Rolli model foydalanuvchiga tizimda kerakli vazifalarni
bajarishga imkon beruvchi eng kichik rol bilan ro‘yxatdan o‘tish
imkonini beradi.
• Masalan, talabalarga baho qo‘yish uchun o‘qituvchi rolining o‘zi
etarli.
– Eng kam imtiyoz prinsipi tizimdagi ma’lumotlarning
ishonchligini ta’minlash uchun juda muhimdir.
• Majburiyatlarni ajratish
– Firibgarlikni oldini olish uchun bir shaxs tomonidan ko‘plab
vazifalarni bajarishga ruxsat bermaslik zarur.
• To‘lovni yaratish va uni tasdiqlash bunga misoldir.
– Rollarga asoslangan usul esa ushbu muammoni maksimal darajada
osonlik bilan hal qiladi.
Kiberxavfsizlik asoslari (CSF1316)
RBAC usuli
Kiberxavfsizlik asoslari (CSF1316)
Foydala
nuvchi
Rollar Imtiyoz
lar
Admin.
roli
Admin.
imtiyoz
lari
CHeklov
Seans
Rollar
ierarxiyasi
Foydalanuvchiga
berilgan rol
Berilgan imtiyoz
Foydalanuvchiga
berilgan rol Berilgan imtiyoz
ABAC usuli
• ABAC usuli - ob’ektlar va sub’ektlarning atributlari,
ular bilan mumkin bo‘lgan amallar va so‘rovlarga mos
keladigan muhit uchun qoidalarni tahlil qilish asosida
foydalanishlarni boshqaradi.
• Qoidada har qanday turdagi attributlardan
(foydalanuvchi attributlari, resurs attributlari, ob’ekt
va muhit attributlari va hak.) foydalanish mumkin.
• Resursni va harakatni kim bajarayotgani to‘g‘risidagi
holatlar “AGAR, U HOLDA” dan tashkil topgan
qoidalarga asoslanadi.
– Masalan, AGAR talabgor boshqaruvchi bo‘lsa, U HOLDA maxfiy
ma’lumotni o‘qish/ yozish huquqi berilsin.
Kiberxavfsizlik asoslari (CSF1316)
ABAC usuli
• Attributlarga asoslangan foydalanishni boshqarishdagi
asosiy standartlardan biri bu - XACML (eXtensible
Access Control Markup Language).
• XACML asosiy tushunchalari:
– qoida (rules),
– siyosat (policy),
– qoida va siyosatni mujassamlashtirgan algoritmlar (rule-combing
algorithms),
– attributlar (attributes) (sub’ekt, ob’ekt, harakat va muhit
shartlari),
– majburiyatlar (obligations)
– va maslahatlar (advices).
Kiberxavfsizlik asoslari (CSF1316)
ABAC usuli
• XACML:
– Qoida markaziy element bo‘lib, o‘zida maqsad, ta’sir, shart,
majburiyat va maslahatlarni o‘z ichiga oladi.
– Maqsad – bu sub’ekt ob’ekt ustida nima harakat qilishidir
(o‘qish, yozish, o‘chirish va hak.).
– Ta’sir mantiqiy ifodalarga asoslangan bo‘ladi va tizim
foydalanish uchun ruxsat, taqiq, mumkin emas, aniqlanmagan
holatlaridan biri bo‘lgan ruxsatni berishi mumkin.
• Mumkin emas buyrug‘i mantiqiy shart noto‘g‘ri bo‘lganda qaytarilsa,
ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun
aniqlanmagan ta’sirini ko‘rsatadi.
Kiberxavfsizlik asoslari (CSF1316)
Maqsad Bemorni tibbiy kartasidan qon guruhini bilish
Harakat Ruxsat
SHart Sub’ekt.Lavozimi=Vrach & muhit.vaqt >= 8:00 & muhit.vaqt <=18:00
Majburiyat Tibbiy yozuvini ko‘rish sanasini (muhit.vaqt) ro‘yxatga olish jurnalida ko‘rsatish.
Foydalanishni boshqarish matritsasi
• Avtorizatsiyaning klassik ko‘rinishi Lampsonning
foydalanishni boshqarish matritsasidan boshlanadi.
• Ushbu matritsa operatsion tizimni barcha foydalanuvchilar
uchun turli ma’lumotlarni boshqarishi xususisidagi
qarorni qabul qilishi uchun zarur bo‘lgan barcha axborotni
o‘z ichiga oladi.
• Operatsion tizimdagi foydalanuvchilar sub’ekt
sifatida va tizim resurslari ob’ekt sifatida qaraladi.
• Avtorizatsiya sohasidagi ikkita asosiy qurvchilar:
foydalanishni boshqarish ro‘yxati (Access control list,
ACL) va imtiyozlar ro‘yxati (Capability list, C-list)
hisoblanib, har ikkalasi ham Lampsonning
foydalanishni boshqarish matritsasidan olingan.
Kiberxavfsizlik asoslari (CSF1316)
Foydalanishni boshqarish matritsasi
• Matritsaning satrlari sub’ektlarni va ustunlari
ob’ektlarni ifodalaydi.
• Bundan ko‘rinib turibdiki, biror sub’ekt 𝑆 ga va ob’ekt
𝑂 uchun berilgan imtiyozlar ularning matritsadagi
indekslari kesishgan nuqtada saqlanadi.
Kiberxavfsizlik asoslari (CSF1316)
OT Buxgalteriyaga
oid dastur
Buxgalteriyaga
oid ma’lumot
Sug‘urta
ma’lumoti
To‘lov
qaydnomasi
ma’lumoti
Bob rx rx r - -
Alisa rx rx r rw rw
Sem rwx rwx r rw rw
Buxgal-
teriyaga oid
dastur
rx rx rw rw r
• Imtiyozlar UNIX operatsion tizimidagi imtiyozlar
shaklida, ya’ni, 𝑥, 𝑟 va 𝑤 lar mos ravishda bajarish, o‘qish
va yozish amalini anglatadi.
Foydalanishni boshqarish matritsasi
• Jadvalda buxgalteriyaga oid dastur ham sub’ekt ham
ob’ekt sifatida olingan.
• Bu foydali tanlov bo‘lib, buxgalteriyaga oid
ma’lumotlarni faqat buxgalteriyaga oid dastur
tomonidan boshqarish imkonini beradi.
• YA’ni, turli buxgalteriya tekshiruvlari va balans
haqidagi ma’lumotlar faqat buxgalteriyaga oid dasturiy
ta’minot tomonidan boshqarishilishi shart va yuqoridagi
matritsada keltirilgan shakl buni ta’minlaydi.
• Lekin bu hamma vaqt ham bo‘lishi mumkin bo‘lgan
hujumlarni oldini olmaydi.
– Masalan, Sem buxgalteriga oid dasturni noto‘g‘ri versiya bilan
almashtirish yoki soxta versiya bilan almashtirishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Foydalanishni boshqarish matritsasi muammosi
• Foydalanishni boshqarish matritsasida barcha sub’ektlar
va barcha ob’ektlar mavjudligi tufayli, u avtorizatsiya
qarorlari asoslangan barcha ma’lumotlardan tashkil
topgan.
• SHuning uchun, katta hajmdagi foydalanishni boshqarish
matritsasini boshqarish amaliy tomondan mushkul.
• Buni hisoblash tizim uchun katta yuklamani keltirib
chiqaradi.
Kiberxavfsizlik asoslari (CSF1316)
ACL yoki S-list
• Ushbu muammoni echimi bormi?
• Ha. Boshqarish matritsasini boshqariluvchi qismlarga
bo‘lish kerak.
• Boshqarish matritsasini qismlarga ajratish:
– Satrlar bo‘yicha (Capability list, C-list);
– Ustunlar bo‘yicha (ACL yoki access control list).
Kiberxavfsizlik asoslari (CSF1316)
ACL
• Matritsani ustunlar bo‘yicha bo‘linadi va har bir ustun mos
ob’ekt bilan saqlanadi.
• Agar ob’ektdan foydalanishga murojaat bo‘lganda
foydalanishni boshqarish matritsasining ushbu ustuni olinadi
va amalni bajarishga ruxsat berilgani tekshiriladi.
• Ushbu ustunlarni ACL kabi bilish mumkin.
• Masalan, matritsadagi sug‘urta ma’lumotiga tegishli bo‘lgan
ACL quyidagicha:
(Bob, −), (Alisa, 𝑟𝑤), (Sem, 𝑟𝑤), (buxgalteriyaga oid dastur, 𝑟𝑤)
Kiberxavfsizlik asoslari (CSF1316)
S-list
• Foydalanishni boshqarish matritsasi satrlar bo‘yicha
saqlinaja va har bir satr mos sub’ekt bilan saqlanadi.
• Agar sub’ekt tomonidan biror amalni bajarishga harakat
qilinsa, amalni bajarishga ruxsat borligini bilish
uchun foydalanishni boshqarish matritsasining mazkur
satriga qaraladi.
• Mazkur yondashuv imtiyozlar ro‘yxati kabi yoki C-list deb
ataladi.
• Masalan, matritsadagi Alisaning imtiyozlar ro‘yxati yoki
C-list quyidagiga teng:
Kiberxavfsizlik asoslari (CSF1316)
(𝑂𝑇, 𝑟𝑥), (, buxgalteriyaga oid dastur, 𝑟𝑥), (buxgalteriyaga oid ma’lumot, 𝑟),
(sug‘urta ma’lumoti, 𝑟𝑤), (to‘lov qaydnomasi ma’lumoti, 𝑟𝑤)
ACL yoki S-list
• ACL va C-list o‘zaro ekvivalent:
– ular bir xil axborotni o‘zida turlicha saqlaydi;
– ular orasida bilinar bilinmas farq mavjud.
Kiberxavfsizlik asoslari (CSF1316)
Alisa
Bob
Fred
r
---
r
w
r
---
rw
r
r
Fayl 1
Fayl 1
Fayl 1
ACL
Alisa
Bob
Fred
r
w
rw
---
r
r
r
---
r
Fayl 1
Fayl 1
Fayl 1
C-list
ACL yoki S-list
• Rasmda ACL uchun ko‘rsatkich resurslardan
foydalanuvchilarga qarab yo‘nalgan bo‘lsa, C-list uchun esa
ko‘rsatkichlar foydalanuvchilardan resurslarga qarab
yo‘nalgan.
• Bu ko‘ringan ahamiyatsiz farq muhim ahamiyatga ega.
• Xususan, imtiyozlar (C-list) bilan foydalanuvchilar va
fayllar orasidagi aloqadorlik tizim ichida quriladi.
• ACLga asoslangan tizimda esa, foydalanuvchilarni
faylga aloqadorligi uchun alohida usullar talab etiladi.
Kiberxavfsizlik asoslari (CSF1316)
Tartibsiz yordamchi
• Tartibsiz yordamchi bu – ko‘p jabhalarda klassik xavfsizlik
muammosi hisoblanadi.
• Misol:
– ikkita resursga ega tizim olingan:
• birinchi resurs kompilyator bo‘lsa,
• ikkinchisi maxfiy to‘lov axborotidan iborat bo‘lgan BILL deb nomlangan fayl
• va bir foydalanuvchi, Alisadan iborat.
– Kompilyator ixtiyoriy faylni ishga tushira oladi.
– Alisa kompilyatorni ishga tushira oladi va buni uchun fayl nomini
kiritadi.
– Biroq, Alisaga BILL nomli faylni zararlashi mumkinligi sababli, unga
yozish ruxsati mavjud emas.
– YA’ni, foydalanish matritsasi quyidagicha:
Kiberxavfsizlik asoslari (CSF1316)
Kompilyator BILL
Alisa x -
Kompilyator rx rw
Tartibsiz yordamchi
• Faraz qilinsin,
– Alisa kompilyatorni ishga tushirdi va fayl nomi sifatida
BILLni ko‘rsatdi.
– Alisa ushbu imtiyozga ega bo‘lmagani uchun, mazkur buyruq amalga
oshirilmaydi.
– Biroq, Alisa nomidan ish ko‘ruvchi kompilyator BILL faylini
qayta yozish imkoniyatiga ega.
– Agar kompilyator o‘z imkoniyati bilan ishlasa va u Alisa
tomonidan ishga tushirilsa, u holda BILL faylini zararlashi
mumkin.
Kiberxavfsizlik asoslari (CSF1316)
ALISA
debug Kompilyator
Fayl nomi BILL
BILL
BILL
Tartibsiz yordamchi
• Bu nima uchun tartibchiz yordamchi deb ataladi?
– Kompilyator Alisa tomonida va shuning uchun uning yordamchisi.
– Kompilyator Alisaning imtiyoziga ko‘ra ish ko‘rish o‘rniga o‘zining
imtiyoziga asosan ish ko‘rmoqda.
• Ushbu muammoning echimi:
– ACL bilan mazkur holatini oldini olish juda ham murakkab (lekin
imkonsiz emas).
– C-list bilan buni osonlikcha bartaraf etish mumkin:
• YA’ni, Alisa kompilyatorga murojaatni amalga oshirganda, unga o‘zining
C-listni beradi.
• ACL vs S-list
– ACL bilan biror resursga huquqlarni almashtirish oson.
– C-list vakolatlar berish oson, foydalanuvchi qo‘shish yoki o‘chirish juda
ham oson.
• Biroq, imkoniyatlarni amalga oshirish biroz murakkab va yuqori
xarajatni talab etadi.
– SHuning uchun ACL hozirgi kunda amaliyotda C-listdan ko‘ra ko‘p
foydalaniladi.
Kiberxavfsizlik asoslari (CSF1316)
Ko‘p sathli xavfsizlik (multilevel security,
MLS) modellari
• Xavfsizlik modellari himoyalanish uchun nima
kerakligini aytadi.
– Biroq ular haqiqiy savolga javob bermaydi, ya’ni, bunday
himoyani qanday ta’minlash kerakligini aytmaydi.
• MLS da sub’ektlar sifatida foydalanuvchilar (umumiy
holda insonlar) va ob’ektlar sifatida himoyalanuvchi
ma’lumotlar olingan (masalan, hujjatlar).
• Bundan tashqari, klassifikatsiyalash ob’ektlarga
taalluqli bo‘lib, sub’ektlarga esa ruxsatnomalar
qo‘llaniladi.
Kiberxavfsizlik asoslari (CSF1316)
Ko‘p sathli xavfsizlik (multilevel security,
MLS) modellari
• AQSHning Department of Defence (yoki DOD) tashkilotida
to‘rtta sathdagi klassifikatsiyalash va ruxsatnomalardan
foydalaniladi:
• TOP SECRET > SECRET > CONFIDENTIAL > UNCLASSIFIED.
• Masalan,
– SECRET ruxsatnomasiga ega sub’ektga SECRET yoki undan kichik klassdagi
ma’lumotlardan foydalanish imtiyozi mavjud.
– Biroq TOP SECRET klassidagi ma’lumotdan foydalanish imtiyoziga ega emas.
• Faraz qilaylik:
– 𝑂 - ob’ekt bo‘lsin;
– 𝑆 unda sub’ekt bo‘lsin.
– U holda: 𝑂 ning xavfsizlik sathi 𝐿(𝑂) sifatida va 𝑆 ning
xavfsizlik sathi 𝐿(𝑆) kabi belgilanadi.
• DOD tizimida yuqoridagi tenglikda ko‘rsatilgan 4 ta sathli
klassifikatsiyalash va ruxsatnomalardan foydalaniladi.
Kiberxavfsizlik asoslari (CSF1316)
Axborotni klassifikatsiyalash bilan bog‘liq
muammolar
• Mos klassifikatsiyalash har doim ham aniq bo‘lmaydi va
ikkita malakali foydalanuvchilarda tamomila turlicha
ko‘rinishlarda bo‘ladi.
• Klassifikatsiyalashda qo‘llaniluvchi donadorlik darajasi
ham muammo bo‘lishi mumkin:
– TOP SECRET bo‘lgan, lekin har bir paragrifi alohida olinganda
UNCLASSIFIED darajsidagi hujjatni yaratish mutlaqo mumkin.
• Dushman UNCLASSIFIED turidagi hujjatlarni yig‘ish
orqali TOP SECRET darajasidagi hujjatni hosil
qilishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Bell-Lapadula modeli
• MLSning ko‘plab modellari mavjud.
• Bell-Lapadula (Bell-LaPadula, BLP) ular orasida eng
soddasi.
• BLPning asosiy maqsadi har qanday MLS tizimini
qanoatlantirishi kerak bo‘lgan konfidensiallikka
nisbatan minimal talablarni to‘plashdir.
• BLP quyidagi ikki formulirovkadan tashkil topgan:
– Xavfsizlikni oddiy sharti: agar faqat va faqat 𝐿(𝑂) ≤ 𝐿(𝑆)
shart bajarilganda 𝑆 sub’ekt 𝑂 ob’ektni o‘qishi mumkin.
– *-Xususiyat (erkinlikni cheklash): faqat va faqat 𝐿(𝑆) ≤ 𝐿(𝑂)
shartda sub’ekt 𝑆 ob’ekt 𝑂 ga yozishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Bell-Lapadula modeli
Kiberxavfsizlik asoslari (CSF1316)
YUqori
klassifikatsiyali
sub’ekt
YUqori
klassifikatsiyali
ob’ekt
Past
klassifikatsiyali
ob’ekt
Past
klassifikatsiyali
sub’ekt
O‘qish
YOzish
YOzish
O‘qish
O‘qish
YOzish
YOzish
O‘qish
Biba modeli
• BLP modeli konfidensiallik bilan shug‘ullangan bo‘lsa,
Biba modeli butunlik bilan shug‘ullanadi.
• Agar biz 𝑂1 ob’ektning butunligiga ishonsak, biroq 𝑂2
ob’ektning butunligiga ishonmasak, u holda ob’ekt 𝑂
ikkita 𝑂1 va 𝑂2 ob’ektlardan yaratilgan bo‘lsa, u holda
ob’ekt 𝑂 ning butunligiga ishonmaymiz.
– Boshqa so‘z bilan aytilganda ob’ekt 𝑂 ning butunligi uni tashkil
etgan ixtiyoriy ob’ektning minimal butunlik darajasidan
iborat.
• Biba modelini izohlash uchun, 𝐼(𝑂) orqali 𝑂 ob’ektning
butunligi izohlansa, 𝐼(𝑆) orqali 𝑆 sub’ektning
butunligi izohlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Biba modeli
• U holda Biba modeli quyidagi ikkita formilirovkadan
iborat:
– YOzish huquqli qoida: faqat va faqat 𝐼(𝑂) ≤ 𝐼(𝑆) shart
bajarilsa, sub’ekt 𝑆 ob’ekt 𝑂 ga yoza oladi.
– Biba modeli: faqat va faqat 𝐼(𝑆) ≤ 𝐼(𝑂) shart bajarilsa,
sub’ekt 𝑆 ob’ekt 𝑂 ni o‘qiy oladi.
• Biba modelida biz 𝑆 o‘qigan eng past butunlik ob’ektidan
boshqa 𝑆 ga ishonmasligimiz mumkin emas.
• 𝑆 sub’ekt kichik butunligi past bo‘lgan ob’ekt tomonidan
zararlanishi mumkinligi sababli, 𝑆 ga bunday
ob’ektlarni o‘qish taqiqlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Biba modeli
Kiberxavfsizlik asoslari (CSF1316)
YUqori
klassifikatsiyali
sub’ekt
YUqori
klassifikatsiyali
ob’ekt
Past
klassifikatsiyali
ob’ekt
Past
klassifikatsiyali
sub’ekt
O‘qish
YOzish
YOzish
O‘qish
O‘qish
YOzish
YOzish
O‘qish
BLP va Biba modellari
• BLP konfidensiallikni ta’minlash uchun.
• Biba esa butunlikni ta’minlash uchun.
Kiberxavfsizlik asoslari (CSF1316)
YUqori
Past
S
a
t
h
BLP
L(O1)
L(O2)
L(O)
Konfidensiallik
YUqori
Past
S
a
t
h
Biba
I(O1)
I(O2) I(O)
Butunlik
Mantiqiy va fizik foydalanishlarni boshqarish
• Foydalanishni boshqarishning mantiqiy vositalari
infratuzilma va uning ichidagi tizimlarda mandat, tasdiqlash,
avtorizatsiya va majburiyatlar uchun foydalaniladi.
• Foydalanishni boshqarishning mantiqiy usuli shuningdek,
dastur, operatsion tizim, ma’lumotlar bazasida ham
qo‘llanilishi mumkin.
• Fizik foydalinishni boshqarish mexanik ko‘rinish bo‘lib,
qulflanuvchi honadan fizik foydalanishga o‘xshatish mumkin.
• Foydalanishni boshqarishni aslida mantiqiy va fizik turga
ajratishning o‘zi noaniq hisoblanadi.
– Masalan, fizik nazoratlash odatda dasturlar, kartadagi chiplar va
dasturiy ta’minot orqali ishlovchi elektrik qulflar orqali
ishlaydi. YA’ni, bu o‘rinda fizik foydalanishni mantiqiy deb qarash
mumkin.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
10 - Ma’ruza: Diskni va faylni
shifrlash. Ma’lumotni xavfsiz
o‘chirish.
Agar sen sir saqlamoqchi bo‘lsang, uni o‘zingdan ham
yashirishing kerak - George Orwell.
Axborotning kriptografik himoya
vositalari
Apparat
kriptografik vosita
Dasturiy
kriptografik vosita
Apparat-dasturiy
kriptografik vosita
Kiberxavfsizlik asoslari (CSF1316)
Apparat VS dasturiy kriptografik vosita
Apparat
Maxsus protsessorda amalga oshiriladi
Kalit va maxfiy kattaliklar qurilmada
saqlanadi.
Maxsus kalit generatori mavjud.
YUqori samaradorlikka ega.
Dasturiy
Kompyuter protsessoridan amalga
oshiriladi
Saqlash uchun qo‘shimcha qurilma zarur.
Kalit foydalanuvchi tomonidan
kiritiladi.
Dasturlar multifunksional bo‘lishi
mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Apparat VS dasturiy kriptografik vosita
Apparat
Apparatga nisbatan autentifikatsiya
amalga oshiriladi.
Qo‘shimcha qurilma yoki drayver talab
etmaydi.
Narxi yuqori.
YAngilash imkoniyati qariyib yo‘q.
Zararli dasturlardan foydalanish,
kalitni to‘liq tanlash va hak.
hujumlaridan himoyalangan.
Dasturiy
OT darajasidagi autentifikatsiya.
Qo‘shimcha kutubxona yoki drayver talab
etiladi.
Narxi past.
YAngilash imkoniyati oson.
Aksariyat hujumlarga bardoshsiz.
Kiberxavfsizlik asoslari (CSF1316)
Masalan, Rutoken S
Xususiyatlari:
• shifrlash kalitlari, ERI kalitlari va
turli sertifikatlarni xavfsiz saqlash
uchun foydalaniladi;
• ushbu tokendan foydalanish uchun PIN
kodni kiritish talab etiladi;
• diskdagi ma’lumotlarni shifrlash uchun
qo‘llaniladi;
• tokenda mehmon, foydalanuvchi va
administrator darajalari mavjud;
• Microsoft Windows
10/8.1/2012R2/8/2012/7/2008R2/Vista/2008/
XP/2003, GNU/Linux, Apple macOS/OSX
muhitlarida foydalanish mumkin;
• 32, 64 va 128 KB xotiraga ega EEPROM;
• USB 1.1 va undan yuqori interfeysga ega;
• 58x16x8mm (mikro-token 17,8x15,4x5,8mm)
o‘lchamga ega;
• 6,3g (mikro-token 1,6g) og‘irlikka ega.
Kiberxavfsizlik asoslari (CSF1316)
Masalan, TrueCrypt
Xususiyatlari:
• C, C++, Assembly dasturlash
tillaridan foydalanib
yozilgan;
• Windows, macOS, Linux
OTlarida foydalanish
mumkin;
• 3.30 MB hajmga ega;
• ushbu dasturiy vosita AES,
Serpent, va Twofish blokli
shifrlash algoritmlaridan
foydalaniladi.
Kiberxavfsizlik asoslari (CSF1316)
Dasturiy shifrlash vositalari
Dasturiy
shifrlash
vositalari
guruhlari:
Diskni shifrlash dasturiy vositalari
(Disk encryption software)
Fayl/ katalogni shifrlash dasturiy
vositalari (File/folder encryption)
Ma’lumotlar bazasini shifrlash
dasturiy vositalari (Database encryption)
Aloqani shifrlash dasturiy vositalari
(Communication encryption software)
Kiberxavfsizlik asoslari (CSF1316)
Disk va fayl tizim sathida shifrlash
Diskni shifrlash
• Ma’lumotni saqlash vositalarida (qattiq disk,
yumshoq disk, USB disk va bosh.) saqlangan ma’lumot
konfidensialligini ta’minlash uchun amalga
oshiriladi.
• Diskni shifrlashning apparat yoki dasturiy
vositasidan foydalaniladi.
Fayl/ katalogni shifrlash
• Diskni shifrlashning bir ko‘rinishi.
• Fayl tizimi orqali fayllar yoki kataloglar
shifrlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Diskni shifrlash
Xususiyatlari:
• Diskdagi barcha ma’lumotlarni (master boot record, (MBR)
bilan) yoki MBR siz shifrlashni amalga oshiradi.
• Asosan disk ishlab chiqaruvchilar tomonidan taklif etiladi.
• Apparat yoki dasturiy ko‘rinishdagi vositalar asosida amalga
oshirilishi mumkin.
• Foydalanuvchi shaxsiy xabarlarni alohida shifrlashni
unutgan vaqtlarda juda qo‘l keladi.
• Zudlik bilan ma’lumotlarni yo‘q qilish, masalan,
kriptografik kalitni yo‘q qilish mavjud ma’lumotni
foydasiz holatga keltiradi.
• Kelajakdagi bo‘lishi mumkin bo‘lgan ma’lumotlarni tiklash
usullariga bardoshli bo‘lishi uchun diskni fizik yo‘q qilish
tavsiya etiladi.
Kiberxavfsizlik asoslari (CSF1316)
Diskni shifrlash: BestCrypt dasturiy
vositasi
• Windows, Linux va OS X muhitlarida foydalanish
mumkin.
• AES, Serpent, Blowfish, Twofish, DES, Triple DES, GOST
28147-89 algoritmlardan foydalanadi.
• Diskni shifrlash asosida virtual disk hosil qiladi.
• Ikki faktorli autentifikatsiyaga ega.
Kiberxavfsizlik asoslari (CSF1316)
Fayl/ katalogni shifrlash
Kiberxavfsizlik asoslari (CSF1316)
Xususiyatlari:
• asosiy fayl tizimining ustida joylashgan
kriptografik fayl tizimidan foydalanadi (masalan,
ZFS, EncFS);
• faylga asoslangan holda kalitlarni boshqarish, ya’ni,
har bir fayl uchun turli kalitlardan foydalanadi;
• shifrlangan fayllarni alohida boshqarish butun
shifrlangan diskni boshqarishdan ko‘ra osonroq;
• foydalanishni boshqarish ochiq kalitli kriptografik
tizimlar yordamida amalga oshirilishi mumkin;
• faqat kriptografik kalitlar xotirada saqlanib,
shifrlangan fayllar ochiq holatda saqlanadi.
Fayl/ katalogni shifrlash: AxCrypt
dasturiy vositasi
• Windows, macOS, Android va iOS OTlarida ishlaydi.
• AES-256 shifrlash algoritmidan foydalanadi.
• Faylni shifrlash va deshifrlashning vaqtga asosan
avtomatik ishlash rejimi mavjud.
Kiberxavfsizlik asoslari (CSF1316)
Ma’lumotni yo‘q qilish usullari
Axborot xavfiszligida ma’lumotni xavfsiz saqlash qanchalik
muhim hisoblansa, ularni xavfsiz yo‘q qilish ham shunchalik
muhim hisoblanadi.
Konfidensial axborotni to‘liq yo‘q qilinmagan taqdirda uni
tiklash imkoniyati saqlanib qoladi.
Hozirgi kunda foydalanilayotgan barcha ma’lumotlarni yo‘q
qilish usullarini ham ishonchli deb aytish qiyin.
Quyida qog‘oz ko‘rinishidagi va elektron saqlagichlardan
axborotni yo‘q qilish tartibi bilan tanishib chiqiladi.
Kiberxavfsizlik asoslari (CSF1316)
Qog‘oz ko‘rinishdagi hujjatlar yo‘q qilish
usullari
Maydalash
(shreder) YOqish
Ko‘mish
Kimyoviy
ishlov
berish
Kiberxavfsizlik asoslari (CSF1316)
Maydalash
Bir marta sotib olish bilan
uzoq vaqt foydalanish mumkin.
Materiallarni yo‘q qilish
uchun qo‘shimcha joy talab
qilinmaydi.
Maxfiy ma’lumotlarni ham
maydalay oladi.
Kiberxavfsizlik asoslari (CSF1316)
YOqish
Tashkilot ichida yoki tashqarichida
qog‘ozlarini yoqish uchun maxsus joy
bo‘lishi talab etiladi.
Agar yonish yuqori sharoitda maxsus
qozonxonalarda amalga oshirilmasa,
qattiq bosilgan papkalarni
saqlanish ehtimoli mavjud.
Olovni yoqish va yuklash-tushirish
amallari hisobida ortiqcha xarajat
talab etadi.
Kiberxavfsizlik asoslari (CSF1316)
Ko‘mish
Avvallari keng foydalanilgan usul
hisoblansada, hozirda kamdan-kam
hollarda foydalaniladi.
Ushbu usul qog‘oz ma’lumotlarni to‘liq
yo‘q qilish imkoniyatini bermaydi.
Iqlimi quruq hududlarda qozog‘
ma’lumotlarni yo‘q bo‘lishi uchun uzoq
vaqt talab etiladi.
Kiberxavfsizlik asoslari (CSF1316)
Kimyoviy ishlov berish
Qog‘oz ko‘rinishidagi axborotni 100%
ishonchlik bilan yo‘q qilish imkonini
beradi.
Maxsus kimyoviy modda va suvdan
foydalaniladi.
Hosil qilingan massani tiklashning
umuman imkoni mavjud emas.
YAgona kamchiligi uning narxi
yuqoriligi va maxsus joy talab
etilishidir.
Kiberxavfsizlik asoslari (CSF1316)
Elektron hujjatlarni yo‘q qilish
O‘chirish degani bu yo‘q qilish degani emas
• Delete
• Shift+Delete
• Formatlash ham
Ularni osonlik bilan tiklash mumkin
• Recuva, Wise Data Recovery, PC Inspector File
Recovery, EaseUS Data Recovery Wizard Free,
TestDisk and PhotoRec, Stellar Data Recovery
dasturlar yordamida.
Kiberxavfsizlik asoslari (CSF1316)
Elektron hujjatlarni saqlovchilar
Qattiq disklar: noutbuk va kompyuterdagi
qattiq disklar
Magnit lentalar (zaxira nusxalashdagi)
Floppi-disk: 3.5, 5.25 dyumli va boshqa
ZIP disklar
Optik disklar: CD, DVD, Blue Ray va HD DVD
Flesh xotiralar va hak.
Kiberxavfsizlik asoslari (CSF1316)
Elektron hujjatlarni yo‘q qilish
AQSH hukumatida konfidensial axborotni saqlash
va o‘chirib tashlash bo‘yicha qator normativ
hujjatlar ishlab chiqilgan.
Masalan, AQSHning markaziy arxiv markazlarida
elektron saqlagichdagi ma’lumotni yo‘q qilishning
quyidagi uchta usulidan amalda foydalaniladi:
• SHredirlash
• Magnitsizlantirmoq
• YAnchish
Kiberxavfsizlik asoslari (CSF1316)
SHredirlash
• Kuchli sanoat maydalagichlari deyarli barcha ko‘chma
saqlaguvchilarni: CD, DVD, disket, magnit lentalar va
hak. maydalash natijasida buyumlar 25 mmli qismlarga
bo‘lib tashlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Magnitsizlantirmoq
• Maxsus qurilma ichida
joylashtirilgan
saqlagichning xususiyatlari
o‘zgartiriladi va shu bilan
o‘qib bo‘lmasligi
ta’minlanadi.
• Agar kuchli
magnitsizlantirish amalga
oshirilsa ma’lumotlar
saqlagichdan o‘chiriladi va
saqlagichning o‘zi neytral
magnit holatiga kiradi.
• Ushbu ma’lumotni yo‘q qilish
usuli dattiq disklarni va
bazi ko‘chma qurilmalar uchun
qo‘llaniladi.
Kiberxavfsizlik asoslari (CSF1316)
UE-02 qurilmasi
YAnchish
5.5 tonna tosh ostida kompyuter va noutbuklarning
qattiq diskalari tamomila yo‘q qilinadi.
Ushbu mexanizm maksimal hajmi 2.5x10x15sm bo‘lgan,
3.5, 2.5 va 1 dyumli disklar (SATA, PATA, SCSI) ni
maydalash uchun mo‘ljallangan.
Kiberxavfsizlik asoslari (CSF1316)
Elektron hujjatlarni yo‘q qilish usullari
Kiberxavfsizlik asoslari (CSF1316)
Zamonaviy axborot saqlovchilardagi axborotni o‘chirish
usullari
Magnitli YArim
o‘tkazgichli Magnit-optik Optik
Saqlovchi strukturasi o‘zgarmaydi Saqlovchi strukturasi o‘zgaradi
dasturiy fizik mexanik termik kimyoviy
Nurlanishli Sintez (termo-
Qayta ximik)
yozishga
asos-
langan
Toza-
lashga
asos-
langan
Domi-
my
magnit
maydo-
ni
Impul
sli-
magnit
li
maydon
Kam
o‘zgaru
vchi
magnit
maydo-
ni
Elektron hujjatlarni yo‘q qilish
• YUqorida keltirilgan usullarning aksariyati ma’lumot
tashuvchini fizik yo‘q qilishni maqsad qiladi.
• TOP SECRET bo‘lmagan axborot saqlangan holda esa
saqlagichlardan qayta foydalanish talab etiladi.
• Buning uchun quyidagi usullardan foydalaniladi:
– xotiraga bir necha marta takroran yozish;
– maxsus dasturlar yordamida saqlagichni tozalash (formatlashdan
oldin ma’lumotni o‘chirish).
Kiberxavfsizlik asoslari (CSF1316)
Elektron hujjatlarni yo‘q qilish: tavfsiya
AQSHning Cornell kompaniyasi tomonidan elektron axborotni saqlovchilardan
qayta foydalanish uchun va ularni yo‘q qilish uchun quyidagi tavfsiyalar
beriladi:
Kiberxavfsizlik asoslari (CSF1316)
Elektron saqlagichlar Qayta foydalanish uchun Yo‘q qilish
Qattiq disk DoD 5220.22 algoritmi
yordamida formatlashdan oldin
o‘chirish
Fizik yo‘q qilish yoki
magnitsizlantirish.
Floppi disk Magnitsizlantirish yoki
formatlashdan oldin o‘chirish
Fizik yo‘q qilish, magnitsizlantirish.
Optik disklar Odatda qo‘llanilmaydi Fizik yo‘q qilish: yanchish, ishqalash
orqali sirtni bir xil holatga
keltirish.
ZIP disklar DoD 5220.22 algoritmi
yordamida o‘chirish
Fizik yo‘q qilish, magnitsizlantirish.
Flesh-saqlagichlar Formatlashdan oldin
ma’ulmotni o‘chirish
Fiziq yo‘q qilish.
Magnit lentalar Magnitsizlantirish. Fizik yo‘q qilish, magnitsizlantirish.
Izoh: DoD 5220.22 algoritmi AQSH mudofaa vazirligida qo‘llaniluvchi ma’lumotni yo‘q qilishga asoslangan
bo‘lib, 4-7 martagacha takror yozish orqali ma’lumotni tiklanishini oldini oladi.
E’TIBORINGIZ UCHUN
RAXMAT!!!
11 - Ma’ruza: Kompyuter
tarmoqlari asoslari.
Kompyuter tarmoqlari
Kompyuter tarmoqlari bu –
bir biriga osonlik bilan
ma’lumot va resurslarni
taqsimlash uchun ulangan
kompyuterlar guruhi.
U foydalanuvchilarga turli
resurslar, kompyuter, mobil
telefon, printer, skanner va
hak.lar orasida ulanish va
axborotni taqsimlash
imkonini beradi.
Ko‘plab sohalarda, elektrik
injiniring, telekommu-
nikatsiya, Computer science,
axborot texnologiyalarida
kompyuter tarmoqlari kon-
sepsiyasidan foydalaniladi.
Keng tarqalgan kompyuter
tarmog‘i bu – Internet.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq modellari
Tarmoq modeli - ikki hisoblash tizimlari
orasidagi aloqani ularning ichki tuzilmaviy va
texnologik asosidan qat’iy nazar
muvaffaqqiyatli o‘rnatilishini asosidir.
• Open System Interconnection (OSI)
modeli;
• TCP/IP modeli.
Kiberxavfsizlik asoslari (CSF1316)
OSI modeli
• OSI modeli tarmoq bo‘ylab ma’lumotlar almashinuvini aniqlashtirish uchun taqdim
etilgan model. U qolib bo‘lib, bir qurilmadan tarmoq orqali boshqa qurilmaga
ma’lumot oqib o‘tishini tasvirlaydi.
• OSI modeli ikki nuqta orasidani aloqani 7 ta turli sathlar guruhiga ajratadi.
Kiberxavfsizlik asoslari (CSF1316)
OSI modeli
Ma’lumot
birligi Sath Vazifasi
Host
sathi
Ma’lumot
7. Ilova Ilovalarni tarmoqqa ulanish jarayoni
6. Taqdimot Ma’lumotni taqdim etish, shifrlash va deshifrlash, mashina mos
tilgan o‘girish va teskarisi
5. Seans Host osti ulanish, ilovalar orasida ulanishlarni boshqarish
Segmentlar 4.
Transport
Nuqta-nuqta ulanish, ishonchlilik va oqimni nazoratlash
Quril-
ma
sathi
Paketlar/
datagrammalar
3. Tarmoq Yo‘lni aniqlash va mantiqiy manzillash
Freym 2. Kanal Fizik manzillash
bit 1. Fizik
sath
Qurilma, signal va binar o‘zgartirishlar
OSI modeli
OSI modeli quyidagi xususiyatlarga
ega:
tarmoq bo‘ylab amalga oshirilgan aloqani oson
tushunilishini ta’minlaydi
dasturlar va qurilmalar ishlashini ko‘rsatadi
foydalanuvchilarga yangi topologiyani tushunishga
yordam beradi
turli tarmoqlar orasidagi funksional
boqliqliklarni oson solishtirish imkoniyatiga ega
7 qatlamli OSI modelini ishlab
chiqishda foydalanilgan
prinsiplar quyidagilar:
Har bir sath turli tushunchalarga va umumiy
ko‘rinishlarga ega bo‘lishi mumkin. SHuning uchun har
bir sathni yaratish abstraksiya darajasiga asoslanadi
Har bir sath turli vazifani bajarishga muhtoj
Har bir sathda amalga oshirluvchi vazifa ushbu sathda
ishlovchi standart protokollarga asoslanishga
mavjur
Barcha vazifalar bir xil sathda taqdim etilmasligi
zarur. Sathni tanlinishi amalga oshiriluvchi
funksiyalar soniga bog‘liq bo‘ladi
Kiberxavfsizlik asoslari (CSF1316)
TCP/IP modeli
Ilova sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Kiberxavfsizlik asoslari (CSF1316)
YUqori sath protokollarini o‘zida
saqlaydi, taqdim etish, kodlash va
muloqotni nazoratlash
Tomonlar orasida mantiqiy
ulanishni o‘rnatadi va transport
xizmatini ta’minlaydi
Manba tarmoqdan masofadagi
tarmoqga ma’lumotlarni uzatish
bilan tarmoqlararo paket
almashinuvini amalga oshiradi.
Bir xil tarmoqda ikkita hostlar
orasida Internet sathi bo‘ylab
ma’lumot oqishini ta’minlaydi
HTTP, Telnet, FTP,
TFTP, SNMP, DNS,
SMTP va hak.
TCP, UDP, RTP
IP, ICMP, ARP, RARP
Ethernet, Token Ring,
FDDI, X.25, Frame
Relay, RS-232, v.35.
TCP/IP modeli 4 sathli protokol bo‘lib, Department of Defense (DOD) tomonidan ishlab
chiqilgan.
Vazifasi Sathlar Protokollar
OSI va TCP/IP modellarining taqqosi
OSI model TCP/IP model
Ilova
Taqdimot Ilova
Seans
Transport Transport
Tarmoq Tarmoq
Kanal
Fizik Kanal
Kiberxavfsizlik asoslari (CSF1316)
OSI TCP/IP
1. OSI – bu umumiy, protokoldan mustaqi
standart bo‘lib, tarmoq va oxirgi
foydalanuvchi orasidagi aloqa shlyuzi
vazifasini o‘taydi.
1. TCP/IP modeli Internet standartida
ishlab chiqilgan standart protokollar
asosida yaratilgan. Bu hostlarni tarmoq
orqali ulashga imkon beradigan aloqa
protokoli.
2. OSI modelida transport sathi
paketlarni etib borishini kafolatlaydi.
2. TCP/IP modelida transport sathi
paketlarni etib borishini
kafolatlamaydi. SHuni bilan ham TCP/IP
modeli shunchalik ishonchli.
3. Vertikal yondashuvga amal qiladi. 3. Gorizontal yondashuvga amal qiladi.
4. OSI modelida alohida taqdimot va sessiya
sathlari mavjud.
4. TCP/IP modelida alohida taqdimot va
sessiya sathlari mavjud emas.
5. Transport sathi ulanishga
yo‘naltirilgan.
5. Transport sathi ham ulanishga ham
ulanmaslikka yo‘naltirilgan.
6. Tarmoq sathi ham ulanishga ham
ulanmaslikka yo‘naltirilgan. 6. Tarmoq sathi ulanishga yo‘naltirilgan.
7. OSI - bu tarmoqni qurish imkonini
beruvchi etalon model. Odatda u qo‘llanma
sifatida ishlatiladi.
7. TCP/IP modeli esa OSI modelini amalga
oshirish usulidir.
8. OSI modelida protokollarni modelga
moslashtirish muammosi mavjud.
8. TCP/IP modeli ixtiyoriy protokolga ham
mom kelavermaydi.
9. OSI modelida protokollar yashiringan va
texnologiya o‘zgarishi bilan osonlik bilan
almashtirish mumkin.
9. TCP/IP modelida protokolni
almashtirish oson emas.
10. OSI modeli xizmatlar, interfeyslar va
protokollarni juda aniq belgilaydi va
ular o‘rtasida aniq farq qiladi. Bu
protokolga bog‘liq emasyu
10. TCP/IP modelida xizmatlar,
interfeslar va protokollar aniq
ajratilmagan. Bundan tashqari protakolga
bog‘liq.
11. Modelda 7 ta sath mavjud. 11. Modelda 4 ta sath mavjud.
Tarmoqlarning turlari
• LAN tarmog‘i kompyuterlar va ularni bog‘lab turgan
qurilmalardan iborat bo‘lib, ular odatda bitta
tarmoqda bo‘ladi.
• Hozirda LAN ning ikkita keng tarqalgan
texnologiyasi: Ethernet va Wi-Fi keng foydalanilmoqda.
Lokal tarmoqlar
(Local Area
Network, LAN)
• WAN tarmog‘i odatda ijaraga olingan
telekommunikatsiya liniyalaridan foydalanadigan
tarmoqlardagi tugunlarni bir-biriga bog‘laydi.
• Ushbu liniyalar tarmoqdagi turli kompyuterlar orqali
ma’lumotlarni samarali uzatilishiga yordam beradi.
Mintaqaviy
tarmoq (Wide Area
Network, WAN)
• Ushbu tarmoq LAN tarmog‘iga qaraganda katta hajmga
ega bo‘lsada, WAN tarmog‘idan kichik.
• Bu tarmoq shahar yoki shaharcha bo‘ylab tarmoqlarning
o‘zaro bog‘lanishini nazarda tutadi.
SHahar tarmog‘i
(Metropolitan Area
Network, MAN)
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqlarning turlari
• SHaxsiy tarmoq qisqa masofalarda qurilmalar o‘rtasida ma’lumot
almashinish imkoniyatini taqdim etadi.
• Masalan, shaxs noutbuki, mobil telefoni yoki planshetini qisqa
masofadagi simsiz tarmoqqa ulanishini olish mumkin.
SHaxsiy tarmoq
(Personal Area
Network, PAN)
• Ko‘plab davlat tashkilotlari va universitetlar o‘zlari uchun CAN
tarmoqlarini qurishlari mumkin.
• CAN tarmog‘ining hajmi MAN va WAN tarmog‘iga qaraganda kichik
bo‘lib, tugunlarni o‘zaro ulash uchun optik kabellardan
foydalanadilar.
Kampus tarmog‘i
(Campus Area
Network, CAN)
• GAN tarmog‘i cheklanmagan geografik hudud bo‘ylab turli o‘zaro
bog‘langan tarmoqlardan iborat.
• GAN tarqog‘i to‘g‘ridan-to‘g‘ri bog‘lanmagan tomonlar orasida ham
ma’lumotlar almashinish imkoniyatini beradi. Bunda yuboruvchi
markaziy serverga ulanadi yoki ma’lumot qabul qiluvchiga etguncha
nuqtadan-nuqtaga uzatish asosida etkaziladi.
Global tarmoq
(Global Area
Network, GAN)
Kiberxavfsizlik asoslari (CSF1316)
Lokal tarmoqlar, LAN
LAN tarmog‘ining afzalliklari:
• uydagi yoki ofisdagi foydalanuvchilar
orasida printerlarni birgalikdagi
foydalanish imkoniyatini beradi;
• LAN tarmog‘i foydalanuvchiga o‘zidagi
ixtiyoriy tarmoqda ishlash uchun imkoniyatni
taqdim etadi;
• barcha ma’lumotlarni tarmoqdagi yagona
katalogda saqlash va undan foydalanuvchilar
tomonidan birgalikda foydalanish
imkonini yaratish.
LAN tarmog‘ining kamchiliklari:
• fayllarni taqsimlangan holda foydalanish
imkoniyatini taqdim etgani bois, u
foydalanishni nazoratlash uchun alohida
xavfsizlik choralarini ko‘rishni talab etadi;
• fayl serverdagi kichik nosozlik, server
mashinasiga ulangan barcha foydalanuvchilar
ishiga salbiy ta’sir qiladi.
Kiberxavfsizlik asoslari (CSF1316)
Mintaqaviy tarmoq, WAN
WAN tarmog‘i quyidagi
afzalliklarga ega:
• WAN tarmog‘i bir – biridan
geografik tomondan alohida bo‘lgan
tomonlarni kam xarajat va osonlik
bilan ulash imkoniyatini beradi.
WAN tarmog‘ining kamchiliklari:
• tuzilish jaxatidan juda ham
murakkab;
• past o‘tkazish qobilyatiga ega va
ulanishni uzilish xavfi yuqori.
Kiberxavfsizlik asoslari (CSF1316)
SHahar tarmog‘i, MAN
MAN tarmog‘i quyidagi afzalliklarga
ega:
• MAN tarmog‘ida kompyuterlarni
bog‘lash kanallari yuqori o‘tkazuvchanlik
qobilyatiga egaligi sababli,
ma’lumotlarni oson taqsimlash
imkoniyatini beradi.
• Ko‘plab foydalanuvchilar uchun
ma’lumotlarni taqsimlashda teng
tezkorlik taqdim etadi.
MAN tarmog‘i quyidagi kamchiliklarga
ega:
• Birinchi marta foydalanishdan oldin
ma’lumot o‘rnatilish va sozlanishlarni
talab etadi.
• LAN tarmog‘iga qaraganda yuqori narxga
ega.
Kiberxavfsizlik asoslari (CSF1316)
SHaxsiy tarmoq, PAN
Kiberxavfsizlik asoslari (CSF1316)
Mazkur tarmoq o‘rnatilgan ulanish orqali qurilmalar
orasida ma’lumot va fayllarni taqsimlash imkoniyatini
beradi.
Kampus tarmog‘i, CAN
CAN tarmog‘i quyidagi xususiyatlarga
ega:
• narx nuqtai nazaridan samarali;
• kampusdagi turli bo‘limlar o‘rtasida
o‘zaro aloqa o‘rnatish imkoniyatini
beradi;
• ma’lumotlarni taqsimlashda bir xil
tezlikni taqdim etadi;
• buzilishga chidamli;
• CAN tarmog‘i keyinchalik
o‘zgartirish va rivojlantirishga
qulay;
• tarmoqdan foydalanishda
foydalanuvchilarni
autentifikatsiyadan o‘tkazgani bois
CAN tarmog‘i yuqori xavfsizlikni
ta’minlaydi.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq topologiyalari
• Topologiya tarmoqning tuzilishini aniqlab, tarmoqning mantiqiy
va fizik joylashuvini hisoblaydi.
• Fizik topologiya kompyuter tizimlari komponentlarining
tuzilishini aniqlasa, mantiqiy topologiya kompyuterlar orasidagi
tarmoqda ma’lumotlarni uzatish usullarini aniqlaydi.
Kiberxavfsizlik asoslari (CSF1316)
YUlduz
•tarmoqdagi
kompterla
rga kabel
orqali
ulangan
markaziy
xabdan
(tugun)
iborat
•Tarmoqda
har bir
kompyuter
yoki tugun
markaziy
tugunga
individual
bog‘langan
bo‘ladi
SHina
•tarmoqda
yagona kabel
barcha
kompyuter
larni o‘zida
birlashtir
adi
•SHina
topologiyad
a ixtiyoriy
tugun
tomonidan
tarmoq
“salomi”
(network
broadcast)
signali
uzatiladi
Halqa
•Xalqa
topologiya
tarmoqdagi
barcha
tugunlarni
o‘zaro
bog‘laydi
•YUboriluvch
i va qabul
qilinuvchi
ma’lumot
TOKEN
yordamida
manziliga
etkaziladi.
Mesh
•Tarmoqdagi
barcha
kompyuter
va tugunlar
bir-biri
bilan o‘zaro
bog‘langan
bo‘ladi
•Ushbu
topologiya
biror
kompyuter
buzilgan
taqdirda
ham
ma’lumotla
r
almashinuv
ini
ta’minlash
ni maqsad
qiladi
Daraxt
•Topologiya
shina va
yulduz
topologiyal
arning
kombinatsi
yasidan
tashkil
topgan
•Daraxt
topologiya
yulduz
topologiyal
arni
asosiy
kabelga
ulash
orqali
hosil
qilinadi
Gibrid
•Gibrid
topologiya
o‘zida
ikkita
turli
topologiyan
i
mujassaml
ashtirgan
bo‘ladi
•Tashkilot
o‘z
talablarid
an kelib
chiqqan
holda
gibrid
topologiya
asosida
tarmog‘ini
quradi
YUlduz topologiyasi
Ushbu topologiya quyidagi afzalliklarga
ega:
• markaziy xab yoki tugun orqali tarmoqni
markazlashgan holda boshqarish;
• topologiyaga osonlik bilan yangi tugunni
kiritish yoki olib tashlash imkoniyati;
• bir kompyuter tugunining buzilishi
qolganlarining ishiga ta’sir qilmaydi;
• tarmoqdagi bo‘lgan uzilishni osonlik
bilan aniqlash mumkin va muammoni
osonlik bilan bartaraf etish imkonini
beradi.
YUlduz topologiya quyidagi kamchiliklarga
ega:
• markaziy nuqtadagi bo‘lgan uzilish butun
topologiyaga ta’sir ko‘rsatadi;
• markaziy nuqta sifatida router yoki
kommutatordan foydalanish tarmoqni
amalga oshirish narxini oshiradi;
• yangi tugunni tarmoqqa qo‘shish markaziy
tugunni imkoniyatiga bog‘liq bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
SHina topologiya
SHina topologiya quyidagi afzalliklarga ega:
• shina tarmoqqa yangi tugunni qo‘shish juda ham
oson;
• amalga oshirishda kam xarajatlik;
• kichik tarmoqlarda yaxshi ishlaydi;
• yulduz topologiyaga qaraganda kam kabel talab
etiladi.
SHina topologiya quyidagi kamchiliklarga ega:
• yangi tugun kiritish kabelning uzunligiga
bog‘liq;
• asosiy kabeldagi biror buzilish butun tarmoq
ishiga ta’sir qiladi;
• kabelning har ikkala tomonida terminatorni
bo‘lishi shart;
• xizmat ko‘rsatish narxi yuqori;
• yuqori tezlikdagi tarmoqlar uchun o‘rinli emas;
• manbadan uzatilgan signalni barcha tugunlar
qabul qilgani kabi, u tarmoqning
xavfiszligiga ta’sir qiladi.
Kiberxavfsizlik asoslari (CSF1316)
CHiziqli shina topologiya
Taqsimlangan shina topologiya
Xalqa topologiya
Xalqa topologiyasining afzalliklari:
• bir tomonga yo‘naltirilgan trafik oqimi;
• har bir tugun faqat bo‘sh bo‘lgan vaqtdagina
ma’lumotni uzata oladi;
• markazlashgan biror tarmoq serveri talab
etilmaydi;
• shina topologiyana qaraganda amalga oshirish
qulayligi (trafik hajmi oshmasligi sababli);
• barcha tugunlarni ma’lumotdan foydalanishda bir
xil imkoniyatga ega;
• tarmoqda yangi tugunni qo‘shilishi tarmoqning butun
o‘zgarishiga ta’sir qilmaydi.
Halqa topologiyasining kamchiliklari:
• tarmoqda har bir tugundan signalning o‘tishi sekin
jarayon;
• ixtiyoriy tugundagi buzilish butun tarmoqning
buzilishiga olib keladi;
• tugunlarni ulash uchun ko‘p kabel talab etiladi va bu
ortiqcha xarajatni talab etadi;
• trafik barcha tugunlar uchun taqsimlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Mesh topologiya
Mesh topologiyasi quyidagi afzalliklarga
ega:
• ma’lumotlarni davomli uzatishga
imkoniyat beradi;
• yuqori trafikni o‘tkazish imkoniyati
mavjud;
• tugunlardan birini buzilishi butun
tarmoqqa ta’sir qilmaydi;
• tarmoqni kengaytirish osonlik bilan
amalga oshiriladi.
Mesh topologiyasi quyidagi
kamchiliklarga ega:
• ko‘plab ulanishlarning mavjudligi
sababli yuqori darajali ortiqchalik;
• boshqa tarmoq topologiyalariga qaraganda
yuqori narxga egalik;
• tarmoqni qurish uchun ko‘p vaqt va
ma’muriy e’tibor talab qiladi.
Kiberxavfsizlik asoslari (CSF1316)
Daraxt topologiya
Ushbu topologiya quyidagi afzalliklarga ega:
• yulduz va shina topologiyalarni amalga oshirish murakkab
bo‘lgan holarda foydalanish foydali;
• tarmoqni osonlik bilan kengaytirish imkonini beradi;
• ushbu topologiyada yulduz topologiyani loyihalash
tugunlarni osonlik bilan boshqarish imkonini beradi;
• xatoliklarni aniqlash va tuzatish xususiyatlarini
ta’minlaydi;
• har bir yulduz kabel asosiy kabelgan kabellar orqali
ulanadi;
• yulduz topologiyadagi tarmoqni buzilishi qolgan
tarmoqlar ishiga xalaqit bermaydi.
Ushbu topologiya quyidagi kamchiliklarga ega:
• asosiy kabelga etkazilgan ixtiyoriy buzilish butun
tarmoq faoliyatiga ta’sir qiladi;
• ushbu topologiya tarmoqni osonlik bilan kengaytirish
imkonini bersada, butun tarmoqni boshqarish murakkab
jarayon hisoblanadi;
• tarmoqni kengaytirish imkoniyati foydalanilgan asosiy
kabel turiga bog‘liq.
Kiberxavfsizlik asoslari (CSF1316)
Gibrid topologiya
Gibrid topologiya quyidagi afzalliklarga
ega:
• tarmoqning boshqa sektori ishiga ta’sir
qilmasdan xatoliklarni aniqlash va
tuzatish imkoniyatini ta’minlaydi;
• qo‘shimcha tugunllarni osonlik bilan
qo‘shish imkoniyati;
• tashkilotlarga o‘z talabidan kelib chiqib
tarmoqni loyihalashtirish imkonini
beradi;
• ko‘plab topologiyalarni o‘zida
mujassamlashtirish imkoniyatini beradi.
Gibrid topologiya quyidagi
kamchiliklarga ega:
• o‘zida ko‘plab topologiyalarni
mujassamlashtirgani bois, arxitekturani
juda ham aniqlik bilan loyihalash talab
etiladi;
• gibrid topologiyada ko‘p sonli tarmoq
kabellaridan foydalanilgani bois
yuqori narxga ega.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqning apparat tashkil etuvchilari:
Tarmoq kartasi
• Hisoblash qurilmasining ajralmas qismi bo‘lib,
qurilmani tarmoqqa ulash imkoniyatini taqdim etadi.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqning apparat tashkil etuvchilari:
Repetir
Tarmoq repetiri odatda signalni tiklash yoki qaytarish uchun
foydalaniladi. Repetirlarning quyidagi turlari mavjud:
• telefon repetirlari;
• optik aloqa repetirlari;
• radio repetirlar.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqning apparat tashkil etuvchilari: Xab
• Xab tarmoq qurilmasi bo‘lib,
ko‘plab tarmoqlarni ulash uchun yoki
LAN segmentlarini bog‘lash uchun
xizmat qiladi.
• Xabga bir portdan qabul qilingan
ma’lumotlar nuxsalangan holda
chiqishdagi bir qancha portlar
orqali uzatiladi.
• Xablarga turli sondagi chiqish
portlari bo‘lishi mumkin (masalan,
12, 14, 24).
• Xablarning bir qancha turlari
mavjud bo‘lib, ularga passiv
xablarni, aktiv xablarni,
intelektual xablarni, ulovchi
xablarni, repetir xablarni misol
keltirish mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqning apparat tashkil etuvchilari:
Svitch
• Simli va simsiz LANlar uchun
tarmoq svitchlari asos qurilma
hisoblanadi.
• Har ikkala holda ham qabul
qilgan signalni LAN orqali
kompyuterlarga uzatadi.
• Svitchlar xablardan farqli
qabul qilingan signalni barcha
chiquvchi portlarga emas balki
paketda manzili keltirilgan
portga uzatadi.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqning apparat tashkil etuvchilari:
Routerlar
• Routerlar yuqorida keltirilgan
tarmoq qurilmalariga qaraganda
murakkab tuzilishga ega qurilma
bo‘lib, OSI sathining tarmoq
sathida ishlaydi.
• Router qabul qilingan
ma’lumotlarni tarmoq sathiga
tegishli manzillarga ko‘ra (IP
manzil) uzatadi.
• Bundan tashqari routerlar qabul
qilingan paketlarni uzatishda
ko‘plab protokollar ishlashini
madadlaydi va paketlarni
filterlash amallarini bajaradi.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqning apparat tashkil etuvchilari:
Ko‘priklar
• Ko‘priklar tarmoq chegarasida
trafikni filterlashni amalga
oshiradi.
• Ko‘prik har bir ma’lumotlar
paketidagi MAS manzillarni
o‘qib oladi va ularni
masofadagi qurilmaga
yuboradi.
• Ko‘priklar OSI modelini kanal
sathida ishlaydi.
• Ko‘priklarda MAS manzillar
saqlanuvchi jadvallar bo‘lib, u
asosida qabul qilingan
paketlarni yuborishni amalga
oshiradi.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoqning apparat tashkil etuvchilari:
SHlyuzlar
• SHlyuzlar ichki tarmoqqa
ulanishga harakat qiluvchi boshqa
tarmoq uchun kiruvchi nuqta
vazifasini o‘taydi.
• O‘z navbatida tashqi tarmoqqa
ulanishga harakat qiluvchi ichki
tarmoq uchun chiqish nuqtasi
vazifasini o‘taydi.
• SHlyuz vazifasini ishchi
stansiyalar yoki serverlar
bajarishi mumkin.
• Ichki tarmoqdagi qurilmalar
tashqi tarmoqqa ulanishi uchun
shlyuzning manzilini o‘zining
sozlanishiga kiritishi talab
qilinadi.
Kiberxavfsizlik asoslari (CSF1316)
DNS: Domain name system
• DNS tizimlari host nomlari va internet nomlarini IP
manzillarga o‘zgartirish yoki teskarisini amalga oshiradi.
• DNS o‘z ilovalarini TCP/IP tarmog‘idan qidiradi. DNS
xizmati foydalanuvchi tomonidan kiritilgan DNS nomini mos
IP manzilga o‘zgartirib beradi.
• Masalan, DNS xizmati www.example.com domen nomini
192.105.232.4 IP manziliga o‘zgartirib beradi.
• DNS xizmatlari mijoz-server modelida ishlaydi. Mijoz DNS
serverdan javobni qabul qiladi. Bu o‘rinda ikki turdagi
so‘rovlar bo‘lishi mumkin:
– Oldinga qaratilgan DNS so‘rovi: nomdan iborat bo‘lgan so‘rovlar
beriladi va natija IP manzil bo‘ladi.
– Teskari DNS so‘rovi: IP manzildan iborat bo‘lgan so‘rovlar beriladi
va natija nom bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
TCP protokoli: Transmission Control Protocol
• TCP protokoli ulanishga asoslangan protokol bo‘lib, internet
orqali ma’lumotlarni almashinuvchi turli ilovalar uchun
tarmoq ulanishlarini sozlashga yordam beradi.
• TCP mavjud kompyuter bir tarmoqda turgan yoki boshqa
tarmoqdagi foydanuvchi kompyuteriga ma’lumotni yuborish
imkoniyatiga ega bo‘ladi.
• TCP protokoli qabul qiluvchi tomonida manbadan uzatilgan
barcha xabarlarni qabul qilinganini kafolatlaydi.
• TCP protokoli xabarni barchaga uzatmaydi (broadcasting
imkoniyati mavjud emas). YA’ni, paket aynan faqat masofadagi
foydalanuvchiga etkaziladi. www, e-mail, masafadan turib
boshqarish yoki fayl transferini amalga oshiruvchi ilovalar
ishi TCP protokollari asosida amalga oshiriladi.
Kiberxavfsizlik asoslari (CSF1316)
TCP protokoli: Transmission Control Protocol
• TCP protokoli ma’lumotlarni raqamlangan bir nechta sondagi paketlarga bo‘ladi.
• SHundan so‘ng ularni uzatish uchun IP sathiga uzatadi.
• Paketlar ko‘plab marshrutizatorlar orqali o‘tib masofadagi IP manziliga
etkaziladi.
• Qabul qiluvchi kompyuterida barcha paketlar tartib raqamiga ko‘ra qabul
qilinadi.
Kiberxavfsizlik asoslari (CSF1316)
TCP sarlavha va uning tanasi
Kiberxavfsizlik asoslari (CSF1316)
UDP protokoli: User Datagram Protocol
• UDP ulanmaslikka asoslangan
protokol bo‘lib, Internetda
ilovalar orasida kam kechikishli
va past chidamlilik darajasidagi
aloqani ta’minlaydi.
• TCP protokoliga o‘xshamagan
holda, UDP protokoli
ma’lumotlarni to‘liq etib
kelishiga kafolat bermaydi.
• UDP protokoli ma’lumotni
raqamlangan paketrlar shaklida
emas, balki tarmoq bo‘ylab
datagramma shaklida uzatadi.
• UDP protokolidan odatda o‘yin va
video ilovalar tomonidan keng
foydalaniladi.
Kiberxavfsizlik asoslari (CSF1316)
IP protokol: Internet Protocol
• IP protokoli TCP/IP aloqa protokollari to‘plamida
taqdim etilgan tarmoq sathida ishlovchi protokol.
• Ma’lumotni yuborishdan oldin aloqa o‘rnatish uchun zarur
bo‘lgan manzil ma’lumotlari bilan ta’minlaydi.
• IP protokolining ikki versiyasi mavjud: Internet protocol
version 4 (IPv4) va Internet protocol version 6 (IPv6).
• IPv4 protokoli amalda keng qo‘llaniluvchisi bo‘lib, 32-
bitli manzillashdan foydalanadi.
• IPv6 da esa manzilni ifodalash uchun 128 bit xotira
ajratiladi.
• IP sarlavha IP paketga IP versiyasi, manba qurilmasi IP si,
masofadagi qurilma IP, TTL va hak. ma’lumotlarni
qo‘shadi.
Kiberxavfsizlik asoslari (CSF1316)
IP sarlavha va uning tanasi
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq sathlarida mos protokollar
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
12 - Ma’ruza: Tarmoq xavfsizligiga
tahdidlar va zaifliklar.
Asosiy atamalar
Tahdid
• Tahdid bu – natijasi
tashkilotning amallariga
va funksional
harakatlariga zarar
keltiruvchi va ularni uzib
qo‘yuvchi oshkor bo‘lmagan
hodisalarning potensial
paydo bo‘lishidir.
• Tahdidlarning paydo
bo‘lishi tasodifiy,
qasddan yoki boshqa
harakatning ta’sirida
bo‘lishi mumkin.
Zaiflik
• Zaiflik bu –
“portlaganida” tizim
xavfsizligini buzuvchi
kutilmagan va oshkor
bo‘lmagan hodisalarga
olib keluvchi kamchilik,
loyihalashdagi yoki amalga
oshirishdagi xatolik.
• Zaiflik xavfsizlik
bo‘shlig‘i bo‘lib, turli
foydalanuvchilarni
autentifikatsiyalash
usullarini aylanib o‘tib
hujumchiga tizimga kirish
imkoniyatini taqdim
etadi.
Hujum
• Hujum bu – zaiflik
orqali AT tizimi
xavfsizligini buzish
tomon amalga oshirilgan
harakat.
• Bunda shuningdek zararli
dasturlarni va
buyruqlarni yuborish
orqali qonuniy dasturiy
va apparat vositadan
foydalanish imkoniyatini
qo‘lga kiritishga harakat
qilinadi.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq xavfsizligi muammolari
Doimiy hujumlar butun hisoblash qurilmalari dunyosi uchun asosiy muammodir.
Tarmoq xavfsizligi muammolari tashkilotdagi mavjud axborotning foydalanuvchanligi,
konfidensialligi va butunligini ta’sir qiladi.
Hujumchilar texnologiyaga tegishli xavfsizlikda mavjud bo‘shliqlarni aniqlashga harakat
qilishmoqda.
Tarmoqni qurish oson vazifa hisoblanib, uning xavfsizligini ta’minlash murakkab
vazifa hisoblanadi.
Tashkilot tarmog‘i ichkaridan amalga oshiriluvchi turli hujumlarga ham uchrashi mumkin.
Tashkilotda kunlik tarmoqdagi hujumlarni monitoring qilib borishi va aniqlab borishi
kabi muhim vazifani amalga oshirishga majbur.
Kiberxavfsizlik asoslari (CSF1316)
Nima uchun tarmoq xavfsizligi muammolari
ortib bormoqda
Qurilma yoki dasturiy vositani noto‘g‘ri sozlanishi
• Noto‘g‘ri sozlangan dasturiy vosita esa ilova yoki dasturiy ta’mindan ruxsatsiz
foydaldanish imkonini berishi mumkin.
Tarmoqni xavfsiz bo‘lmagan tarzda va zaif loyihalash
• Agar tarmoqlararo ekran, IDS va virtual shaxsiy tarmoq (VPN) texnologiyalari
xavfsiz tarzda amalga oshirilmagan bo‘lsa, ular tarmoqni turli tahdidlar uchun zaif
qilib qo‘yishi mumkin.
Tug‘ma texnologiya zaifligi
• Agar tizimlarda eski veb brauzer foydalanilsa, ushbu tizimlar taqsimlangan
hujumlarga ko‘proq bardoshsiz bo‘ladi.
Foydalanuvchilarning e’tiborsizligi
• Inson harakatlari natijasida ma’lumotni yo‘qolishi, chiqib ketishi kabi jiddiy
xavfsizlik muammolari bo‘lishi mumkin.
Foydalanuvchilarni qasddan qilgan harakatlari
• Ishdan bo‘shab ketgan xodim taqsimlangan diskdan haligacha foydalanish imkoniyatiga
ega bo‘lishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq xavfsizligiga tahdidlarning
turlari
Tarmoqqa qaratilgan tahdidlar odatda ikki turga ajratiladi:
• ichki tahdidlar;
• tashqi tahdidlar.
Tashqi tahdidlar odatda ikki turga ajratiladi: tizimlashgan va
tizimlashmagan tashqi tahdidlar.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq xavfsizligini buzulishi biznes
faoliyatga ta’siri
Biznes faoliyatning buzilishi
• Biznesda ixtiyoriy hujum biznes jarayonlarni to‘xtab qolishiga olib keladi.
Ishlab chiqarishning yo‘qolishi
• Hujum natijasida ishlab chiqarishi yo‘qolgan hollarda uni qayta tiklash ko‘p vaqt talab
qiladi va bu vaqtda ishlab chiqarish to‘xtab qoladi.
Maxfiylikni yo‘qolishi
• Konfidensial axborotni chiqib ketishi natijasida, tashkilot shaxsiy ma’lumotlarini
yo‘qolishi mumkin.
Axborotni o‘g‘irlanishi
• Tashkilot xodimlarining shaxsiy va ishga oid ma’ulmotlarini kutilmaganda oshkor bo‘lishi
ushbu xodimlarga bevosita ta’sir qiladi.
Huquqiy javobgarlik
• Hujumchiga nisbatan ish qo‘zg‘atilishi mumkin va tashkilotga nisbatan ham qo‘llanilishi
mumkin.
Obro‘ga putur etishi va istemolchilar ishonchini yo‘qolishi
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq xavfsizligi zaifliklarining
turlari
Texnologik zaifliklar
• masalan, SMTP, FTP va ICMP, bo‘shliqlarni aniqlashlari mumkin;
• tarmoq qurilmalari, svitch yoki routerlardagi autentifikatsiya
usullarining etarlicha bardoshli bo‘lmasligi
Sozlanishdagi zaifliklar
• tarmoq yoki hisoblash qurilmalarini noto‘g‘ri sozlanishi;
• tizim xizmatlarini xavfsiz bo‘lmagan tarzda sozlanishi, joriy
sozlanish holatida qoldirish, parollarni noto‘g‘ri boshqarilishi;
Xavfsizlik siyosatidagi zaiflik
• Xavfsizlik siyosatidagi zaiflikni yuzaga kelishiga tashkilotning
xavfsizlik siyosatida qoidalar va qarshi choralarni noto‘g‘ri ishlab
chiqilgani sabab bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Tarmoq xavfsizligiga qaratilgan hujumlar
Razvedka hujumlari
• asosiy hujumlarni
oson amalga
oshirish uchun
tashkilot va tarmoq
haqidagi axborotni
to‘plashni maqsad
qiladi;
• tarmoq haqida
axborotni to‘plash
hujumchilarga
mavjud bo‘lgan
potensial
zaiflikni aniqlash
imkonini beradi.
Kirish hujumlari
• hujumchi turli
texnologiyalardan
foydalangan holda
tarmoqqa kirishga
harakat qiladi;
• ruxsatsiz
foydalanish, qo‘pol
kuch hujumi,
imtiyozni orttirish,
o‘rtaga turgan odam
hujumi va
hak.larni o‘z ichiga
oladi
Xizmatdan voz
kechishga undash
(Denial of service,
DOS) hujumlari
• hujumchi
mijozlarga,
foydalanuvchilarga
va tashkilotlarda
mavjud bo‘lgan
biror xizmatni
cheklashga urinadi;
• DOS hujumlari
biror axborotni
o‘g‘irlanishiga yoki
yo‘qolishiga olib
kelmasada, biroq
tashkilot
funksiyasini
bajarilmasligiga
olib keladi
Zararli hujumlar
• zararli hujumlar
tizim yoki tarmoqqa
bevosita va
bilvosita ta’sir
qiladi;
• zararli dastur bu –
programma yoki fayl
bo‘lib, kompyuter
tizimiga tahdid
qilish imkoniyatiga
ega.
Kiberxavfsizlik asoslari (CSF1316)
Razvedka hujumlari
• Razvedka hujumining asosiy maqsadi quyidagi ma’lumotlarga
ega bo‘ligsh:
– tarmoq haqidagi axborot;
– tizim haqidagi axborot;
– tashkilot haqidagi axborot.
• Razvedka hujumlarining quyidagi turlari mavjud:
– Aktiv razvedka hujumlari
• asosan portlarni va operatsion tizimni skanerlashni o‘z ichiga oladi.
– Passiv razvedka hujumlari
• trafik orqali axborotni to‘plashga harakat qiladi.
• Razvedka hujumlariga quyidagilarni misol keltirish mumkin:
– Paketlarni snifferlash
– Portlarni skanerlash
– Ping buyrug‘ini yuborish
– DNS izi
Kiberxavfsizlik asoslari (CSF1316)
Razvedka hujumlari: ICMP skanerlash
• Ma’lum dasturiy vositalar yordamidi ICMP ECHO
so‘rovini yuboradi.
• Agar host mavjud bo‘lsa, ICMP ECHO javobini yuboradi.
Kiberxavfsizlik asoslari (CSF1316)
Razvedka hujumlari: DNS izi
• DNS izi DNS
zonalari haqida
axborotni taqdim
etadi.
• DNS zona
ma’lumotlari
o‘zida DNS domen
nomlari,
kompyuter
ismlari, IP
manzillar va
tarmoq haqidagi
ko‘plab xususiy
ma’lumotlarni
mujassamlashtirg
an.
Kiberxavfsizlik asoslari (CSF1316)
Razvedka hujumlari: Nmap Scan yordamida
tarmoq axborotini ajratish
Kiberxavfsizlik asoslari (CSF1316)
Razvedka hujumlari: Nmap Scan yordamida
tarmoq axborotini ajratish
Kiberxavfsizlik asoslari (CSF1316)
Kirish hujumlari: Parolga qaratilgan
hujumlar
• Parolga qaratilgan hujumlar nishondagi
kompyuter tizimi uchun nazoratni qo‘lga
kiritish yoki ruxsatsiz foydalanish uchun amalga
oshiriladi. Keng tarqalgan usulga
quyidagilarni keltirish mumkin:
– lug‘atga asoslangan hujum;
– qo‘pol kuch hujumi yoki barcha variantlarni to‘liq
tanlash hujumi;
– gibrid hujum (lug‘atga asoslangan va qo‘pol kuch
hujumlariga asoslangan);
– Rainbow jadvali hujumlari (oldindan hisoblangan
keng tarqalgan parollarning xesh qiymatlari
saqlanuvchi jadvallar).
Kiberxavfsizlik asoslari (CSF1316)
Kirish hujumlari: tarmoqni snifferlash
• Snifferlash jarayoni TCP/IP tarmog‘ida paketlarni tutib
olish, dekodlash, tekshirish va tarjima qilishni o‘z ichiga
oladi.
• Ushbu jarayonning asosiy maqsadi esa axborotni, foydalanuvchi
Idsini, parolini, tarmoq ma’lumotlarini, kredit karta
raqamlarini va hak. o‘g‘irlashdan iborat.
• Tarmoqni snifferlashni uchta asosiy yo‘li mavjud:
– Ichki snifferlash. Tashkilotdagi xodim tashkilot ichidan turib
tarmoqni bevosita tutib olishi mumkin.
– Tashqi snifferlash. Haker tarmoqni tashqarisidan turib
tarmoqlararo ekran darajasida paketlarni tutib olishi va o‘g‘irlashi
mumkin.
– Simsiz snifferlash. Hujumchi snifferlanuvchi tarmoqning qayerida
joylashuvidan qatiy nazar, simsiz tarmoqlarni keng foydalanilishi
natijasida ma’lumotni qo‘lga kiritish imkoniyati mavjud.
Kiberxavfsizlik asoslari (CSF1316)
Kirish hujumlari: tarmoqni snifferlash
Wireshark vositasi yordamida Telnet protokoli ma’lumotlarini
tutib olish.
Kiberxavfsizlik asoslari (CSF1316)
Kirish hujumlari: O‘rtaga turgan odam
hujumi
• O‘rtaga turgan odam (man in
the middle attack, MITM)
hujumida hujumchi
o‘rnatilgan aloqaga suqilib
kiradi va aloqani bo‘ladi.
• MITM hujumi yordamida
hujumchi real vaqt
rejimidagi aloqani,
so‘zlashuvlarni yoki
ma’lumotlar almashinuv
jarayonini boshqarishi
mumkin.
• Quyidagi hollarda MITM
hujumiga moyillik paydo
bo‘ladi:
– login vazifasi mavjud
shartlarda;
– shifrlanmagan holatlarda;
– moliyaviy saytlarda.
Kiberxavfsizlik asoslari (CSF1316)
Xizmatdan vos kechishga undan hujumi: DOS
hujumi
• DOS qonuniy
foydalanuvchini tizim yoki
tarmoqdan foydalanishini
cheklash hujumi.
• Tarmoqni yuklanishiga
qaratilgan hujumda mavjud
tarmoq resurslaridan
foydalangan holatda tarmoq
yuklanishini ko‘paytirishga
va qonuniy foydalanuvchini
ushbu resurslardan
foydalanishi cheklanadi.
Kiberxavfsizlik asoslari (CSF1316)
Misol: tashkilot telefon orqali qabul qilingan
buyurtma asosida pitsa etkazib beradi. Bu holda butun
biz faoliyat telefon orqali beriladigan
buyurtmalarga bog‘liq. Faraz qilaylik biror shaxs
ushbu tashkilotning kunlik biznesini buzmoqchi. Agar
ushbu shaxs telefon tarmog‘ini band qilishning
imkonidan chiqsa, u holda kompaniya bir bu vaqtda
mijozlardan buyurtma qabul qila olmaydi.
Taqsimlangan DOS hujumlar: (Distributed
DOS, DDOS)
• DDOS hujumi Internetdagi
ko‘plab zombi kompyuterlar
orqali bilvosita amalga
oshiriladi.
• WWW Security FAQ da:
“DDOS hujumi bir yoki
ko‘plab nishonlar uchun
kelishilgan DOS hujumni
ko‘plab kompyuterlar orqali
amalga oshiradi. Mijoz-
server texnologiyasidan
foydalangan holda,
jinoyatchi hujum
platformasi sifatida
xizmat qiluvchi ko‘plab
kompyuterlar orqali DOS
hujumini samaradorligini
oshiradi” kabi aniqlik
kiritilgan.
Kiberxavfsizlik asoslari (CSF1316)
Zararli hujumlar
• Zararli dasturiy vositalar foydalanuvchini ruxsatisiz hujumchi
kabi g‘arazli amallarni bajarishni maqsad qilgan vosita
hisoblanib, ular yuklanuvchi kod (.exe), aktiv kontent, skript yoki
boshqa ko‘rinishda bo‘lishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
viruslar
• o‘zini o‘zi ko‘paytiradigan programma bo‘lib, o‘zini boshqa programma
ichiga, kompyuterning yuklanuvchi sektoriga yoki hujjat ichiga
biriktiradi
troyan otlari
• bir qarashda yaxshi va foydali kabi ko‘rinuvchi dasturiy vosita
sifatida ko‘rinsada, yashiringan zararli koddan iborat bo‘ladi
Adware
• marketing maqsadida yoki reklamani namoyish qilish uchun
foydalanuvchini ko‘rish rejimini kuzutib boruvchi dasturiy
ta’minot
Zararli hujumlar
Kiberxavfsizlik asoslari (CSF1316)
Spyware
• foydalanuvchi ma’lumotlarini qo‘lga kirituvchi va uni hujumchiga yuboruvchi dasturiy kod
Rootkits
• ushbu zararli dasturiy vosita operatsion tizim tomonidan aniqlanmasligi uchun ma’lum
harakatlarini yashiradi
Backdoors
• zararli dasturiy kodlar bo‘lib, hujumchiga autentifikatsiyani amalga oshirmasdan aylanib o‘tib
tizimga kirish imkonini beradi, maslan, administrator parolisiz imtiyozga ega bo‘lish
mantiqiy bombalar
• zararli dasturiy vosita bo‘lib, biror mantiqiy shart qanoatlantirilgan vaqtda o‘z harakatini
amalga oshiradi.
Botnet
• Internet tarmog‘idagi obro‘sizlantirilgan kompyuterlar bo‘lib, taqsimlangan hujumlarni amalga
oshirish uchun hujumchi tomonidan foydalaniladi
Ransomware
• mazkur zararli dasturiy ta’minot qurbon kompyuterida mavjud qimmatli fayllarni shifrlaydi
yoki qulflab qo‘yib, to‘lov amalga oshirilishini talab qiladi
E’TIBORINGIZ UCHUN
RAXMAT!!!
13 - Ma’ruza: Tarmoqlararo ekran
va virtual himoyalangan tarmoq
Tapmoklapapo ekpan
• Tapmoklapapo ekpan (TE) - maxsus kompleks
tapmoqlapapo himoya bo‘lib, bpaundmauep yoki firewall deb
ham yupitiladi.
• TE umumiy tapmokni ikki qismga: ichki va tashqi
tapmokga ajapatadi.
• Ichki tapmoq tashkilotning ichki tapmog‘i -
himoyalanuvchi tapmoq va tashqi tapmoq global tapmoq -
Intepnet.
Kiberxavfsizlik asoslari (CSF1316)
Klientlar
Serverlar
TE
Klientlar
Serverlar
Ochiq tashqi
tarmoq
Himoyalangan
ichki tarmoq
TE asosiy vazifasi
Tashqi tapmoqdagi foydalanuvchilapdan
ichki tapmoq pesupslapini himoyalash
• Bu foydalanuvchilap sifatida xakeplap, masofadan
foydalanuvchilap, shepiklap va h. lap bo‘lishi mumkin.
Ichki tapmok foydalanuvchilapini tashqi
tapmokqa bo‘lgan mupojaatlapini
chegapalash.
• Masalan, ishchilapga faqat puxsat bepilgan
saytlapdan foydalanishga puxsat bepish.
Kiberxavfsizlik asoslari (CSF1316)
TEning klassifikatsiyasi
OSI modelining
funksional
sathlapi bo‘yicha
• paket filterlari
– tarmoq sathida
ishlaydi;
• ekspert paketi
filterlari –
transport sahida
ishlaydi;
• ilova proksilari
– ilova sathida
Foydalanilgan
texnologiyasi
bo‘yicha
• ppatakol holatini
nazopatlash;
• vositachi moduli
yordamida (ppoksi)
Bajapilishiga ko‘pa
• Appapat-dastupiy;
• Dastupiy
Ulanish sxemasiga
ko‘pa
• yagona tapmok
himoyasi sxemasi;
• himoyalangan yopiq
va himoyalanmagan
ochiq tapmoq
segmentli sxema;
• bo‘lingan
himoyalangan yopiq
va ochiq segmentli
tapmoq hamda
sxema
Kiberxavfsizlik asoslari (CSF1316)
Paket filtepi tupidagi TE
• xabap paketlapining xizmat maydonlapi: tapmoq
manzili, identifikatoplap, intepfeys manzili, popt
nomepi va boshqa parametrlap;
• bevosita xabap paketi kontentini tekshipish opqali,
masalan, vipusga qapshi;
• axbopot oqimining tashqi xapaktepistikasi bo‘yicha,
masalan, vaqt va chastota xapaktepistikalapi, malumot
hajmi va h.
Kiberxavfsizlik asoslari (CSF1316)
Vositachi moduliga asoslangan TE
• uzatilayotgan axbopotni to‘g‘piligini tekshipish;
• xabaplap oqimini filteplash va o‘zgaptipish, masalan,
vipusga qapshi tekshipish;
• ichki tapmoq pesupsidan foydalanishni cheklash;
• tashqi tapmoq pesupsidan foydalanishni cheklash;
• tashqi tapmokdan so‘palgan malumotlapni cheklash;
• foydalanuvchini identifikatsiyalash va
autentifikatsiyalash;
• chiquvchi xabap paketlapi uchun ichki tapmoq manzilini
o‘zgaptipish;
• hodisalapni po‘yxatga olish, nazopatlash va analiz qilish.
Kiberxavfsizlik asoslari (CSF1316)
Papol yordamida foydalonuvchilapni
autentifikatsiyalash
Kiberxavfsizlik asoslari (CSF1316)
www.yandex.ru
Ishchi stansiya Ishchi stansiya Ishchi
stansiya
Ishchi
stansiya
Internet Marshrutizator
TE
Kommutator
TE kamchiliklari
• O‘tkazish qobilyatini cheklashi mumkin. Bapcha xabaplap
oqimi TEdan o‘tganligi sababli, tapmokning o‘tkazish
qobiliyati kamayadi.
• Vipuslapga qapshi ximoyani madadlamaydi. TE vositasi
yuklanuvchi tupidagi vipuslapni himoyalay olmaydi.
• Intepnetdagi zapapli kontentlapdan himoyalay olmaydi
(masalan, Java appletlapi).
• Foydalanuvchi yoki tizim ma’mupini xatosidan yoki
bilimini etishmasligidan ximoyalay olmaydi.
• TE faqat bo‘ladigan mavjud bo‘lgan xujumlapni
bloklaydi. YAngi tupdagi xujumni qaytapa olmaydi.
Kiberxavfsizlik asoslari (CSF1316)
Paket filterlari
• Tarmoq sathida paketlarni
tahlillashga asoslan;
• Kalit ma’lumotlar
sifatida: manba IP manzili,
masofadigi IP manzil, manba
porti, masofadagi port, TCP
bayroq bitlari (SYN, ACK,
RST va hak.) parametrlar
olinadi;
• Faqat tarmoq sathida
ishlaydi va sarlavha
ma’lumotlarni tahlillashda
katta tezlik beradi.
Kiberxavfsizlik asoslari (CSF1316)
Ilova sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sathi
Paket filterlari
• Bu turdagi tarmoqlararo ekran “Ruxsatlarni nazoratlash
ro‘yxati (ACL)” yordamida sozlanadi:
Kiberxavfsizlik asoslari (CSF1316)
Harakat Manba
IP
Masofadigi
IP
Manba
port
Masofadagi
port
Protokol Bayroq
Ruxsat Ichki Tashqi Ixtiyoriy 80 HTTP Ixtiyoriy
Ruxsat Tashqi Ichki 80 >1023 HTTP ACK
Taqiq Barcha Barcha Barcha Barcha Barcha Barcha
Paket filterlari - kamchiliklar
Holatning turg‘unligi mavjud emas,
ya’ni har bir paket turlicha
ko‘rinishlarda bo‘lishi mukin.
Bu turdagi tarmoqlararo ekran TCP
aloqani tekshirmaydi.
Ilova sathi ma’lumotlarni, zararli
dasturlarni va hak. tekshirmaydi.
Kiberxavfsizlik asoslari (CSF1316)
Ekspert paketi filtrlari
• Paketni filterlash vazifasini
bajaruvchi tarmoqlararo
ekranga mavjud kamchiliklarni
bartaraf etadi.
• Tekshiruv tarmoq va transport
sathida amalga oshiriladi.
• Tekshirish aloqa o‘rnatilganlik
holatiga ko‘ra amalga
oshiriladi.
• Kamchiligi: tekshirish
vaqtining ko‘pligi va ilova
sathi ma’lumotlarini
tekshirish imkoni yo‘qligidir.
Kiberxavfsizlik asoslari (CSF1316)
Ilova sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sathi
Ilova proksilari
• Bu turdagi tarmoqlararo ekran oldingi
ikki turga mavjud kamchiliklarni o‘zida
bartaraf etadi va ilova sathida
ishlaydi.
• Bu toifadagi tarmoqlararo ekranda
paketlar tarmoq, transport va ilova
sathlarida tekshiriladi.
• Ilova sathi uchun paket “buzulib”
qaytadan “quriladi”.
Kiberxavfsizlik asoslari (CSF1316)
Ilova sathi
Transport sathi
Tarmoq sathi
Kanal sathi
Fizik sathi
Himoyalangan vipual tapmoq (Virtual Private
Network, VPN)
• Geopgafik jihatdan bipi - bipidan uzoqda joylashgan
tashkilot ofislapi opasida yagona koppopativ tapmoqni
hosil qilish mupakkab vazifa.
• Ochiq tapmoq opqali himoyalangan tapmoqni qupish
konsepsiyasi himoyalangan viptual tapmoq - VPN (Virtual
Private Network) deb atala boshlandi.
• VPNni qupishdagi asosiy g‘oya:
– Intepnet tapmog‘ida malumot almashinish uchun ikkita uzel
mavjud bo‘lgan ekan, bu ikki uzel opasida axbopotni
konfidensiyalligini va butunligini ta’minovchi viptual tapmoq
qupish kepak.
– Bu himoyalangan tapmoqdan ixtiyopiy passiv va aktiv hujum hamda
malumotni olish imkoniyati bo‘lmasin.
Kiberxavfsizlik asoslari (CSF1316)
Viptual himoyalangan tapmoq
• Bu qupilgan
ximoyalangan kanalni
tunel ham deb atash
mumkin.
• VPN tapmoq opqali bosh
ofis va uning
masofadagi filiallapi
opasida ishonchli
pavishda axbopotni
uzatadi.
Kiberxavfsizlik asoslari (CSF1316)
Internet
Bosh ofis
Filial ofisi
Biznes sherik
Masofadagi foydalanuvchi
Internet
VPNning asosiy vazifasi
VPN tunel opqali uzatilgan
axbopot ximoyasi quyidagilapga
asoslanadi:
• tomonlapni autentifikatsiyalashga;
• yubopiladigan axbopotlapni
kpiptogpafik yashipish (shifplash);
• etkazilgan axbopotni butunligini va
to‘g‘piligini tekshipish.
Kiberxavfsizlik asoslari (CSF1316)
VPNni qurish
• Viptual tunelni yapatishda mavjud bo‘lgan paket
shifplangan xolda yangi hosil qilingan mantiqiy paket
ichiga kipitiladi.
• Odatda mavjud bo‘lgan IP - paket to‘liq shifplanib, unga
yangi IP saplavha bepiladi.
Kiberxavfsizlik asoslari (CSF1316)
YAngi IP -
sarlavha
AH -
sarlavha
ESP -
sarlavha
Kiruvchi IP -
sarlavha Ma’lumot
YAngi paket
Kiruvchi paket
VPNni qurish
• Viptual tunelni yapatishda mavjud bo‘lgan paket
shifplangan xolda yangi hosil qilingan mantiqiy paket
ichiga kipitiladi.
• Odatda mavjud bo‘lgan IP - paket to‘liq shifplanib, unga
yangi IP saplavha bepiladi.
Kiberxavfsizlik asoslari (CSF1316)
YAngi IP -
sarlavha
AH -
sarlavha
ESP -
sarlavha
Kiruvchi IP -
sarlavha Ma’lumot
YAngi paket
Kiruvchi paket
VPNni qurish
• VPN appapat-dastupiy qupilmasi VPN - mijoz, VPN - sepvep va VPN - shlyuz
sifatida faoliyat yupitishi mumkin.
• Bunda lokal tapmokdan chiquvchi paketga yangi saplavha bepiladi.
• Eski saplavha esa shifplangan holda bo‘ladi.
• Ochiq tapmoq opqali uzatilganda, qabul qiluvchi shlyuz qabul qilingan paketdan
yangi saplavhani olib tashlaydi va lokal tapmok ichida eski saplavha hamda
paketlapni uzatadi.
Kiberxavfsizlik asoslari (CSF1316)
B
A
Xavfsizlik
shlyuzi 1, SG1
Xavfsizlik
shlyuzi 2, SG2
Internet
Ishchi stansiya S Server D
C D Ma’lumot SG1 SG2 C D Ma’lumot C D Ma’lumot
YUboruvchi SHifrlangan
Qabul qiluvchi
VPNni qurish
1. Lokal tapmoqlap
opasida qupilgan
viptual lokal tapmoq.
Kiberxavfsizlik asoslari (CSF1316)
2. Lokal tapmoq va
uzel opasida qupilgan
viptual lokal tapmoq.
VPNning klassifikatsiyasi
OSI modelining “ishchi sathlapi”ga ko‘pa
• Kanal sathidagi VPN (L2F, L2TP va PPTP ppotakoli yordamida);
• Tapmoq sathidagi VPN (IPSec ppotakoli);
• Seans sathidagi VPN (TLS ppotakoli).
VPNning texnik echim apxitektupasiga ko‘pa
• Koppopativ tarmoq ichidagi VPN;
• Masofadan foydalaniluvchi VPN;
• Koppopativ tarmoqlapapo VPN.
VPN ning texnik amalga oshipilishiga ko‘pa
• Mapshputizatop ko‘pinishida;
• Tapmoqlapapo ekpan ko‘pinishida;
• Dastupiy ko‘pinishda;
• Maxsus shifplash ppotsessopiga ega appapat vosita.
Kiberxavfsizlik asoslari (CSF1316)
VPN tarmoq afzalliklari
• bapcha koppopativ tapmoqni himoyalash imkoniyati - yipik
lokal tapmoq ofislapidan toptib alohida ishchi
joylapigacha;
• masshtablashgan himoya tizimi, ya’ni, alohida
foydalanuvchi uchun dastupiy ko‘pinishda, lokal tapmoq
uchun sepvep ko‘pinishda va koppopativ tapmoq uchun shlyuz
ko‘pinishda amalga oshipish imkoniyati;
• ochiq tapmoq yordamida himoyalangan tapmoqni qupish
imkoniyati;
• tapmoq ishini nazopat ostida olish va bapcha axbopot
manbalapini identifikatsiyalash.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
14 - Ma’ruza: Simsiz tarmoqlarda
xavfsizlik
Simsiz tarmoqlar
Kiberxavfsizlik asoslari (CSF1316)
• Simsiz tarmoqlar odamlarga
simli ulanishsiz o‘zaro
bog‘lanishlariga imkon
beradi.
• Simsiz tarmoqlar erkin
ko‘chish imkoniyatini taqdim
etadi.
• Tarmoqdan ortiqcha
kabellarsiz foydalanish
imkoniyati.
• Hozirda barcha hisoblash
vositalarida simsiz tarmoqqa
ulanish imkoniyati mavjud.
Simsiz tarmoq turlari
Simsiz shaxsiy tarmoq (Wireless
personal-area network, PAN)
Simsiz lokal tarmoq (Wireless
local-area network, LAN)
Simsiz regional tarmoq (Wireless
metropolitan-area network, MAN)
Simsiz global tarmoq (Wireless
Wide-area network, WAN)
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoq turlari
Kiberxavfsizlik asoslari (CSF1316)
Bluetooth
• 2.4 - 2.485 Ggs oraliqda
ishlaydi.
• 1994 yilda Ericsson
kompaniyasi tomonidan
yaratilgan.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz lokal tarmoq – WI-FI
Avlodi Standart Tezligi
Wi-Fi 6 802.11ax 600–9608 Mbit/s
Wi-Fi 5 802.11ac 433–6933 Mbit/s
Wi-Fi 4 802.11n 72–600 Mbit/s
Kiberxavfsizlik asoslari (CSF1316)
• 2.4 va 5,0 GGs chastotalarda
ishlatiladi.
• shaxsiy kompyuterlar, video-
o‘yin qurilmalari, smartfonlar,
raqamli kameralar, raqamli
audio qurilmalari qo‘llab
quvvatlaydilar.
Simsiz regional tarmoqlar – Wi-Max
• WiMAX - Worldwide Interoperability for Microwave Access.
• 1 Gbit/sek gacha tezlikni taqdim etadi.
Kiberxavfsizlik asoslari (CSF1316)
Versiya Standart Foydalani
sh Tezligi Radiusi CHastotasi
WiMax 802.16d WMAN 75 Mbit/s
gacha 25-80 km 1,5—11 GGs
WiMax 802.16e Mobile
WMAN
40 Mbit/s
gacha 1—5 km
2,3-13,6
GGs
WiMax 2 802.16m
WMAN,
Mobile
WMAN
1 Gbit/s
(WMAN)
gacha, 100
Mbit/s
(Mobile
WMAN)
gacha
120—150
km 11 GGs gacha
Simsiz regional tarmoqlar – Wi-Max
Kiberxavfsizlik asoslari (CSF1316)
O‘O‘zazka kt atramrmoqoq
Istemolchi
Stansiya
Stansiya
Foydalanuvchi
Ko‘p sonli
foydalanuvchi
Istemolchi
Istemolchi
Kuchaytiruvchi
Istemolchi Istemolchi
Simsiz global tarmoqlar - GSM
• Ko‘pgina telekommunikatsiya
kompaniyalarining
birdamligi tufayli simsiz
global tarmoqlarining ta’sir
doirasi chegaralanmagan.
• Telekommunikatsiya xizmatini
ta’minlovchilarning biriga
to‘lab, simsiz global tarmoq
orqali dunyoning xar qanday
nuqtasidan qator Internet
xizmatidan foydalanish
mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud zaifliklar
• Nazoratlanmaydigan
xudud.
– chetki nuqtalari
orasidagi mutlaqo
nazoratlanmaydigan zona
mavjud.
– simsiz muhit aslo
nazoratlanmaydi.
– simsiz tuzilmalarning
yaqinidagi xujum
qiluvchilarga simli
dunyoda mumkin bo‘lmagan
xujumlarni amalga
oshirishga imkon beradi.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud zaifliklar
• YAshirincha eshitish.
– Simsiz tarmoqlar kabi
ochiq va
boshqarilmaydigan
muxitda eng tarqalgan
muammo - anonim
xujumlardir.
– Radiosignallarni ushlab
qolib, uzatiluvchi
ma’lumotlarni
deshifrlashi mumkin.
– Lokal simsiz tarmoqda
yashirincha faol eshitish
odatda Adress Resolution
Protocol (ARP)
protokolidan noto‘gri
foydalanishga
asoslangan.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud zaifliklar
• Xizmat ko‘rsatishdan
voz kechish.
– bazaviy stansiyalarda va
mi-joz terminallarida,
shunday kuchli
interferensiya paydo
bo‘ladiki, stan-siyalar
bir-birlari bilan
bog‘lana olmaydilar.
– Simsiz tarmoqqa
bo‘ladigan DoS xujumni
oldini olish yoki
tuxtatish qiyin.
– Simsiz routerlarning
imkoniyati cheklangan.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud zaifliklar
• Bo‘gish
– Tarmoqlarda bo‘g‘ish
atayin yoki atayin
bo‘lmagan
interferensiyaning aloqa
kanalidagi jo‘natuvchi va
qabul qiluvchi
imkoniyatidan oshganida
sodir bo‘ladi.
– Natijada bu kanal ishdan
chiqariladi.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud zaifliklar
• MITM(man in the
middle) xujumi
– aloqa seansining
konfidensialligini va
yaxlitligini buzish uchun
ishlatiladi.
– Hujumni amalga oshirish
uchun tarmoq xususida
batafsil axborot talab
etiladi.
– Xujum qiluvchi axborotni
jo‘natishi,
jo‘natilganini
o‘zgartirishi yoki barcha
muzokaralarni yashirincha
eshitishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud zaifliklar
• Tarmoqdan foydalanishning yolg‘on nuqtasi:
– Tajribali xujum qiluvchi tarmoq resurslarini imitatsiya
qilish bilan foydalanishning yolgon nuqtalarini tashkil etadi.
– Abonentlar, xech shubhalanmasdan foydalanishning ushbu yolg‘on
nuqtasiga murojaat etadilar va uni o‘zining muhim
rekvizitlaridan, masalan, autentifikatsiya axborotidan xabardor
qiladilar.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud zaifliklar
• Rouming muammosi
– foydalanuvchining
tarmoq bilan aloqani
uzmasdan joyini
o‘zgartirish
qobiliyatidir.
– TCP/IPning ko‘pgina
tarmoq ilovalari server
va mijoz IP-
adreslarining
o‘zgarmasligini talab
etadi.
– Ammo tarmoqdagi
rouming jarayonida
abonent albatta uning
bir joyini tark etib,
boshqa joyiga qo‘shiladi.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud xavfsizlik
protokollari – Bluetooth xavfsizligi
Autentifikatsiyalash
• Bluetooth qurilmalarining manzili orqali aloqa
qurilmalarini tanib olish. Ushbu standartda haqiqiy
foydalanuvchi autentifikatsiyasi amalga oshirilmaydi
Konfidensiyallik
• Ikki autentifikatsiyalangan tarmoqda ma’ulmotni
almashinish jarayonida tinglashdan va uchunchi tomondan
bo‘ladigan hujumlardan himoyalash uchun shifrlash amalga
oshiriladi.
Avtorizatsiyalash
• Ruxsat berilgan amallar bo‘yicha foydalanishga imkoniyati.
Kiberxavfsizlik asoslari (CSF1316)
Simsiz tarmoqlarda mavjud xavfsizlik
protokollari – Bluetooth ishlash rejimlari
Birinchi rejimda ikki qurilma o‘zaro xavfsiz bo‘lmagan holda ulunadi. Aloqa ulanishda autentifikatsiyalash
va shifrlash amallaridan foydalanilmaydi.
Ikkinchi rejim kuchaytirilgan darajadagi xavfsizlik xizmatini ta’minlab, dastlab mantiqiy aloqa
o‘rnatilib, shundan so‘ng kanal aloqasi o‘rnatiladi va xavfsizlik jarayonlari amalga oshiriladi. Ushbu
rejimda autentifikatsiyalash, shifrlash va avtorizatsiyalash kabi xavfsizlik jarayonlari amalga oshiriladi.
Uchinchi rejim kuchaytirilgan kanal aloqasida xavfsizlikni ta’minlab, kanal aloqasi o‘rnatilmasdan oldin
xavfsizlik ta’minlanadi. Ushbu rejimda mandatlangan autentifikatsiya amalga oshiriladi va barcha
ma’lumotlar shifrlangan holda yuboriladi.
To‘rtinchi rejimi ham ikkinchi rejim kabi, dastlab fizik va mantiqiy bog‘linishni talab etib, shundan
so‘ng xavfsizlik amaliyotlarini amalga oshiradi. Ushbu rejimda Secure Simple Pairing (SSP) dan
foydalaniladi. Oldingi rejimlarda esa “kanal kaliti” asosida kalitlarni taqsimlash amalga oshiriladi.
YA’ni, elliptik egri chiziqqa asoslangan Diffi-Xelman kalitlarni ochiq taqsimlash protokolidan
foydalanadi.
Kiberxavfsizlik asoslari (CSF1316)
WI-FI texnologiyasida foydalanilgan
kriptografik protokollar
Wired Equivalent Privacy (WEP)
• IEEE 802.11 standarti 1999 yil sentyabr oyida qabud
qilingan bo‘lib, simsiz tarmoqlarda (wireless LAN)
ma’lumotni butunligini, autentifikatsiya va
to‘liqligini ta’minlashda foydalaniladi.
• Ushbu protokolda 10 yoki 26 ta o‘n oltilik tizimdagi
kalitdan foydalaniladi, va bu kalit dastlab routerni
sozlashda foydalinilgan parol bilan bir xil bo‘ladi.
WEP da autentifikatsiyalash
• Open System authentication;
• Shared Key authentication.
Kiberxavfsizlik asoslari (CSF1316)
WEP protokolida autentifikatsiyalash
1. Klient serverga (boshqaruv nuqtasiga)
autentifikatsiyalash so‘rovini yuboradi.
2. Server foydalanuvchiga tasodifiy sonni yuboradi (r, 128
bitdan katta bo‘lgan).
3. Foydalanuvchi ushbu sonni umumiy kalit (boshqaruv
nuqtasi paroli) bilan shifrlab yuboradi (eK(r)).
4. SHifrmatnni ochish natijasiga qarab,
autentifikatsiyalashdan o‘tiladi yoki yo‘q.
Kiberxavfsizlik asoslari (CSF1316)
WI-MAX texnologiyasida foydalanilgan
protokollar
Wi-MAX tarmoq arxitekturasi quyidagi beshta tashkil
etuvchidan iborat:
• Base Station (BS). Asos stansiya deb nomlanib, ikkita
istemolchini operatorga ulash uchun xizmat qiladi.
• Subscriber Station (SS). Ushbu foydalanuvchi stansiyalari asosan
ko‘chmas bo‘lgan qurilmalarni o‘z ichiga oladi.
• Mobile Station (MS). Ushbu tashkil etuvchilar asosan
harakatlanuvchi qurilmalarni o‘z ichiga oladi (mobil
telefonlar, noutbuklar).
• Relay Station (RS). Ushbu tashkil etuvchi bir nechta SS
stansiyalarni o‘z ichiga oladi.
• Operator Network. Butun tizimni birlashtirib turuvchi tarmoq.
Quyidagi rasmda WI-MAX tizimining xavfsizlik
arxitekturasi keltirilgan.
Kiberxavfsizlik asoslari (CSF1316)
WI-MAX xavfsizlik arxitekturasi
Kiberxavfsizlik asoslari (CSF1316)
1. Autentifikatsiyalash
2. Kalitlarni almashinish
3. Ma’lumotni shifrlash
IEEE 802.16-2004 SS
autentifikatsiyalash
IEEE 802.16-2005&
2009 Ikki tomonlama
autentifikatsiyalash
BS
SS
GSM simsiz WAN tarmoq protokoli
• GSM (Global System for Mobile Communications)
standarti European Telecommunications Standards Institute
(ETSI) tashkiloti tomonidan raqamli mobil
telefonlarning ikkinchi avlodi (second-generation (2G))
uchun ishlab chiqilgan protokol.
• 2014 yilga kelib ushbu standart, mobil aloqa uchun eng
ko‘p foydalanilgan global standart sanalib, butun dunyo
bozorida 90 % ulushni tashkil etib, 219 ta davlat bo‘ylab
xizmat ko‘rsatmoqda.
• 2G texnologiyasi 1G analog texnologiyaning o‘zgarishidan
kelib chiqqan bo‘lib, hozirda uchunchi avlod (3G) UMTS
standarti, to‘rtinchi avlod (4G) LTE Advanced standarti
va beshinchi avlod (5G) New Radio ham amalda
foydalanilmoqda.
Kiberxavfsizlik asoslari (CSF1316)
GSM arxitekturasi
• SIM karta o‘zida IMSI (International Mobile Subscriber
Identity ) raqamini, autentifikatsiyalash kalit Ki,
foydalanuvchi ma’lumoti va xavfsizlik algoritmlarini
saqlaydi.
Kiberxavfsizlik asoslari (CSF1316)
GSM simsiz WAN tarmoq protokoli
• GSM standartida quyidagi uchta xavfsizlik
algoritmlari foydalanilgan:
– A3 – autentifikatsiyalash algoritmi;
– A8 – kalit generatori algoritmi;
– A5/1 – ma’lumotni shifrlash algoritmi.
• GSM standartida foydalanuvchi dastlab,
identifikatsiyadan, autentifikatsiyadan o‘tkaziladi va
so‘ngra unga xizmat ko‘rsatiladi.
• Foydalanuvchi SIM kartaga ega bo‘lish jarayonida mobil
tarmoq operatori (HLR) ham ushbu sim kartadagi
ma’lumotlarni, Ki, IMSI raqami va h. larni o‘zida ko‘chirib
oladi va o‘zida saqlaydi.
• Ushbu parametrlar asosida autentifikatsiya va maxfiylik
ta’minlanadi.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
15 - Ma’ruza: Hodisalarni yozib
borish
Hodisalar nima?
Avtorizatsiya jarayonida foydalanuvchi tizimda
ma’lum amallarni bajaradi. Masalan, faylni
o‘chirish.
Bajarilgan amallar natijasida biror hodisa ro‘y
beradi. Masalan, fayni o‘chirish natijasida
ma’lumotni yo‘qolishi hodisasi yuzaga keldi.
Hodisalar haqidagi ma’lumotlar tizimning
hodisalar jurnaliga (log fayl deb ataladi)
saqlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Hodisalarni yozib borish nimaga kerak?
Xato yuz berganda, tizim ma’muri yoki qo‘llab-quvvatlash vakili xatoning sababini aniqlashi
uchun.
• Masalan, diskda ma’lumotni yozish vaqtidagi xatolik.
Bo‘lishi mumkin bo‘lgan hujumni oldini olish uchun.
• Masalan, tizimga kirishda noto‘g‘ri kiritilgan parollar urinishini bilish orqali hujum bo‘lishi taxmin qidish
mumkin.
Doimiy jurnallarda yozib borish faol tekshirish va hujumdan keyingi tahlil paytida
xavfsizlik insidentlarining mohiyatini tushunish uchun juda muhimdir.
SHuningdek, hodisalarni qayd qilish operatsion tendensiyalarni aniqlash va tashkilotning ichki
tekshiruvlarini, shu jumladan auditni qo‘llab-quvvatlash uchun foydalidir.
Log faylni vaqti-vaqti bilan ko‘rib chiqib, tizim ma’muri shikastlanishdan oldin muammolarni
(masalan, qattiq disk kabi) aniqlashi mumkin.
Tegishli log yozuvisiz, buzg‘unchining faoliyati e’tibordan chetda qolishi mumkin va hujum
buzilishlarga olib kelgan yoki qilinmaganligini isbotlash mumkin emas.
Kiberxavfsizlik asoslari (CSF1316)
Hodisalarni qayd etish quyidagilarni o‘z
ichiga olishi shart:
Operatsion tizim (OT) hodisalari
• tizimni ishga tushirish va o‘chirish;
• xizmatni boshlash va tugatish;
• tarmoq ulanishidagi o‘zgarishlar yoki muvaffaqiyasizliklar;
• tizim xavfsizligini sozlash va boshqarish vositalarini o‘zgartirish
yoki o‘zgartirishga urinishlar.
OT audit yozuvlari
• tizimga kirishdagi urinishlar (muvaffaqiyatli yoki muvaffaqiyatsiz);
• tizimga kirgandan so‘ng bajariladigan funksiyalar (masalan, muhim
faylni o‘qish yoki yangilash, dasturni o‘rnatish);
• hisobni o‘zgartirish (masalan, hisobni yaratish va yo‘q qilish, hisob
imtiyozlarini tayinlash);
• imtiyozli hisoblardan muvaffaqiyatli / muvaffaqiyatsiz foydalanish.
Kiberxavfsizlik asoslari (CSF1316)
Hodisalarni qayd etish quyidagilarni o‘z
ichiga olishi shart:
Ilova qayd yozuvi to‘g‘risidagi ma’lumot
• muvaffaqiyatli va muvaffaqiyatsiz dasturni autentifikatsiya qilishga
urinishlar;
• hisob qaydnomasidagi o‘zgartirishlar (masalan, qayd yozuvini yaratish va yo‘q
qilish, hisob imtiyozlarini tayinlash);
• dastur imtiyozlaridan foydalanish.
Ilova operatsiyalari
• dasturni ishga tushirish va o‘chirish;
• dastur xatolari;
• dastur konfiguratsiyasining asosiy o‘zgarishlari;
• dastur operatsiyalari, masalan:
• har bir elektron pochta uchun yuboruvchini, qabul qiluvchilarni, mavzular
nomini va ilova nomlarini qayd etadigan elektron pochta serverlari;
• talab qilingan har bir URL manzilini va server tomonidan berilgan javob
turini yozadigan veb-serverlar;
• har bir foydalanuvchi foydalanishi mumkin bo‘lgan moliyaviy yozuvlarni qayd
qiluvchi biznes-ilovalar.
Kiberxavfsizlik asoslari (CSF1316)
Hodisalarni qaydlash
Har bir voqea uchun qayd qilingan
tafsilotlar juda farq qilishi mumkin,
ammo har bir voqeani quyidagi
parametrlar yordamida yozib olish kerak:
• vaqt belgisi;
• voqea, holat va / yoki xato kodlari;
• servic / buyruq / ilova nomi;
• foydalanuvchi yoki tizim bilan bog‘liq voqea;
• amaldagi qurilma (masalan, IP va manba manzili,
terminal sessiyasi identifikatori, veb-brauzer va
hk.).
Kiberxavfsizlik asoslari (CSF1316)
Windows OTda hodisalar turlari
Kiberxavfsizlik asoslari (CSF1316)
Hodisa Tavsifi
Xatolik Ma’lumotni yo‘qotish yoki funksionallikni yo‘qotish kabi muhim muammoni
ko‘rsatadigan voqea. Masalan, agar xizmat ishga tushirish paytida yuklana olmasa,
xatolik hodisasi qayd etiladi.
Ogohlantirish Hodisa juda ahamiyatli emas, lekin kelajakda yuzaga kelishi mumkin bo‘lgan
muammolarni ko‘rsatishi mumkin. Masalan, diskda bo‘sh joy kam bo‘lsa,
ogohlantirish hodisasi qayd etiladi. Agar ilova biron bir hodisani funksional
yoki ma’lumot yo‘qotmasdan tiklay olsa, u odatda voqeani ogohlantirish voqeasi
deb tasniflashi mumkin.
Axborot Ilova, drayver yoki xizmatning muvaffaqiyatli ishlashini tasvirlaydigan voqea.
Masalan, tarmoq drayveri muvaffaqiyatli yuklanganda, axborot hodisalarini
qayd etish o‘rinli bo‘lishi mumkin. Esda tutingki, desktop ilovalarda har safar
boshlanganida biron-bir voqeani qayd etish noto‘g‘ri bo‘ladi.
Muvaffaqiyatli
audit
Muvaffaqiyatli tekshirilgan xavfsizlikka kirish urinishlarini yozib oladigan
hodisa. Masalan, foydalanuvchining tizimga muvaffaqiyatli urinishi
muvaffaqiyatli audit hodisasi sifatida qayd etiladi.
Muvaffaqiyatsiz
audit
Tekshirilgan xavfsizlikka kirish urinishining muvaffaqiyatsiz tugaganligini
qayd etadigan hodisa. Masalan, agar foydalanuvchi tarmoq drayveriga kirishga
harakat qilsa va muvaffaqiyatsiz bo‘lsa, urinish Muvaffaqiyatsiz audit hodisasi
sifatida qayd etiladi.
Hodisalarni qaydlashdagi eslatmalar
Hodisalar jurnallari tizim nomidan muhim
voqealar va tizimda ishlaydigan
dasturlarning yozuvlarini saqlaydi.
• Jurnalni ro‘yxatga olish funksiyalari umumiy maqsadga
ega bo‘lganligi sababli, siz kirish uchun zarur ma’lumotni
tanlashingiz kerak.
Siz faqat apparat yoki dasturiy ta’minot
muammolarini tashxislashda foydali bo‘lgan
ma’lumotlarni kiritishingiz kerak.
• Hodisalarni ro‘yxatga olish kuzatuv vositasi sifatida
foydalanish uchun mo‘ljallanmagan.
Kiberxavfsizlik asoslari (CSF1316)
Qayd etish uchun hodisalarni tanlash
Resurs muammolari
• Xotirani ajratishda xatolik yuz bergan taqdirda
ogohlantirish hodisasini qayd etish, kam xotirali
vaziyatning sababini ko‘rsatishga yordam beradi.
Uskuna bilan bog‘liq muammolar
• Agar qurilma drayveri disk boshqaruvchisining ishdan
chiqishi, parallel portdagi quvvatning uzilishi yoki
tarmoq, serial kartadagi ma’lumotlarning xatosiga duch
kelsa, qurilma drayveri tizim ma’muriga apparatdagi
muammolarni aniqlashga yordam berish uchun ushbu
hodisalar haqida ma’lumotni qayd etishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Qayd etish uchun hodisalarni tanlash
YOmon sektorlar
• Agar disk drayveri yomon sektorga duch kelsa, operatsiyani qayta ko‘rib
chiqqandan so‘ng, u sektordan o‘qishi yoki yozishi mumkin, ammo oxir-oqibat
sektor yomonlashadi. Agar disk drayveri ishlashni davom ettirsa, u
ogohlantirish hodisasini yozishi kerak; aks holda, xatolik hodisasini
qayd qilishi kerak. Agar fayl tizimining drayveri juda ko‘p
miqdordagi yomon sektorlarni topsa va ularni tuzatsa, jurnallarni
ro‘yxatga olish ogohlantirish hodisalari ma’murga diskning ishdan
chiqishini aniqlashga yordam beradi.
Axborot hodisalari
• Server dasturi (masalan, ma’lumotlar bazasi serveri), foydalanuvchini
ro‘yxatdan o‘tkazadi, ma’lumotlar bazasini ochadi yoki fayl uzatishni
boshlaydi. Server, shuningdek, xatolar (faylga kirish imkoni yo‘q, xost
jarayoni o‘chirilgan va hokazo), ma’lumotlar bazasi buzilganligi yoki
fayl uzatish muvaffaqiyatli amalga oshirilganligi kabi boshqa
hodisalarni ham qayd qilishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Hodisalarni qaydlashdagi amallar
Hodisalarni qaydlash jurnali ustida quyidagi amallar
bajaralishi mumkin:
• zaxira nusxalash (BackupEventLog funksiyasi
yordamida);
• tozalash (ClearEventLog funksiyasi yordamida);
• monitoring qilish (NotifyChangeEventLog funksiyasi
yordamida);
• so‘rov yuborish (boshqa dasturlar tomonidan,
GetOldestEventLogRecord,
GetNumberOfEventLogRecords funksiyalari yordamida);
• o‘qish (ReadEventLog funksiyasi yordamida);
• yozish (ReportEvent funksiyasi yordamida).
Kiberxavfsizlik asoslari (CSF1316)
Log fayldan foydalanish imtiyozlari
• Windows XP/2000 operatsion tizimlarida turli
hodisalarni qaydlash jurnali uchun tarli akkauntlar
uchun berilgan imtiyozlar quyidagi jadvalda keltirilgan.
Kiberxavfsizlik asoslari (CSF1316)
Log Akkaunt O‘qish YOzish Tozalash
Ilova Administratorlar (tizim) + + +
Administratorlar (domen) + + +
Lokal tizim + + +
Interaktiv foydalanuvchi + + -
Tizim Administratorlar (tizim) + + +
Administratorlar (domen) + - +
Lokal tizim + + +
Interaktiv foydalanuvchi + - -
Tanlovga ko‘ra
yaratilgan log fayl
Administratorlar (tizim)
+ + +
Administratorlar (domen) + + +
Lokal tizim + + +
Interaktiv foydalanuvchi + + -
Windows OT log fayli
Kiberxavfsizlik asoslari (CSF1316)
Kompyuterdan Win+R
tugmalari kombinatsiyasi
bosiladi
Hosil bo‘lgan oynadagi
maydonda eventvwr kiritiladi
va Enter tugmasi bosiladi
Hosil bo‘lgan hodisalar ko‘rish
oynasidan Windows Logs bandi
tanlanadi
Windows OT log fayli
Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli
Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli
Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli
Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli
Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
16 - Ma’ruza: Ma’lumotlar va
axborotni tiklanishi va barqarorligi
Zaxira nusxalash
Hozirgi kunda ma’lumotlarni yo‘qolishi tashkilotlar uchun asosiy
xavfsizlik muammolardan biridir. Ma’lumotni yo‘qolishi
natijasida tashkilot katta zarar ko‘rishi mumkin. SHuning uchun
tashkilotdan davomiy ravishda muhim bo‘lgan ma’lumotlar zaxira
nusxalab borilishi shart.
Ma’lumotlarni zaxira nusxalash bu – muhim bo‘lgan axborot nusxalash
yoki saqlash jarayoni bo‘lib, bu ma’lumot yo‘qolgan vaqtda qayta tiklash
imkoniyatini beradi.
• Zarar etkazilgandan keyin tizimni normal ish holatiga qaytarish
uchun.
• Tizimda saqlanuvchi muhim ma’lumotni yo‘qolishidan so‘ng uni
qayta tiklash uchun.
Ma’lumotlarni zaxira nusxalash asosan quyidagi ikki maqsadda
foydalaniladi:
Kiberxavfsizlik asoslari (CSF1316)
Ma’lumotlarni yo‘qolish sabablari
Inson xatosi
• qasddan yoki tasodifiy ma’lumotni o‘chirib yuborilishi,
ma’lumotlarni saqlash vositasini to‘g‘ri joylashtirilmagani yoki
ma’lumotlar bazasini xatolik bilan boshqarilganligi.
G‘arazli hatti harakatlar
• tashkilotdagi muhim ma’lumotlarni modifikatsiyalanishi yoki
o‘g‘irlanishi
Tabiy sabablar
• quvvat o‘chishi, dasturiy ta’minot to‘satdan o‘zgarishi yoki qurilmani
to‘satdan zararlanishi
Tabiy ofatlar
• zilzila, yong‘in va hak.
Kiberxavfsizlik asoslari (CSF1316)
Zaxira nusxalash imkoniyatlari
Muhim bo‘lgan ma’lumotlardan yo‘qolgan va
zararlangan taqdirda ham foydalanilish mumkinligi
Zaxira nusxalash tashkilotlarni o‘z vazifasini
yo‘qotishidan himoyalaydi. Ma’lumotlarini ixtiyoriy
vaqtda tiklash imkoniyatini beradi.
Ma’lumotlarni tiklash tashkilotdagi yo‘qolgan
ma’lumotlarni tiklash imkoniyatini beradi.
Kiberxavfsizlik asoslari (CSF1316)
Zaxira nusxalash strategiyasi/ rejasi
• Ma’lumotlarni zaxira nusxalashning ideal strategiyasi to‘g‘ri
ma’lumotni tanlashdan boshlab kafolatli ma’lumotni tiklash
jarayonigacha bo‘lgan bosqichlarni o‘z ichiga oladi.
Kiberxavfsizlik asoslari (CSF1316)
Tashkilot missiyasi uchun zarur axborotni aniqlash.
Zaxira nusxalash texnologiyasini tanlash.
Mos zaxira nusxalash usulini tanlash.
Zaxira nusxalash uchun xotira qurilmasini
tanlash.
Mos RAID sathini tanlash.
Zarur axborotni aniqlash
Tashkilotda muhim funksiya va
ma’lumotlarni aniqlash uchun biznesga
ta’sirini tahlil qilish zarur
Hujjatlarni tekshirish va muhim biznes
funksiyalarni tiklash maqsadida amalga
oshirish
Biznes faoliyatga ma’lumotlarni ta’sirin
tahlil qiluvchi jamoani tashkil etish
Qayta tiklash uchun zarur bo‘lgan
strategiyani yoki planni amalga oshirish
uchun etarli sondagi xodimlarni tayinlash
Kiberxavfsizlik asoslari (CSF1316)
Zaxira nusxalovchi vositalarini tanlash
Narx
• Har bir tashkilot o‘zining byudjetiga mos bo‘lgan zaxira
nusxalash vositasiga ega bo‘lishi shart. Saqlanuvchi
ma’lumot hajmidan katta hajmdagi vositalarga ega
bo‘lish ortiqcha sarf xarajatni keltirib chiqaradi.
Ishonchlilik
• Tashkilotlar o‘z ma’lumotlari buzilishsiz ishlaydigan
ma’lumotlarni zaxira saqlash vositalarida
saqlanishiga ega bo‘lishlari kerak. Tashkilotlar bu
o‘rinda yuqori ishonchlilik, buzilmaydigan
ma’lumotlarni saqlash vositasini tanlashi shart
bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Zaxira nusxalovchi vositalarini tanlash
Tezlik
• Tashkilotlar zaxira nusxalash jarayonida inson
aralashuvini imkoni boricha kam talab etadigan saqlash
vositalarini tanlashi kerak.
Foydalanuvchanlik
• Tashkilotlar zaxira nusxalash vositalarini har doim
foydalanishga yaroqli bo‘lishiga e’tibor qaratishi
kerak.
Qulaylik
• Tashkilot foydalanish uchun oson bo‘lgan zaxira
nusxalash vositasini tanlashi shart
Kiberxavfsizlik asoslari (CSF1316)
Zaxira nusxalarni saqlovchi vositalar
Kiberxavfsizlik asoslari (CSF1316)
Optik disklar (DVD, Blu-ray)
• ~200 Gbaytgacha
• Olib yurish va saqlash uchun oson
• YOzish sekin, katta hajmdagi ma’lumotlarni saqlay olmaydi
Ko‘chma qattiq disklar/ USB xotiralar
• CHeklanmagan hajm
• yuqori saqlash imkoniyati va yuqori tezlikka ega
• narxi qimmat va katta zaxira ma’lumotlari uchun kam tavsiya etiladi
Lentali disklar
• CHeklanmagan hajm
• Saqlash va olib yurish uchun qulay bo‘lib, foydalanuvchi ishtirokini talab
etmaydi
• Oddiy foydalanuvchilar uchun qimmatligi va oddiy kompyuterlar ulardan
foydalanish uchun qo‘shimcha apparat va dasturiy vositani talab qiladi.
RAID (Redundant Array of Independent Disks)
texnologiyasi
Ko‘plab tashkilotlar o‘z muhim ma’lumotlarini RAID texnologiyasiga asosan zixira nusxalashni
amalga oshiradilar.
RAID texnologiyasida ma’lumotlar bir qancha disklarning turli sohalarida saqlanadi.
Ma’lumotni ko‘plab disklarga saqlash IO amallarini bajarishni osonlashtiradi.
RAID texnologiyasi ko‘plab qattiq disklarni bitta mantiqiy diskda o‘rnatish orqali ishlaydi.
Ushbu texnologiya disklar massivi bo‘ylab bir xil ma’lumotni muvozanatlashgan shaklda saqlash
imkoniyati beradi.
Ushbu texnologiya odatda serverlarda ma’lumotni saqlash uchun xizmat qiladi.
SHaxsiy kompyuterlar serverlarga qaraganda ixcham bo‘lgani sababli, ularda ushbu texnologiyadan
foydalanish zaruriyati mavjud emas.
RAID texnologiyasida amallarni samarali bajarish uchun 6 ta sathlar mavjud: RAID 0, RAID 1,
RAID 3, RAID 5, RAID 10 va RAID 50.
Kiberxavfsizlik asoslari (CSF1316)
RAID texnologiyasining afzalligi va
kamchiligi
Afzalligi
Unumdorlik va ishonchlilik (“Qaynoq
almashtirish” (Hot-Swapping))
Xatolikni nazoratlash
Ma’lumot ortiqchaligi (ma’lumotni
nusxalash)
Disklarni navbatlanishi
Tizimni ishlash davomiyligi
Kamchiligi:
Asosan serverlarda foydalanish uchun
loyihalangan
Mos kelmaslik
Ma’lumotni yo‘qolishi
Qayta qurishning uzoq vaqt olishi
Narxning yuqoriligi
Kiberxavfsizlik asoslari (CSF1316)
Qaynoq almashtirish” (Hot-Swapping
Kiberxavfsizlik asoslari (CSF1316)
RAID 0: diskni navbatlanishi
• RAID 0 ma’lumotni bloklarga bo‘lib, bir qancha qattiq
diskda ularni yozadi.
• U IO unumdorligini yuklamani ko‘plab kanal va disk
drayverlariga bo‘lish orqali yaxshilaydi.
• Agar disk buzilsa, ma’lumotni tiklab bo‘lmaydi.
• Kamida ikkita disk talab qilinadi.
• Ma’lumotni buzilishidan himoyalash imkoniyati mavjud emas.
Kiberxavfsizlik asoslari (CSF1316)
A B
C D
E F
G Hak.
RAID 1: Diskni akslantirish
• Ma’lumotni ko‘plab nusxalari bir vaqtda bir nechta
disklarda yoziladi.
• U ma’lumotni nusxalash orqali yo‘qolish xavfini
kamaytiradi.
• Agar bir disk buzilsa, ma’lumotni tiklash mumkin.
• Kamida 2 ta disk tadab etiladi.
Kiberxavfsizlik asoslari (CSF1316)
A E
B F
C G
D H
A
B
C
D
E
F
G
H
= =
RAID 3: Diskni navbatlanishi va xatolikni
nazoratlash
• Ma’lumotlar bir nechta disklarda bayt sathida ajratilgan
holda yoziladi. Har bir to‘plamda bir disk nazorat bitlarini
(ular asosida ma’lumotni tiklash mumkin) saqlaydi.
• Agar disk buzilishga uchrasa, nazorat bitlari saqlangan disk
orqali ularni tiklash va xatoligini tuzatish mumkin.
• Nazorat bitlari bir nechta disklarda saqlanadi.
• Kamida 3 ta disk talab qiladi.
Kiberxavfsizlik asoslari (CSF1316)
A0
B0
C0
D0
A1
B1
C1
D1
A Naz
B Naz
S Naz
D Naz
A2
B2
C2
D2
A3
B3
C3
D4
Nazorat bitini
hosil qilish
RAID 5: Blokni vaqti-vaqti bilan
taqsimlangan nazoratni boshqarish
• Ma’lumotlar bir nechta disklarda bayt sathida
ajratilgan holda yoziladi va nazorat bitlari ham ular
ichida taqsimlanadi.
• Ma’lumotni yozish jarayoni tezligi past.
• Kamida ushbu sathda 3 ta disk talab etiladi.
Kiberxavfsizlik asoslari (CSF1316)
0 Naz
E1
E2
E3
D0
1 Naz
D2
D3
A0
A1
A2
A3
C0
C1
Naz
S3
B0
B1
B2
3 Naz
Nazorat bitini
hosil qilish
E4 D4 C4 B4 4 Naz
RAID 10: Bloklarni navbatlash va
akslantirish
• RAID 10 sathi gibrid sath bo‘lib, RAID 1 va RAID 0
sathlaridan iborat va kamida 4 ta diskni talab etadi.
• RAID 10 sathining unumdorligi RAID 1 nikidan yuqori va
RAID 1 kabi buzilishga chidamli.
• RAID 1 ning akslantirishi va RAID 0 ning
navbatlanishidan iborat.
Kiberxavfsizlik asoslari (CSF1316)
A
B
C
D
A
B
C
D
=
A B
C D
E F
G H
Akslantirish Navbatlash
RAID 1 RAID 0
RAID 50: Bir qancha RAID sathlari bo‘ylab
akslantirish va navbatlash
• RAID 50 sath 0 sathli navbatlash va 5 sathli taqsimlangan
ma’lumotni to‘liqligini nazoratlashdan iborat.
• RAID 50 sathini sozlash uchun kamida 6 ta disk talab etiladi.
• Disk zararlangan vaqtda “qaynoq almashtirish” yordamida uni
almashtirish mumkin.
• Umumiy holda RAID 50 sathi RAID 5 sathini yozish va
buzilishga qarshi himoyalangan ko‘rinishi hisoblanadi.
Kiberxavfsizlik asoslari (CSF1316)
A0
A1
2 Naz
B0
1 Naz
B2
A0
A1
2 Naz
0 Naz
C1
S2
0 Naz
C1
S2
B0
1 Naz
B2
RAID 5 RAID 5
Navbatlash sathi (RAID 0)
Zarur RAID sathini tanlash
Kiberxavfsizlik asoslari (CSF1316)
RAID
Diskdan
foydalanish
Buzi-
lishga
bardosh-
ligi
Katta ma’lumotlar
transferi
IO
darajasi
Ma’lumot
foydalanuv-
chanligi
Asosiy kamchiligi
YAgona
disk
Bir xil 100% Yo‘q YAxshi YAxshi
YAgona diskning
MTBF davri Disk buzilsa, ma’lumot
yo‘qoladi
RAID 0 A’lo 100% Ha Juda yaxshi Juda yaxshi
Diskning past
MTBF davri
RAID 1 O‘rtacha 50% Ha YAxshi YAxshi YAxshi
Disk hajmidan 2 marta kam
foydalanish
RAID 3 YAxshi-juda yaxshi Ha Juda yaxshi YAxshi YAxshi
Disk buzilsa, ma’lumot
yo‘qoladi
RAID 5 YAxshi-juda yaxshi Ha YAxshi-juda yaxshi YAxshi YAxshi
Disk buzilsa, kam
o‘tkazuvchanlik
RAID
0+1
O‘rtacha 50% Ha YAxshi Juda yaxshi YAxshi
Disk hajmidan 2 marta kam
foydalanish
RAID
1+0
O‘rtacha 50% Ha Juda yaxshi Juda yaxshi Juda yaxshi
Juda qimmat, keng ko‘lamli
emas
RAID 30 YAxshi-juda yaxshi Ha Juda yaxshi A’lo A’lo Juda qimmat
RAID 50 YAxshi-juda yaxshi Ha YAxshi-juda yaxshi A’lo A’lo Juda qimmat
MTBF – Mean Time Between Failures
Mos zaxira nusxalash usuli tanlash
Tashkilot o‘zining moliyaviy ahvoli va AT
infratuzilmasidan kelib chiqqan holda zaxira nusxalash
usulini tanlashi zarur.
Kiberxavfsizlik asoslari (CSF1316)
Issiq zaxiralash
• Ushbu usulda foydalanuvchi
tizimni boshqarayotgan
vaqtda ham zaxira nusxalash
jarayoni davom ettiriladi.
• Mazkur zaxiralash usulini
amalga oshirish tizimni
harakatsiz vaqtini
kamaytiradi.
• Zaxiralash amalga
oshirilgani bois, tizimni
ishlash jarayoni
sekinlashadi.
• Ushbu jarayonni amalga
oshirish qimmat
hisoblanadi.
Sovuq zaxiralash
• Sovuq zaxiralash tizim
ishlamay turganda yoki
foydalanuvchi tomonidan
boshqarilmagan vaqtda
amalga oshiriladi.
• Ushbu usul zaxiralashning
xavfsiz usuli hisoblanib,
ma’lumotni nusxalash
xavfidan himoyalaydi.
• Ushbu jarayon issiq
zaxiralash usuli kabi
qimmat emas.
Iliq zaxiralash
• Ushbu zaxiralashda
tarmoqga bog‘lanish amalga
oshiriladi.
• Iliq zaxiralashda, tizim
yangilanishi davomiy
yangilanishni qabul qilish
uchun ulanadi.
• Bu xususiyat ma’lumotni
akslantirish yoki nusxalash
holatlarida muhim.
• Ushbu usulda ma’lumotni
zaxiralash uzoq vaqt oladi
va jarayon biror interval
bilan amalga oshiriladi
(kundan xaftagacha bo‘lgan).
Zaxira nusxalash manzilini tanlash
Ichki (onsite) zaxiralash
• Ichki zaxirilashda tashqi qurilmalar, lentali saqlagichlar, DVD, qattiq disk va haklardan foydalaniladi.
• Afzalliklari:
• Ma’lumotdan zadlik bilan foydalanishni ta’minlaydi;
• Kam xarajatlik;
• Zaxira nusxalashda zarur bo‘lgan qurilmalarni topish oson va narxi past;
• Tiklashdagi tezkorlik;
• Internetdan foydalanish talab etilmaydi.
• Kamchiligi:
• Zaxirilashni amalga oshirishda inson ishtirokini talab etadi.
• Tabif ofatlarga yoki o‘g‘irlashga moyil.
Tashqi (offsite) zaxiralash
• Tashqi zaxiralashda zaxiralash mosofadagi manzilda amalga oshiriladi. Bu fizik disklarga saqlash, onlayn yoki
uchinchi tomon xizmati asosida amalga oshirilishi mumkin.
• Afzalliklari:
• Tashqi zaxiralashni turli manzillarda va ko‘plab nusxalarda amalga oshirish mumkin;
• Zaxirilash jarayoni avtomatlashgani bois inson xatosini kam.
• Ma’lumotni saqlash hajmi cheklanmagan.
• Kamchiligi:
• Qimmat va uchinchi tomon xizmatini talab etadi.
• Internet tarmog‘iga ulanishni talab etadi va tarmoq trafigini band qilishi mumkin.
• Jarayon uzoq vaqt oladi.
Kiberxavfsizlik asoslari (CSF1316)
Zaxira nusxalash manzilini tanlash
Bulutli tizimda zaxiralash
• Ushbu zaxiralash usuli onlayn usul deb ham ataladi. U zaxiralangan
ma’lumotlarni ochiq tarmoqda yoki ma’lum serverda saqlaydi. Odatda
ma’lum server vazifasini uchinchi tomon xizmati tashkil qiladi.
• Afzalliklari:
• Diskka asoslangan zaxiralash, virtuallashtirish va shifrlash kabi
texnologiyalardan foydalangani bois ushbu zaxira usuli samarali
hisoblanadi.
• Ma’lumotlarni monitoring qilish va tashkilot uchun hisobotlar
berish imkoniyati mavjud.
• Bulutli saqlangan zaxira saqlangan ma’lumotlarni Internet orqali
boshqarish oson.
• Kamchiligi:
• Ma’lumotni tiklash ko‘p vaqt talab qiladi.
• Zaxira nusxalashni amalga oshirgan uchinchi tomon har doim ham to‘liq
ma’lumotni zaxiralash amalga oshirilganini kafolatlamaydi.
Kiberxavfsizlik asoslari (CSF1316)
Zaxiralash turlari
To‘liq zaxiralash
• To‘liq zaxiralash usuli
tiklashning tezligi yuqori.
• Zaxira nusxalash jarayonining
sekin va ma’lumotni saqlash
uchun ko‘p hajm talab etadi.
O‘sib boruvchi zaxiralash
• Zaxiralangan ma’lumotga
nisbatan o‘zgarish yuz
berganda zaxirilash amalga
oshiriladi.
• Oxirgi zaxira nusxalash
sifatida ixtiyoriy
zaxiralash usuli bo‘lishi
mumkin (to‘liq saxiralashdan).
• Saqlash uchun kam hajm va
amalga oshirish jarayoni tez.
• Biroq, tiklash jarayoni
sekin.
Differensial zaxiralash
• To‘liq va o‘sib boruvchi
usullarning
mujassamlashgan ko‘rinishi
bo‘lib, oxirgi zaxiralangan
nusxadan boshlab bo‘lgan
o‘zgarishlarni zaxira
nusxalab boradi.
• Amalga oshirish to‘liq
zaxiralashga qaraganda tez
amalga oshiriladi.
• Qayta tiklash o‘sib boruvchi
zaxiralashga qaraganda tez
amalga oshiriladi.
• Ma’lumotni saqlash uchun
to‘liq zaxiralashga qaraganda
kam joy talab etadi.
• Biroq, o‘sib boruvchi
zaxiralashga qaraganda sekin
zaxiralash amalga oshiriladi
va ma’lumotni tiklash to‘liq
zaxirilashga qaraganda sekin
amalga oshiriladi
Kiberxavfsizlik asoslari (CSF1316)
Misol
• Ortib boruvchi. Faraz qilinsin zaxira
nusxalash jadvaliga ko‘ra to‘liq zaxiralash
YAkshanba kuniga, ortib boruvchi zaxiralash
esa Seshanbadan SHanbagacha qo‘yilgan
bo‘lsin. YAkshanba kuni to‘liq zaxiralash
amalsha oshirilganidan so‘ng, Dushanba
kunidagi o‘zgarishlar Seshanba kuni o‘sib
boruvchi usul asosida amalga oshiriladi.
Ushbu jarayoni SHanbagacha davom
ettiriladi.
Kiberxavfsizlik asoslari (CSF1316)
• Differensial. To‘liq zaxirilash YAkshanba
kuni va differensial nusxalash SHanbagacha
ishlashi jadvalda keltirilgan. YAkshanba
kuni to‘liq zaxira nusxalash amalga
oshirilganidan so‘ng, dushanda kuni
differensial zaxiralash paydo bo‘ladi va
kun o‘tishi bilan amalga oshiriladi. Bu
holat o‘sib boruvchi zaxirilashga o‘xshab
ketadi. Biroq, Seshanbada, zaxira nusxalar
YAkshanba va Dushanbadagi o‘zgarishlar uchun
amalga oshiriladi. Keyin, CHorshanbada
zaxiralash YAkshanba, Dushanba va Seshanba
kunlari uchun amalga oshiriladi.
Ma’lumotlarni zaxiralash vositalari -
AOMEI Backupper
• AOMEI Backupper
vositasi Windows
OT uchun
mo‘ljallangan
bo‘lib, quyidagi
xususiyatlarga ega:
– Fayl, tizim va
disk;
– Qism/ bo‘lim;
– Avtomatik/ jadval
bo‘yicha;
– O‘sib boruvchi/
jadval bo‘yicha.
Kiberxavfsizlik asoslari (CSF1316)
Ma’lumotlarni zaxiralash vositalari -
AOMEI Backupper
Kiberxavfsizlik asoslari (CSF1316)
Windows OTda foydalaniluvchi zaxiralash
vositalari
Genie Backup Manager Home
•To‘liq zaxiralovchi dasturiy ta’minot;
•Xavfsizlik;
•Zarar etkan vaqtda butun tizimni qayta tiklash;
•Qo‘shimcha dasturiy vositasiz zaxira nusxalardan foydalanish;
•Zaxira nusxani ixtiyoriy manzilda saqlash
Norton Ghost
• butun tizim yoki maxsus fayl va katalogni masofadagi FTP
serverga saqlash uchun mo‘ljallangan
BuildGuard Backup
• onlayn zaxiralash echimni taklif etib, zarur bo‘lgan elektron
hujjatlarni saqlaydi
TurboBackup
• Bir qancha manzillarda taqsimlangan hujjatlarni ko‘plab
zaxira nusxalarini yaratish uchun imkoniyatini beradi
Kiberxavfsizlik asoslari (CSF1316)
Ma’lumotni qayta tiklash
Ma’lumotni qayta tiklash qurilmalardan yoki zaxira nusxalardan
ma’lumotni tiklashni maqsad qiladi.
Ushbu jarayon ma’lumot qanday yo‘qolgani, ma’lumotni qayta tiklash
dasturiy vositasi va ma’lumotni tiklash manzilini qayergaligiga
bog‘liq bo‘ladi.
Ma’lumotni saqlash vositalari, USB xotira, qattiq disk, DVD va
hak.lardagi ma’lumotlar qayta tiklanishi mumkin.
Bunda faqat foydalanuvchidan zararlangan saqlovchiga ma’lumoni
yozishi yoki saqlashi taqiqlanadi.
Kiberxavfsizlik asoslari (CSF1316)
Ma’lumotni yo‘qolishiga sabab bo‘luvchi
holatlar
Faylni o‘chirish
• Agar fayl o‘chirilsa, ushbu soha qaytadan yozilgunga qadar saqlagichda mavjud bo‘ladi.
Bu holat OT disk sohasidan qayta foydalanganda yuzaga keladi. Ma’lumot saqlangan
sohadagi kichik xotirada ma’lumotni yozilishi butun ma’lumotni tiklanmasligiga
sababchi bo‘lishi mumkin. Windows OTda NTFS fayl tizimida ma’lumotni o‘chirish
algoritmi mavjud va ma’lumotni tiklash ham shu algoritm asosida amalga oshirilishi
mumkin.
Faylni zararlanishi
• Agar operatsion tizim zararlansa, ma’lumotni diskning razdellar jadvali yordamida
tiklashi mumkin. Agar diskning razdellar jadvali ham zararlangan bo‘lsa, u holda
qayta tiklash vositalaridan foydalanish talab etiladi.
Qattiq diskni fizik zararlanishi
• Qattiq diskka fizik ta’sir bo‘lishi unga faylni zararlanishiga qaraganda katta
yo‘qotishni olib kelishi mumkin. Bu esa ma’lumotni qayta tiklashning maxsus
sathidan foydalanishni talab etadi. Zararlangan fizik diskdan ma’lumotni tiklash
vaqtida, tiklash jarayonining muhiti turli ifloslanishlardan xoli bo‘lishi zarur. Bu
jarayon toza xonada amalga oshiriladi. CHang bo‘lgan sohalardan ma’lumotni qayta
tiklanishi qiyin bo‘ladi. Ushbu holatda ma’lumotni tiklash juda ham qiyin bo‘lib,
zararlanish turiga bog‘liq bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Eslatma!
• Ma’lumot yo‘q bo‘lgan qattiq diskda qayta tiklangan
ma’lumotni yozmaslik zarur.
• Turli vositalar yordamida zaxira nusxalarni amalga
oshirish kerak va ularni turli manzillarda saqlash zarur.
• Ma’lumotni qayta tiklash har doim ham 100% samara
bermaydi.
• Tashqi qurilmani tizimga ulashga ehtiyot bo‘lish zarur. Bu
holda disk zararlangan bo‘lsa, tizim yoki fayllarni
zararlanishiga olib kelishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Windows OTda ma’lumotni qayta tiklash
vositalari - Recovery My Files
Korzinkadan, qattiq diskdan o‘chirilgan fayllarni va
zararli dasturiy vositalar yordamida o‘chirilgan fayl va
ma’lumotlarni tiklash imkoniyatiga ega.
Kiberxavfsizlik asoslari (CSF1316)
Windows OTda ma’lumotni qayta tiklash
vositalari - Recovery My Files
Kiberxavfsizlik asoslari (CSF1316)
Windows OTda ma’lumotni qayta tiklash
vositalari - EASEUS Data Recovery Wizard
Dasturiy vosita iOS, Android, USB xotiralar va qattiq
disklardan kutilmagan xatolik yuz bergan holatlarda
yo‘qolgan ma’lumotni tiklash uchun foydalaniladi.
Kiberxavfsizlik asoslari (CSF1316)
• o‘chirilgan, formatlangan va
foydalanib bo‘lmaydigan
ma’lumotni qaytarish;
• barcha o‘chirilgan fayllar,
rasmlar, hujjatlar, videolar
va hak. qaytarish;
• SHK, laptop, qattiy disq va
hak.lardan ma’lumotni
tiklash;
• O‘chirilgan, yo‘qotilgan va
yashiringan razdellardan
ma’lumotni tiklash;
• mijozlarga texnik yordamchi
vazifasini amalga oshiradi
E’TIBORINGIZ UCHUN
RAXMAT!!!
17 - Ma’ruza: Zararkunanda dasturiy
ta’minotlar
Zararli dasturlar
Zararli dastur - bu kompyuterga, serverga, mijozga yoki kompyuter tarmog‘iga
zarar etkazish uchun ataylab yaratilgan har qanday dastur.
Ular yuklanuvchi kod (.exe), aktiv kontent, skript yoki boshqa ko‘rinishda bo‘lishi
mumkin.
Hujumchi zararli dasturiy vositalardan foydalangan holda tizim xafsizligini
obro‘sizlantirishi, kompyuter amallarini buzishi, maxfiy axborotni
to‘plashi, veb saytdagi kontentlarni modifikatsiyalashi, o‘chirishi yoki
qo‘shishi, foydalanuvchi kompyuteri boshqaruvini qo‘lga kiritishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Zararli dasturlar turlari
Kiberxavfsizlik asoslari (CSF1316)
viruslar
• o‘zini o‘zi ko‘paytiradigan programma bo‘lib, o‘zini boshqa programma
ichiga, kompyuterning yuklanuvchi sektoriga yoki hujjat ichiga
biriktiradi
troyan otlari
• bir qarashda yaxshi va foydali kabi ko‘rinuvchi dasturiy vosita
sifatida ko‘rinsada, yashiringan zararli koddan iborat bo‘ladi
Adware
• marketing maqsadida yoki reklamani namoyish qilish uchun
foydalanuvchini ko‘rish rejimini kuzutib boruvchi dasturiy
ta’minot
Zararli dasturlar turlari
Kiberxavfsizlik asoslari (CSF1316)
Spyware
• foydalanuvchi ma’lumotlarini qo‘lga kirituvchi va uni hujumchiga yuboruvchi dasturiy kod
Rootkits
• ushbu zararli dasturiy vosita operatsion tizim tomonidan aniqlanmasligi uchun ma’lum
harakatlarini yashiradi
Backdoors
• zararli dasturiy kodlar bo‘lib, hujumchiga autentifikatsiyani amalga oshirmasdan aylanib o‘tib
tizimga kirish imkonini beradi, maslan, administrator parolisiz imtiyozga ega bo‘lish
mantiqiy bombalar
• zararli dasturiy vosita bo‘lib, biror mantiqiy shart qanoatlantirilgan vaqtda o‘z harakatini
amalga oshiradi.
Botnet
• Internet tarmog‘idagi obro‘sizlantirilgan kompyuterlar bo‘lib, taqsimlangan hujumlarni amalga
oshirish uchun hujumchi tomonidan foydalaniladi
Ransomware
• mazkur zararli dasturiy ta’minot qurbon kompyuterida mavjud qimmatli fayllarni shifrlaydi
yoki qulflab qo‘yib, to‘lov amalga oshirilishini talab qiladi
Mantiqiy bomba
• O‘zidan ko‘payish : yo‘q
• Sonini oshib borishi: nol
• YUqumliligi: mumkin
Kiberxavfsizlik asoslari (CSF1316)
Foydali yuklama qismi bajarilish uchun harakat qismi hisoblanadi.
Foydali yuklama qismi hohlagan ko‘rinishda bo‘lishi mumkin, lekin zarar
keltiruvchi effekt ma’nosiga ega bo‘ladi.
Trigger, mantiqiy shart bo‘lib foydali yuklama qismini bajarilishini
nazoratga oladi va baholanadi. Triggerning aniq sharti tasavvur bilan
chegaralangan bo‘ladi va sana, foydalanuvchining tizimga kirishi yoki
operatsion tizim versiyasi kabi mahalliy shartlarga asoslanadi.
Mantiqiy bomba
• Mantiqiy bombalar mavjud kodning ichiga kiritilishi
yoki bo‘lmasa avtonom tarzda bo‘lishi mumkin. Oddiy
parazitik (yuqumli) namuna quyida ko‘rsatilgan bo‘lib,
trigger sifatida aniq sana ishlatilganda kompyuterni
buzilishiga olib kelishi mumkin:
legitimate code
if date is Friday the 13th:
crash_computer( )
legitimate code
Kiberxavfsizlik asoslari (CSF1316)
Troya oti
O‘zidan ko‘payish : yo‘q
Sonini oshib borishi: nol
YUqumliligi: Ha
Kiberxavfsizlik asoslari (CSF1316)
Ushbu turdagi zarar keltiruvchi dasturlar Greklar va Troyaliklar o‘rtasidagi urush dasrida ishlatilgan
nayrangga asoslanadi va shu uchun shunaqa nom olgan.
Axborot kommunikatsiya texnologiyalarida troyan oti bu dastur bo‘lib, qandaydir sodda vazifani bajarishga
mo‘ljallangan bo‘ladi.
Biroq qo‘shimcha tarzda zarar keltiruvchi vazifani xufiyona bajaradi.
Klassik namunasi sifatida tizimga kirishda parolni ushlab olish dasturini keltirish mumkin, u «username» i
«password» kabi autentifikatsiya so‘rovlarini qayd etadi va foydalanuvchi tomonidan axborot kiritilishini
kutib turadi.
Backdoors (orqa eshik)
O‘zidan ko‘payish : yo‘q
Sonini oshib borishi: nol
YUqumliligi: mavjud
Kiberxavfsizlik asoslari (CSF1316)
Backdoor (tuynuk) bu oddiy xavfsizlik tekshiruvidan o‘ta oladigan har qanday mexanizmdir.
Dasturchilar ba’zida orqa eshikni (tuynuk) qonuniy asoslarga ko‘ra hosil qilishadi.
• username = read_username ( )
• password = read_password ( )
• if username is “133t h4ck0r”:
• return ALLOW_LOGIN
• if username and password are valid:
• return ALLOW_LOGIN
• else:
• return DENY_LOGIN
Mantiqiy bombalar kabi orqa eshik (tuynuk) dasturlari ham dastur kodida yoki avtonom
dasturlarda bo‘lishi mumkin. Orqa eshik (tuynuk) namunasi quyidagi kodda ko‘rsatilgan bo‘lib, u
tizimga kirishda autentifikatsiya jarayonini aylanib o‘tadi:
Virus
O‘zidan ko‘payish : ha
Sonini oshib borishi: ijobiy
YUqumliligi: ha
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter virusi – zararli dasturlarning bir turi bo‘lib, bajarilgan vaqtida boshqa
kompyuter dasturlarini o‘zgartirish va o‘z kodini kiritish orqali o‘zini ko‘paytiradi.
Ushbu jarayon muvaffaqiyatli amalga oshilgan taqdirda, ta’sirlangan soha kompyuter virusi
bilan “zararlangan” deb aytiladi.
Kompyuter viruslarining aksariyati Microsoft Windows OTda ishlovchi tizimlarda qaratilgan
bo‘lib, yangi xostlarni zararlashda ko‘plab mexanizmlardan va ko‘p hollarda antivirus
vositalarini aldab o‘tish uchun anti-aniqlash/ yashirin strategiyalardan foydalanadi.
Kompyuter viruslarining turlari
Resurslardan foydalanish usuliga ko‘ra:
• Virus-parazitlar (yoki shunchaki virus) va virus-
chervlar (yoki shunchaki chervlar) ga ajratish mumkin.
• Resurslardan foydalanib ko‘payishning birinchisi
bu – boshqa dasturga mansub bo‘lishdir.
• Ikkinchisi odatda faqat hisoblash tizimi
resursidan (tezkor va doimiy xotira, dasturiy
bo‘lmagan fayllar) foydalanib, tarmoq orqali o‘z
nusxalarini tarqatadi, axborot eltuvchilari, xotira
buferi va begona arxivlar yordamida barchaga
taqsimlanadi. CHervlar avtonom bo‘lib, ular boshqa
dasturlarga biriktirilmaydi.
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter viruslarining turlari
Zararlangan ob’ektlar turiga ko‘ra:
• Ushbu tasnifga ko‘ra viruslarni dasturiy, yuklanuvchi, makroviruslar va ko‘p
platformali viruslarga ajratish mumkin.
• Dasturiy viruslar boshqa dasturlarning fayllarini zararlaydi. Masalan,
Win9X.CIH virusi Windows 95/98/ME OT dasturlari uchun parazit hisoblanadi.
• YUklanuvchi viruslar yuklangan qattiq diskdagi, disketa yoki fleshka
sektorlarida joylashgan kichik programmalarni zararlaydi yoki uni
almashtiradi. Bunga misol sifatida BIOS sathida ishlovchi Michelangelo
virusini keltirish mumkin.
• Makroviruslar uchun sharoit yaratuvchi vosita sifatida ma’lum dasturlash tilida
yozilgan va turli ofis ilovalari – MS Word hujjati, MS Excel elektron
jadvali, Corel Draw tasviri, fayllarida joylashgan “makroslar” yoki
“skriptlar” xizmat qiladi. Bunga misol qilib, MS Word hujjatlarini
zararlovchi Concept virusi, Excel jadvallarini zararlovchi Laroux viruslarini
keltirish mumkin.
• Ko‘p platformali viruslar bir vaqtning o‘zida turli xildagi ob’ektlarni
zararlaydi. Masalan, OneHalf.3544 virusi ham MS-DOS dasturlari ham qattiq
diskning yuklanuvchi sektorlarini zararlasa, Anarchy oilasiga tegishli viruslar
MS-DOS va Windows dasturlaridan tashqari, MS Word hujjatlarini ham
zararlay oladi.
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter viruslarining turlari
Faollashish prinsipiga ko‘ra
• Viruslarni ushbu xususiyatiga ko‘ra rezident va norezident turlarga ajratish
tavsiya etiladi.
• Rezident viruslar doimo kompyuter xotirasida aktiv holatda joylashadi,
jabrlanuvchiga boshqa dastur yoki operatsion tizim orqali murojaatlarni kuzatib
boradi va shundan so‘ng unga yuqadi. Masalan, bajariluvchi dasturlar yuklanish
vaqtida, ishni tugatish vaqtida yoki ularning fayllarini ko‘chirish vaqtida
zararlanadi. Bularga misol qilib, OneHalf.3544 (MS-DOS muhitida) va
Win9X.CIH (Windows 95/98/ME muhitida) viruslarini mumkin.
• Norezident viruslar zararlangan tashib yuruvchilarni ishga tushirish vaqtida
ishga tushadi va ularning faoliyat vaqti cheklangan bo‘ladi. Masalan, Vienna.648
virusi zararlangan dastur ishga tushgandan so‘ng darhol ishga tushadi. Biroq,
ushbu vaqtda diskdan ko‘plab qurbonlarni topishga va ularni biriktirishga
ulguradi. SHundan so‘ng, boshqaruvni o‘zining saqlovchisiga uzatadi va o‘zi keyingi
yuklanishga qadar “uxlaydi”.
• Ko‘p vazifali operatsion tizimlarda “yarim rezidentli” viruslar mavjud bo‘lib,
ular xuddi norezident viruslar kabi yuklanadi. Alohida oqimli yuklangan
dasturlar kabi tashkil qilib, ushbu dasturlarning butun ishlash davomida o‘zini
rezident kabi tutadi va o‘z ishini saqlovchi-dasturi bilan birgalikda tugatadi.
Masalan, Win32.Funlove.4070 bunga misol bo‘la oladi.
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter viruslarining turlari
Dastur kodini tashkil qilish yondashuviga ko‘ra
• Mazkur taksanomik belgilar viruslarni shifrlangan, shifrlanmagan va
polimorflarga ajratishga imkon beradi.
• SHifrlanmagan viruslar o‘zini oddiy dasturlar kabi ko‘rsatadi va bunda dastur
kodida hech qanday qo‘shimcha ishlashlar mavjud bo‘lmaydi. Bunday viruslarni
(masalan, Vienna.648) dasturlarda osonlik bilan aniqlash hamda dizassamberlar
va dekompilyatorlar orqali tadqiq qilish va o‘chirib tashlash mumkin.
• SHifrlangan viruslar kodida bir qancha o‘zgarishlar mavjud bo‘ladi. SHifrlangan
virus hisoblash qurilmasining xotirasida dastlab deshifrlanadi va shundan
so‘ng zararlashni boshlaydi. SHuning uchun mazkur viruslarni aniqlash, o‘rganish
va o‘chirish murakkab bo‘lib, bu murakkablik kamida undagi qaytarish amali –
kodni deshifrlash bilan xarakterlanadi. Odatda virusni shifrlash koddagi
maxsus antidebaggerlash usulidan foydalanish orqali amalga oshiriladi. Bunday
viruslar sirasiga Sayha.Diehard virusini kiritish mumkin.
• Polimorf viruslar turli ko‘rinishdagi shifrlangan viruslar bo‘lib, o‘zining
ikkilik shaklini nusxadan-nusxaga o‘zgartirib boradi. Mazkur sinfdagi
viruslarga OneHalf oilasi viruslarini kiritish mumkin. Xususiy hollarda
polimorflik metamorfik viruslar bo‘lib, o‘zining ikkilik tanasini
shifrlamasdan, faqat ularni o‘zgartirish orqali o‘z nusxalarini yaratadi. Bunday
viruslarga misol qilib, Win32.Zmyst virusini keltirish mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter viruslarining turlari
Virus-chervlarning tasnifi
• Virus-chervlarni klassifikatsiyalashda ularni tarqalish yo‘llariga
asoslaniladi. Masalan, pochta chervlari (masalan, E-
Worm.Win32.Aliz) elektron pochta orqali tarqalsa, tarmoq chervlari
(odatda ular Internet chervlari deb ham yuritiladi) tarmoq
protokollari yordamida tarqaladi va ma’lumot paketlari ichida
yashiringan holda uzatiladi (masalan, Net-Worm.Win32.Lovesan).
“Telefon” yoki “mobil” chervlar (masalan, Cabir) esa turli
“tarmoq”lar orqali tarqaladi. Masalan, simsiz axborot uzatish
tarmog‘i hisoblangan BlueTooth orqali. Bundan tashqari 1980
yillarda tarqalgan fayl chervlari deb nomlangan turi (masalan,
Mkworm.715) esa, o‘zi mustaqil ravishda tarqalmaydi. Balki, o‘zini
turli tashib yuruvchilar va kataloglarda, hattoki, ZIP, RAR
fayllarda, nusxalaydi hamda shu tartibda tarqaladi.
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter viruslarining turlari
Kompyuter viruslarining boshqa omillar
bo‘yicha tasnifi
• Kompyuter viruslarining yuqorida
keltirilgan omillardan tashqari
quyidagi omillar asosida ham tasniflash
mumkin:
• zararlaydigan operatsion tizimi va platformasiga
ko‘ra (DOS, Windows, Unix, Linux, Android);
• kompyuter virusi yozilgan dasturlash tili bo‘yicha
(assembler, yuqori dasturlash tili, senariy tili va
h.);
• qo‘shimcha zararli funksiyalariga ko‘ra (bekdorlar,
keyloggerlar, shpionlar, botnetlar va h.).
Kiberxavfsizlik asoslari (CSF1316)
Virus tarixi
• Ilk bora 1983-yil 11-noyabr kuni Janubiy
Kaliforniya universiteti talabasi,
amerikalik Fred Koen 5 daqiqadan 1
soatgacha bo‘lgan tezlikda ko‘paya oladigan
kompyuter virusi taqdimotini o‘tkazgan.
• SHundan so‘ng, oradan bir yil o‘tib, Koen
kompyuter tarmoqlari bo‘ylab
viruslarning tarqalish xavfi va antivirus
dasturlarini yaratish imkoniyatlari haqida
kitob yozadi.
• Birinchi yaratilgan virus (1986 yilda
yaratilgan) “Brain” deb nomlangan bo‘lib, u
faqat kompyuter disketlari orqali
tarqalgan. Birinchi antivirus dasturi esa
1988-yilda ishlab chiqilgan.
Kiberxavfsizlik asoslari (CSF1316)
Fred Koen
Barcha davrlarning eng kuchli 4 virusi:
ILOVEYOU
• U butun dunyo bo‘ylab kompyuter tizimlariga
vayronagarchiliklarni keltirib chiqardi va
taxminan 10 milliard dollar zarar keltirdi.
• Dunyo kompyuterlarining 10 foizi zararlangan
deb hisoblangan.
• Hukumatlar va yirik korporatsiyalar infeksiyani
oldini olish uchun pochta tizimlarini oflayn
rejimga o‘tkazganlar.
• Virus ikki filipinlik dasturchi Reonel
Ramones va Onel de Guzman tomonidan
yaratilgan.
• Bu virus sotsial injineriyadan foydalanib,
odamlarni “qo‘shimcha havolani” bosishga
majbur qildi. Bu holda sevgini tan olish
so‘rovi bo‘lgan.
• Ilova aslida TXT fayl sifatida
shakllanadigan skript bo‘lgan. CHunki o‘sha paytda
Windows ushbu faylning haqiqiy kengaytmasini
yashirgan edi.
Kiberxavfsizlik asoslari (CSF1316)
Barcha davrlarning eng kuchli 4 virusi: Code
Red
• Code Red birinchi marta 2001 yilda paydo
bo‘lgan va eEye Digital Security tashkilotining
ikki xodimi tomonidan topilgan.
• Bu kashfiyot paytida juftliklar Code Red
Mountain Dew nomli ichimlikni ichganligi
sababli Code Red deb nomlangan.
• Tizimda bufer toshib ketish muammosidan
foydalanib, Microsoft IIS veb-serveri
o‘rnatilgan kompyuterlarni nishon qilib olgan.
U qattiq xotirada juda oz iz qoldiradi. CHunki u
to‘liq xotirada ishlay oladi, hajmi 3569 baytga
teng.
• Eng esda qolarli alomat bu ta’sirlangan veb-
sahifalarda “Xitoyliklar tomonidan hujum
qilindi” deb qoldirgan xabar bo‘lib, u o‘zi ham
memga aylangan. Keyinchalik vaksina chiqarildi
va keyinchalik 2 milliard dollargacha zarar
keltirgani hisoblangan. Jami 1-2 million
serverlar ta’sir ko‘rsatdi. SHu davrda 6
million IIS serverlar mavjud bo‘lgan.
Kiberxavfsizlik asoslari (CSF1316)
Barcha davrlarning eng kuchli 4 virusi:
Melissa
• Florida shtatidagi ekzotik raqqos nomi bilan 1999 yilda
Devid L. Smit tomonidan yaratilgan.
• Bu virus bilan zararlangan Word hujjati, alt.sex nomi bilan
markazlashmagan tarmoq guruhiga joylashtirilgan va
pornografik saytlar uchun parollar ro‘yxati deb da’vo
qilingan. Bu narsa odamlarni qiziqtirdi va yuklab olib ochganda
ishga tushadi.
• Virus o‘zini elektron pochta manzillar kitobidagi 50 ta odamga
yuboradi va bu elektron pochta trafikining ko‘payishiga olib
keladi.
• U FQB bilan Anna Kournikova virusini yaratuvchisi sifatida
tanilgan boshqa virus yaratuvchilarini ushlashda hamkorlik
qildi. Hamkorligi uchun u bor-yo‘g‘i 20 oy xizmat qildi va
belgilangan 10 yillik qamoq jazosi uchun 5000 dollar
miqdorida jarima to‘ladi. Ma’lum qilinishicha, virus 80
million dollar zarar etkazgan.
Kiberxavfsizlik asoslari (CSF1316)
Barcha davrlarning eng kuchli 4 virusi: Sasser
• Windows OT qurti birinchi marta 2004
yilda kashf etilgan bo‘lib, uni Netsky
qurti yaratgan talaba Sven Jaschan yaratgan.
• Ushbu chuvalchang Local Security Authority
Subsystem Service (LSASS) tizimida bufer
to‘lib toshishi mumkin bo‘lgan zaiflikdan
foydalandi. Bu esa kompyuterning
buzilishiga sabab bo‘luvchi lokal qayd yozuvi
xavfsizlik siyosatini nazoratlash imkonini
bergan.
• Bu virus aviakompaniyalar, axborot
agentliklari, jamoat transporti,
kasalxonalar va boshqa ko‘plab muhim
infratuzilmalarga ta’sir qilib,
milliondan ortiq infeksiyalanish holatini
qayd qildi.
• Umuman, zarar 18 milliard dollarga
tushdi. Jaschen balog‘at yoshiga etmaganlikda
ayblanib, 21 oy shartli qamoq jazosiga
hukm qilindi.
Kiberxavfsizlik asoslari (CSF1316)
Eng qimmat virus - Mydoom
• W32.MyDoom@mm, Novarg, Mimail.R va Shimgapi sifatida ham
tanilgan Mydoom, Microsoft Windows OTga ta’sir qiluvchi kompyuter
qurti.
• Bu birinchi marta 2004 yil 26 yanvarda aniqlangan.
• Bu eng tez tarqaladigan elektron pochta qurti bo‘ldi (2004 yil yanvar
oyiga), bu Sobig chuvalchangi va ILOVEYOU tomonidan o‘rnatilgan avvalgi
rekordlardan oshib ketdi, bu 2019 yilda kuzatilishi kerak bo‘lgan rekord.
• Mydoom nomini Kreyg SHmugar, McAfee kompyuter xavfsizligi
firmasining xodimi va ushbu qurtni ilk kashfiyotchilaridan biri
qo‘ygan.
• SHmugar ismni dastur kodining qatoridagi “Mydoom” matniga e’tibor
berganidan keyin tanladi. U shunday deb ta’kidladi: “Bu o‘sha vaqtda
juda ham katta yo‘qotilishni anglatgan”.
• Mydoom bugungi kunga qadar 38 milliard dollardan ortiq zarar
keltirgan eng xavfli kompyuter virusidir.
Kiberxavfsizlik asoslari (CSF1316)
Kompyuter viruslari qanday tarqaladi
Dastlabki davrlarda, Internet tarmog‘i keng tarqalmagan
vaqtlarda, viruslar ko‘pincha kompyuterdan kompyuterga
yuqtirilgan disketalar orqali tarqaladi. Masalan, SCA
virusi Amiga foydalanuvchilari orasida noqonuniy dasturiy
ta’minotga ega disklar orыali tarqalgan. Bu zararsiz virus
hisoblansada, bir vaqtning o‘zida Amiga
foydalanuvchilarining 40 foiziga tarqalgan.
Bugungi kunda viruslar Internet orqali tarqalmoqda.
Kompyuter viruslari odatda uchta usuldan biri orqali tarqaladi:
olib yuriluvchi ma’lumot saqlovchilar, Internetdan yuklab
olish va elektron pochta orqali.
Kiberxavfsizlik asoslari (CSF1316)
Viruslarga oid statistikalar
[https://www.safetydetectives.com/blog/malware-statistics/]
Amerikaliklar kiberjinoatlardan juda ham
qo‘rqadi
• 70% amerikaliklar kompyuter va onlayn tarmoq orqali shaxsiy
ma’lumotlarini o‘g‘irlanishidan xavotirda. Boshqa holat,
terrorizmdan esa 24% aholi va 17% i o‘ldirilishlaridan
qo‘rqadi.
MS Office – birlamchi nishon
• Eng keng tarqalgan viruslar asosan .exe kengaytmali fayllar
ko‘rinishida bo‘lsa, ularni bosmaslik va pochta orqali qabul
qilinganlarini yuklamaslikni hamma yaxshi biladi. Biroq,
foydalanuvchilar oddiy .doc faylni yuklashdan
shubhalanmaydilar. Hozirda zararli dasturlarning 38% Word
hujjatlari sifatida yashiringan.
Kiberxavfsizlik asoslari (CSF1316)
Viruslarga oid statistikalar
[https://www.safetydetectives.com/blog/malware-statistics/]
Ransomware hanuzgacha mavjud
• Ransomware turidagi zararli dasturlarni hozirgi kunda
tarqalishi kamaygan degan gaplar noto‘g‘ri. 2019 yilda
tashkilotlar va foydalanuvchilar tomonidan 11.5 milliard
dollar turli holatlar uchun to‘lanishi kutilmoqda. Ushbu
hujumlarning asosiy qurbonlari mahalliy tashkilotlar bo‘lib,
ularga Jackson County, GA, Orange County, NC, va Baltimore,
MD larni keltirish mumkin.
Zararli dasturlarning zarar hajmi ortmoqda
• 2015 yilda zararli dasturlarning qiymati allaqachon
ajablantirgan 500 milliard dollarni tashkil qilgan. Qisqa
vaqt ichida kiberjinoatlarning iqtisodiy zarari 4 baravarga
oshib, 2 trilion dollarga etdi. Ushbu tendensiya bo‘yicha 2021
yilda kelib ularning qiymati 6 trilion dollarga etadi.
Kiberxavfsizlik asoslari (CSF1316)
Viruslarga oid statistikalar
[https://www.safetydetectives.com/blog/malware-statistics/]
Xakerlarning qiziqishi mobil telefonlarga nisbatan ortdi
• Mobil telefonlarning keng tarqalishi natijasida, ular hozirgi kunga kelib
xakerlarning asosiy nishoniga aylandi. Mobil qurilmalar uchun zararli dasturlar
asosan Android ilovalarining eski versiyalariga qaratilgan va ular hozirgi kunda
Android va Appstoreda keng tarqalgan.
• Har kuni 24000 yaqin zararli dasturlar bloklanadi.
Aksariyat zararli dasturiy vositalar pochta orqali kirib
kelmoqda
• Elektron pochta hozirgi kunda zararli dasturlarning keng tarqalishiga xizmat
qilayotgan vosita bo‘lib, 50000 xavfsizlik insidentlarining 92% pochta orqali
kirib keladi. Undan keyingi o‘rinda brauzerga asoslangan tarqalish usuli (masalan,
ko‘chirish) o‘rin olgan.
Kiberjinoyatchilikning asosiy motivatsiyasi – pul
• Hujumchilarning 76% amalga oshirilayotgan kompyuter hujumidan moddiy foyda
olishni maqsad qiladi.
Kiberxavfsizlik asoslari (CSF1316)
Zararli dasturiy vositalarni aniqlash
Signaturaga asoslangan
O‘zgarishni aniqlashga asoslangan
Anomaliyaga asoslangan
Kiberxavfsizlik asoslari (CSF1316)
Signaturaga asoslangan aniqlash
Signatura – bu fayldan topilgan bitlar qatori bo‘lib, maxsus belgilarni o‘z ichiga oladi. Bu o‘rinda ularning xesh
qiymatlari ham signatura sifatida xizmat qilishi mumkin.
Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft Word hujjatini zararlashga qaratilgan virus) uchun
83EB 0274 EBOE 740A 81EB 0301 0000 signaturasi foydalanilgan.
Agar qidiriladigan fayllarda bitlar tasodifiy bo‘lsa, ushbu holatning bo‘lish ehtimoli 1/2112 ga teng bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Signaturaga asoslangan aniqlash
Afzalligi
• Virus aniq bo‘lganda va umumiy bo‘lgan signaturalar
ajratilgan holatda juda yuqori samaradorlikka ega;
• Foydalanuvchi va administratorga minimal yuklamani
yuklaydi va ulardan faqat signaturalarni saqlab borish
va ularni uzluksiz yangilash vazifasini qo‘yadi.
Kamchiligi
• Signaturalar saqlangan faylning hajmi katta bo‘lib, 10
yoki 100 minglab signaturaga ega fayl yordamida
skanerlash juda ko‘p vaqt oladi;
• Biror aniqlangan virusni kichik o‘zgartirish orqali
ushbu usulni osonlik bilan aldab o‘tish mumkin.
Kiberxavfsizlik asoslari (CSF1316)
O‘zgarishni aniqlashga asoslan
Kiberxavfsizlik asoslari (CSF1316)
Zararli dasturlar biror joyda joylashishi sababli, agar
tizimdagi biror joyga o‘zgarishni aniqlansa, u holda u
zararlanishni ko‘rsatishi mumkin.
• YA’ni, agar o‘zgarishga uchragan faylni aniqlansa, u virus orqali zararlangan
bo‘lishi mumkin. Bu usulni o‘zgarishni aniqlashga asoslangan usul
sifatida atash mumkin.
O‘zgarishni qanday aniqlash mumkin?
• Xesh funksiyalar yaxshi echim bo‘ladi.
• Faraz qilaylik tizimdagi barcha fayllarni xeshlab, xesh qiymatlari
xafsiz manzilga saqlangan bo‘lsin. U holda vaqti-vaqti bilan ushbu
faylning xesh qiymatlari qaytadan xeshlanadi va dastlabki
holatdagilari bilan taqqoslanadi. Agar faylning bir yoki bir nechta
bitlari o‘zgarishga uchragan bo‘lsa, u holda xesh qiymatlar bir biriga
mos kelmaydi va natijada uni virus tomonidan zararlangan deb
qarash mumkin.
O‘zgarishni aniqlashga asoslan
Kiberxavfsizlik asoslari (CSF1316)
Afzalligi
• Agar fayl zararlangan bo‘lsa, uni aniqlash to‘liq mumkin
• Oldin nomalum bo‘lgan zararli dasturni aniqlash mumkin
(o‘zgarish bu – ma’lum yoki nomalum zararli dastur orqali
bo‘lgan o‘zgarish)
Kamchiligi
• Tizimdagi fayllar odatda tez-tez o‘zgarib turadi va buning
natijasida yolg‘ondan zararlangan deb topilgan holatlar
soni ortadi
• Agar virus tizimdagi tez-tez o‘zgaruvchi fayl ichiga
joylashtirilgan bo‘lsa, ushbu usulni osonlik bilan
aylanib o‘tish mumkin.
Anomaliyaga asoslangan
Anomaliyaga asoslangan usul noodatiy yoki virusga o‘xshash yoki potensial zararli
harakatlari yoki xususiyatlarni topishni maqsad qiladi.
• Ushbu idea IDS tizimlarida ham foydalaniladi.
Ushbu usulning afzalligi:
• Oldin nomalum bo‘lgan zararli dasturlarni aniqlash imkonini beradi
Ushbu usulning fundamental muammosi:
• Qaysi holatni normal va qaysi holatni normal bo‘lmagan deb topish va ushbu ikki holat orasidagi farqni aniqlash
hisoblanadi.
• Normal holatning o‘zgarishi va tizim bu holatga moslashishi hisoblanadi.
Kiberxavfsizlik asoslari (CSF1316)
Antivirus dasturiy vositalari
Antivirus kompyuter uchun zararli dasturlarni skanerlash, himoya qilish,
karantin holatiga tushurish va hak. amallarni bajaradi.
Antivirus dasturiy vositalarini CD-disklardan va Internet tarmog‘idan
foydalangan holda o‘rnatish mumkin.
Antivirus dasturiy vositalari bir biridan ko‘plab o‘ziga xos xususiyatlari bilan
ajralib turadi.
• Viruslarni doimiy aniqlash uchun antivirus dasturiy vositalari eng yangi
va yangilangan ma’lumotlarni o‘z ichiga olgan namunaviy fayllarga muhtoj.
• Biroq, antivirus ishlab chiqaruvchilar yangi virus uchun namunaviy fayllar
yaratguncha virus ishlab chiqaruvchilar tomonidan katta hajmdagi yangi
viruslar yaratiladi.
• Bu esa, yangi virus uchun vaksinani tayyorlash etarlicha ko‘p vaqt olishi
mumkin.
• Bundan tashqari antivirus dasturi rootkit tipidagi zararli dasturlarni
aniqlashda foydasi tegmasligi mumkin.
Biroq, foydalanuvchilar to‘liq antivirus dasturiy vositalarining
imkoniyatilarigi ishonib qolmasliklari kerak.
Kiberxavfsizlik asoslari (CSF1316)
Antivirus dasturiy vositalarini sifatini
baholash
• ishonchlik va foydalanishdagi qulaylik – antivirus dasturiy vositasini
"qotib" qolishi va foydalanish uchun turli tayyorganlikni talab etmasligi;
• barcha keng tarqalgan viruslarni sifatli aniqlash, hujjat fayllari/
jadvallari (MS Word, Excel), paketlangan, arxivlangan fayllarni skanerlash
va zararlangan ob’ektlarni davolash qobilyati;
Kiberxavfsizlik asoslari (CSF1316)
• barcha mashhur platformalar uchun
mavjudligi (DOS, Windows NT,
Novell NetWare, OS/2, Alpha, Linux
va boshq), talab bo‘yicha va tezkor
skanerlash rejimlarining
mavjudligi;
• ishlash tezligi va boshqar
xususiyatlari.
Antiviruslarga oid statistika
https://www.pcmag.com/roundup/256703/the-best-antivirus-protection
Kiberxavfsizlik asoslari (CSF1316)
Antivirusning o‘zi etarli emas!!!
• faqat litsenziyali dasturiy ta’minotdan foydalanish;
• kompyuterni zamonaviy antivirus dasturiy vositasi
bilan ta’minlash va uni doimiy yangilab borish;
• boshqa komyuterda yozib olingan ma’lumotlarni o‘qishdan
oldin har bir saqlagichni antivirus tekshiruvidan
o‘tkazish;
• arxivlangan fayllarni ajratgandan so‘ng skanerlashni
amalga oshirish;
• kompyuter disklarini takroriy antivirus dasturlari
tekshiruvidan o‘tkazish;
• kompyuter tarmoqlaridan olingan barcha bajariladigan
fayllarni kirish nazorati uchun antivirus dasturidan
foydalanish.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
18 - Ma’ruza: Tizimlarning umumiy
arxitekturalari
Tizim nima?
Tizim – bu yaxlit «butun»ni
tashkil etuvchi bog‘liq yoki o‘zaro
bog‘langan tashkil etuvchilar
guruhi.
Masalan, kompyuter tizimi, LMS
tizimi va hak.
Kiberxavfsizlik asoslari (CSF1316)
Tizim arxitekturasi
Tizim arxitekturasi yoki tizimlarning arxitekturasi – bu
tizimning tuzilishi, o‘ziga xos xususiyatlari va boshqa
qarashlarni belgilaydigan konseptual model.
Tizimlar arxitekturasi - bu murakkab tizimlarni tavsiflash
va loyihalashda konseptual va amaliy qiyinchiliklarga javobdir.
Arxitektura ta’rifi - bu tizimning tuzilishi va hatti-
harakatlari to‘g‘risida fikr yuritishni qo‘llab quvvatlaydigan
tarzda tashkil qilingan tizimning rasmiy tavsifi.
Tizim arxitekturasi butun tizimni amalga oshirishda
birgalikda ishlaydigan tizim tarkibiy qismlaridan va ishlab
chiqilgan qismtizimlardan iborat bo‘lishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Tizim arxitekturasini aniqlash
• tizimning fundamental tashkil etilishi, uning tarkibiy qismlari,
ularning bir-biriga va muhitga bo‘lgan munosabati va uning dizayni
va evolyusiyasini boshqaruvchi tamoillar asosida;
• tizimning tavsifi, shu jumladan apparat va dasturiy
komponentlarning funksional imkoniyatlarining xaritasi,
dasturiy ta’minot arxitekturasining apparat arxitektura
xaritasi va insonning ushbu komponentlar bilan o‘zaro aloqasi
asosida;
• funksional arxitektura talablari va bazaviy talablarni qondirish
uchun mo‘ljallangan istemolchi mahsuloti yoki hayotiy sikl uchun
dizayn echimini ta’minlaydigan fizik elementlarning ajratilgan
joylashuvi asosida;
• tizimning rasmiy tavsifi yoki uning amalga oshirilishini
boshqarish uchun komponentlar darajasida tizimning batafsil
rejasi asosida;
• komponentlarning tuzulishi, ularning o‘zaro bog‘liqligi va vaqt
o‘tishi bilan ularning dizayni va evolyusiyasini boshqaruvchi
prinsiplar va ko‘rsatmalari asosida.
Kiberxavfsizlik asoslari (CSF1316)
Tizim arxitekturasining turlari
• qurilma arxitekturasi;
• dasturiy ta’minot arxitekturasi;
• korxona arxitekturasi;
• hamkorlik tizimlari arxitekturasi (Internet, aqlli
transport tizimlari va havo hujumidan mudofaa
tizimlari kabi);
• ishlab chiqarish tizimlari arxitekturasi;
• strategik tizimlar arxitekturasi.
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Haqiqat ob’ektlari tizim sifatida modellashtirilgan (ya’ni,
funksiyani bajaradigan va uning perimetri kirish, chiqish va ichki
holat bilan belgilangan quti). Masalan, mobil telefon - bu ovozni
va tugmalar orqali kiritish hamda ovozni va displey orqali
chiqarish tizimi. Bundan tashqari, u yoqilgan va o‘chirilgan bo‘lishi
mumkin. Umuman olganda, telefon qo‘ng‘iroqlarini amalga oshirishga
imkoniyat beradi.
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizim o‘zidan kichik bo‘lgan tizimlarga qismtizim
sifatida bo‘linishi mumkin. Masalan, mobil telefon
aslida ekran, klaviatura, korpus, mikrafon, karnay va
mikrosxemadan iborat. Ammo, telefon bu barcha
elementlarning birlashuvidir va ushbu elementlar to‘plamidan
to‘liq tushinib bo‘lmaydi.
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizim boshqa tizimlar, ya’ni, uning muhiti bilan o‘zaro
bog‘langan bo‘lishi mumkin. Masalan, mobil telefon
foydalanuvchi, relef (signalni uzatish uchun), reperator
(signal bizilganda), er (yiqilganda) va boshqalar bilan
bog‘langan. Ushbu tizimlarning barchasi uchning atrof-muhitini
tashkil qiladi va ishlab chiqishda hisobga olinadi.
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizim butun hayotiy sikli davomida ko‘rib chiqilishi
kerak. Masalan, mobil telefon loyihalashtiriladi,
prototiplanadi, sinovdan o‘tkaziladi, tasdiqlanadi, ishlab
chiqariladi, tarqatiladi, sotiladi, foydalaniladi,
ta’mirlanadi va nihoyat qayta ishlanadi. Ushbu bosqichlarning
barcha muhimdir (va nafaqat foydalanish vaqtida emas).
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizim boshqasiga interfeys orqali ulanishi mumkin.
Bu esa ulanish xususiyatlarini modellashtiradi.
Masalan, qo‘ng‘iroq qilganda qulog‘imiz telefon bilan
bevosita aloqada bo‘ladi va shuning uchun ikki tizim
(quloq va telefon) o‘rtasida ulanish mavjud. Biroq, bu
erdagi yashirish interfeys – bu havo. Havoning
xususiyatlari quloq va telefon o‘rtasidagi aloqaga ta’sir
qilishi mumkin (masalan, shovqin ko‘p bo‘lgan holda).
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizimni turli abstraksiya darajalariga ko‘rib chiqish
mumkin va bu faqat tegishli xususiyatlar va xatti-
harakatlarni hisobga olishga imkon beradi. Masalan, mobil
telefon qurilmasini qo‘ng‘iroq qiluvchi (va boshqa zamonaviy
funksiyalar) qurilma, bir qancha material va elektronik
komponentlarning birgalikdagi tuzilish yoki katta hajmdagi
atomlarning to‘plami deb hisoblaysizmi? Ushbu
ko‘rinishlarning barchasi haqiqat. Biroq, ular har xil
abstraksiya darajasida va ularning mosligi kontekstga bog‘liq
bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizimni bir qancha qatlamlar bo‘yicha qarab chiqish mumkin
(odatda uchta: ma’nosi, funksiyalari va komponentasi). Masalan,
telefon – bu o‘z muhiti uchun bir nechta vazifalarni bajarishga
mo‘ljallangan ob’ekt ma’nosini berib, qo‘ng‘iroqlarni amalga
oshirish, moda ob’ekti bo‘lish, shaxsiy raqamli yordamchi bo‘lishi va
boshqalar. Biroq, ushbu topshiriqlarni amalga oshirish uchun ko‘plab
funksiyalar to‘plamiga ega (ekranga ko‘rsatish, signalni uzatish,
quvvatlash, foydalanuvchi tomonidan kiritilganlarni qidirish,
zarur bo‘lgan ovoz chiqarish va hak.). Va nihoyat, ushbu funksiyalarning
barchasi ushbu funksiyalarni bajarish uchun tashkil qilingan
jismoniy komponentlar orqali amalga oshiriladi.
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizim berilgan semantika bilan o‘zaro bog‘liq bo‘lgan
modellar orqali tasvirlanishi mumkin (xususiyatlar,
tuzilish, holatlar, ma’lumotlar va hak.). Masalan,
xususiyatlar nuqtai nazaridan telefon bir metr
balandlikdan tushib ketishga chidamli bo‘lgan qurilma.
Ammo, telefon ham holatini o‘zgartiradi: telefon
o‘chirilgan va yoqish tugmasi bosilganda yoqiladi.
Kiberxavfsizlik asoslari (CSF1316)
Tizimlar arxitekturasi asosi
• Tizimga aloqador turli ishtirkchilarga mos
keladigan nuqtai nazarlar orqali tizimni
tasvirlash mumkin. Masalan, reklama qiluvchilar,
dizaynerlar, muhandislar va hak. Bularning barchasi
telefonga nisbatan turlicha tasvirlaydi.
Kiberxavfsizlik asoslari (CSF1316)
Virtual mashina
• Virtual mashina – bu oddiy kompyuter kabi ishlaydigan
kompyuter fayli (odatda obraz deb aytiladi).
• Boshqacha aytganda kompyuterda yana bir kompyuter yaratiladi.
Boshqa har qanday dastur kabi, u alohida oynada ishlaydi.
• SHunday qilib, foydalanuvchilar virtual mashinada
kompyuterlarning asosiy operatsion tizimidagi kabi bir xil
ish sharoitiga ega bo‘ladi.
• Virutal mashina tizimning qolgan qismidan ajratilgan, ya’ni
uning ichidagi dastur asosiy kompyuter tizimiga ta’sir
qilishi yoki uni boshqarishi mumkin emas.
• Bu boshqa operatsion tizimlarni, shuningdek beta versiyalarni
sinovdan o‘tkazish, viruslarni tahlil qilish, operatsion
tizimlarning zaxira nusxalarini yaratish, asosiy operatsion
tizimdan farq qiluvchi operatsion tizim va uning dasturiy
vositalarini ishlatish uchun ideal muhit hisoblanadi.
Kiberxavfsizlik asoslari (CSF1316)
Virtual mashina
• Bir vaqtning o‘zida bir nechta virtual mashinalar yagona
fizik kompyuterda ishlashi mumkin.
• Serverlar uchun bir nechta operatsion tizim ularni
boshqarish uchun foydalaniladigan maxsus dasturiy
ta’minot (gipervizor deb ataladi) bilan ishlaydi.
• SHaxsiy kompyuterlarda esa odatda bir operatsion
tizimdan boshqa bir operatsion tizimni yuklash oddiy
dasturiy ta’minot kabi amalga oshiriladi.
• Har bir virtual mashinada CPU, xotira, qattiq disklar,
tarmoq interfeysi va boshqa qurilmalarni o‘z ichiga olgan
o‘zining virtual qurilmalari mavjud.
Kiberxavfsizlik asoslari (CSF1316)
Virtual mashina
• Virtuallashtirishga qaratilgan dasturiy vositalarga
Parallels Workstation, Parallels Desktop for Mac, VirtualBox,
Virtual Iron, Oracle VM, Virtual PC, Virtual Server, Hyper-V,
VMware Workstation, VMware Server, VMware ESXi,
QEMU, Adeos va hak.larni misol keltirish mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Narsalar Interneti (Internet of Things, IoT)
• IoT – bu o‘zaro bog‘liq bo‘lgan unikal identifikatorga ega
hisoblash qurilmalari, mexanik va raqamli mashinalar,
ob’ektlar, hayvonlar va odamlar tizimi bo‘lib, tarmoq
bo‘ylab ma’lumotni uzatishda inson-inson yoki inson-
mashina aloqasini talab etmaydi.
Kiberxavfsizlik asoslari (CSF1316)
• IoT tushunchasi bir nechta
texnologiyalar, real vaqtda
tahlillash, mashinaning
o‘rganishi, oddiy sensorlar
va o‘rnatilgan tizimlarni
birlashishi tufayli
kengaydi.
“Aqlli uylar”
• Istemol bozorida IoT texnologiyasi “aqlli uylar” tushunchasiga
tegishli bo‘lgan mahsulotlar bilan ko‘proq mos keladi.
• Masalan, qurilma yoki dasturiy vositalar uyning yoritish,
isitish, xavfsizlik tizimini nazorat qiladi va uni smartfon
qurilmalari va turli ovozli buyruqlar bilan osonlik bilan
boshqarish mumkin bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Enegriyadan foydalanish va
mahalliy ob havo haqida axborot
buruvchi Nest termostati
Internetga ulangan Ring
kompaniyasiga tegishli qo‘ng‘iroq Internetga ulangan August Home
smart kaliti
Bulutli hisoblash (Cloud computing)
• Cloud computing hisoblash
modeli hisoblanib, ma’lumot,
fayl saqlovchilar, ilovalar uchun
dinamik infratuzilmani
ta’minlash uchun lokal yoki global
tarmoqda ulangan ko‘p sondagi
tizimlardan tashkil topgan.
• Cloud computing termini
Internetni ifodalashda
foydalanilgan belgidan kelib
chiqqan. Odatda, tarmoq
diagrammasida Internet bulut
(ing., cloud) shaklidagi belgi
bilan ifodalanadi.
Kiberxavfsizlik asoslari (CSF1316)
Internet
Marshrutizator
Konsentrator
Foydalanuvchi Server
SHK
Bulutli hisoblash (Cloud computing)
• Cloud Computing
ko‘plab masofaviy
serverlardagi
hisoblashlar
bo‘lib, bunda
markazlashgan
ma’lumot
saqlagichlar,
onlayn
boshqariluvchi
xizmatlar yoki
resurslardan
foydalanishga
ruxsat beriladi.
Kiberxavfsizlik asoslari (CSF1316)
Bulutli hisoblash - afzalliklar
Xarajatlarni kamaytirish
(Cost Saving)
Keng
qamrovlilik/egiluvchanlik
(Scalability/Flexibility)
Ishonchlilik (Reliability)
Qo‘llab quvvatlash
(Maintenance)
Harakatlanuvchanlik
(Mobile Accessible)
Kiberxavfsizlik asoslari (CSF1316)
Bulutli hisoblash - Muammolar
Kiberxavfsizlik asoslari (CSF1316)
Maxfiylik
• Ushbu muammo Cloud Computing xizmatlaridan
foydalanganda ularda ma’lumotlar xavfsizligini
ta’minlash bilan bog‘liq. Masalan, tashkilotda maxfiy
saqlangan ma’lumot Cloud Computing tizimiga
o‘tkazganda maxfiy kanal, gibrid Cloud Computingdan
foydalanish taklif etiladi.
Standartlarning kamchiligi
• Cloud Computing o‘zining iterfeysiga ega bo‘lsada, ular
aynan bir standartga asoslanmagan. SHuning uchun
ko‘plab Cloud Computing xizmatlaridan birgalikda
foydalanish imkoni yo‘q.
Bulutli hisoblash - Muammolar
Kiberxavfsizlik asoslari (CSF1316)
Doimiy rivojlanish
• Foydalanuvchi talabi interfeys yoki tarmoq/saqlovchilar
imkoniyatlarini doimiy rivojlanishidir. SHundan kelib
chiqib, ushbu texnologiya ham bir joyga turmaydi, doimiy
rivojlanishda bo‘ladi.
Moslanish mashaqqatlari (Compliance Concerns)
• Cloud Computing xizmatida foydalanilayotgan ma’lumot turi
va ilova turiga ko‘ra davlatlar ma’lumotlarni himoyalash
qonunlari o‘rtasida kelishmovchiliklar mavjud. Bu esa ushbu
texnologiyalarni kent tarqalishiga to‘sqinlik qiladi.
Masalan, Evropa Ittifoqida barcha davlatlar ma’lumot
himoyasi uchun yagona qonuniy himoyaga ega bo‘lsa, AQSH
davlatida ushbu qonunlar har bir shtat uchun farq qiladi.
Bulutli hisoblashla
• Cloud Computing texnologiyasi 3
ta katta turga ajratilib, bular
quyidagilar:
– Infratuzulma xizmati
(Infrastructure-as-a-Service, IaaS);
– Platforma xizmati (Platform-as-a-
Service, PaaS);
– Ilova xizmati (Software-as-a-
Service, SaaS).
Kiberxavfsizlik asoslari (CSF1316)
Fizik sath
Vertual sath
Infratuzulma xizmati (IaaS)
Platforma xizmati (PaaS)
Ilova xizmati (SaaS)
O‘rnatilgan tizimlar (Embedded systems)
• O‘rnatilgan tizimlar – bu
ko‘pincha real vaqt hisoblash
cheklovlariga ega bo‘lgan kattaroq
mexanik yoki elektr tizimidagi
maxsus funksiyaga ega,
boshqaruvchidir.
• Ular odatda apparat va mexanik
qismlarni o‘z ichiga olgan to‘liq
qurilmaning bir qismi sifatida
o‘rnatilgan.
• O‘rnatilgan tizimlar bugungi
kunda keng foydalaniladigan bir
qancha qurilmalarni boshqaradi.
• Ishlab chiqilgan
mikroprotsessorlarning 98%
o‘rnatilgan tizimlarda
ishlatiladi.
Kiberxavfsizlik asoslari (CSF1316)
O‘rnatilgan tizimlar (Embedded systems)
• Zamonaviy o‘rnatilgan tizimlar ko‘pincha mikrokontrollerlarga asoslangan
(ya’ni, o‘rnatilgan xotira va pereferik interfeysga ega mikroprotsessorlar).
• Biroq, oddiy mikroprotsessorlar (xotira va pereferik interfeys uchun
tashqi qurilmalardan foydalanish) ham keng tarqalgan, ayniqsa murakkab
tizimlarda.
• O‘rnatilgan tizim aniq vazifalarga bag‘ishlangani sababli, loyihalovchilar
uni mahsulotning hajmi va narxini kamaytirish, ishonchligini va
ishlashini oshirish uchun optimallashtirishlari mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Protsessor, xotira, quvvat manbai va tashqi
interfeysga ega plug-in kartada o‘rnatilgan tizim
O‘rnatilgan tizimlar (Embedded systems)
• O‘rnatilgan tizimlar raqamli soatlar va MP3 pleyerlar
kabi ko‘chma qurilmalardan tortib, svetafor
nazoratchilari, dasturlashtirilgan mantiqiy boshqaruv
qurilmalari kabi yirik stansionar qurilmalar va gibrid
transport vositalari, tibbiy tashxislash
tizimlarigacha foydalanilishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
19 - Ma’ruza: Axborot xavfsizligi
siyosati va uni boshqarish
Xavfsizlik siyosati nima?
• Xavfsizlik siyosati bu - tashkilotni himoyalash
maqsadida amalga oshirilgan xavfsizlik nazoratini
tavsiflovchi yuqori sathli hujjat yoki hujjatlar
to‘plami.
• Xavfsizlik siyosati konfidensiallikni,
foydalanuvchanlikni, yaxlitlikni va aktiv qiymatini
saqlaydi.
• Xavfsizlik siyosatisiz, tashkilotni bo‘lishi mumkin
jinoiy ish, foydaning yo‘qolishi va yomon oshkorlik kabi
holatlarni oldini olish imkonsiz.
• Biroq, u xavfsizlik siyosati asos xavfsizlik
hujumlarini nazarda tutmaydi.
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosati nimaga kerak?
Turli zaifliklar natijasida hosil bo‘lgan xavfsizlik tahdidlariga qarshi kurashish va uni
axborotni yo‘qolishidan himoyalash uchun;
Tashkilotning barcha funksiyalarini xavfsiz tarzda amalga oshirilishi uchun;
Tashqi axborot tahdidlariga kompaniyaning duchor bo‘lishini kamaytirish uchun;
Xavfsizlik siyosati tarmoqda qanday qoidalar foydalanishi kerakligi, konfidensial
axborot qanday saqlanishi va tashkilot ma’lumotlarini oshkor bo‘lishi va majburiyatlarni
kamaytirish uchun qandan shifrlash algoritmlari kerakligi aniqlash orqali qonuniy himoyani
ta’minlaydi;
Xavfsizlik siyosatlari tahdidlarni sodir bo‘lishidan oldin bashoratlash va zaifliklarni
aniqlash orqali xavfsizlik buzilishlari holati ehtimolini kamaytiradi;
Zaxira nusxalash va qayta tiklash amallarini joriy qilish orqali tashkilot ma’lumotlarini
yo‘qolishi va chiqib ketishi xavfini minimallashtiradi.
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosatlarining afzalliklari
Kuchaytirilgan ma’lumot va tarmoq xavfsizligi
Risklarni kamaytirish
Qurilmalardan foydalanish va ma’lumotlar transferining monitoringlanishi va
nazoratlanishi
Tarmoqni yuqori unumdorligi
Muammolarga tezkor javob berish va harakatsiz vaqtning kamligi
Boshqaruvdagi stress darajasini kamayishi
Xarajatlarni kamayishi
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosatining ierarxiyasi
Qonunlar
Normativ
hujjatlar
Siyosatlar
Standartlar
Instruksiyalar
Muolajalar
Umumiy qoidalar
Kiberxavfsizlik asoslari (CSF1316)
Ushbu siyostlar tashkilotdagi har bir xodim amalga
oshirishi kerak bo‘lgan qonunlarni o‘rnatadi.
Normativ hujjatlar xodimlarni qonunlarga rioya
qilishini kafolatlaydi.
Siyosatlar yordamida, tashkilot o‘z tarmoq xavfsizligi uchun
qonuniy va ichki tarmoq talablarini ishlab chiqadi.
Standartlar siyosatni amalga oshirish
usullarini tavsiflaydi.
Instruksiyalar tashkilot siyosati va standartlarini
amalga oshirish strategiyasini aniqlaydi.
Muoalajalar tashkilot siyosatlarini bajarish
jarayonini amalga oshiruvchi ketma-ket
bosqichlar to‘plamidir.
Umumiy qoidalar tanlovga ko‘ra
maslahatlar bilan ta’minlovchi narsa.
YAxshi xavfsizlik siyosatining xususiyatlari
Qisqa va aniq Foydalanuvchan
bo‘lishi
Iqtisodif asoslangan
bo‘lishi
Tushunarli bo‘lishi Amaliy bo‘lishi Barqaror bo‘lishi
Mulojaviy bardoshli
bo‘lishi
Kiber va yuridik
qonunlarga,
standartlarga,
qoidalarga va
instruksiyalarga mos
bo‘lishi
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosatining kontenti
Xavfsizlik talablari
• Ushbu bayon xavfsizlik siyosatini amalga oshirishda tizim uchun talablarni
xarakterlaydi. Xavfsizlik talablarining 4 turi mavjud:
• Intizom xavfsizligi talablari
• Qo‘riqlash xavfsizligi talablari
• Muolajaviy xavfsizlik talablari
• Kafolat xavfsizligi talablari
Siyosat tavsifi
• Mazkur qismda asosiy e’tibor xavfsizlik tartibiga, qo‘riqlash, muolajalar,
amallarning bog‘liqligi va hujjatlashtirishga qaratiladi.
Amalning xavfsizlik tushunchasi
• Ushbu tushunchalar xavfsizlik siyosatining rollarini, javobgarliklari va
funksiyalarini aniqlaydi.
Elementlar joylashuvining arxitekturasi
• Ushbu siyosat dasturdagi har bir tizim uchun kompyuter tizimlari arxitekturasini
joylashuvini ta’minlaydi.
Kiberxavfsizlik asoslari (CSF1316)
Siyosatning tipik mazmuni
Siyosatning muhim bo‘limlari quyidagilar:
• xavfsizlik siyosatining umumiy tavsifi siyosat ko‘rib chiqishi kerak
bo‘lgan asosiy ma’lumotlarni taqdim etadi;
• maqsad – siyosati nima uchun tuzilganligin batafsil tushuntirish;
• harakat sohasi kimni va nimani qamrab olish haqidaga axborotni o‘z
ichiga oladi;
• qoidalar va javobgarliklar xodimlar va boshqaruv uchun aniqlanadi;
• maqsadli auditoriya bu - siyosat ishlab chiqilayotgan foydalanuvchilar va
mijozlardir;
• siyosatlar bu – xavfsizlik siyosatining har bir aspekti uchun bayondir;
• sanksiyalar va buzilishlar mijozlar va foydalanuvchilar rioya qilishi
kerak bo‘lgan ruxsat berish/ rad etish jarayonini belgilaydi;
• kontakt ma’lumotlari siyosat sanksiyalari va/ yoki buzilishlari yuz
berganda kim bilan bog‘linish kerakligi haqidagi axborot;
• versiya raqami siyosatdagi barcha o‘zgarishlar va yangilanishlar to‘g‘ri
kuzatilishini ta’minlaydi;
• glossari siyosatda foydalanilgan turli termin va qisqartmalarni
ma’nosini o‘z ichiga oladi.
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosati bayoni
Tashkilotning xavfsizlik siyosati agar aniq va qisqa bayonlardan iborat bo‘lsa,
muvaffaqqiyatli bo‘ladi.
Siyosat bayoni bu – tashkilot siyosatini chuqur tarkibini belgilaydigan tuzilma.
Siyosat bayonotlari xodimlarga profilaktika choralarini tushunishga yordam beradi.
Ideal xavfsizlik siyosati bayonotiga misol: “ma’lumotlardan foydalanish joiz faoliyat
talabiga asoslanadi va sub’ektlar rasmiy tasdiq jarayonidan o‘tishi kerak”.
YUqoridagi siyosat bayonotida xodimlar ma’lumotlardan faqat rahbariyat tasdiqlagandan so‘ng
foydalanishlari aniq ko‘rsatilgan. Agar biror xodim xavfsizlik bayonotiga rioya qilmas,
tashkilot zarur choralarni ko‘rishga haqli degan xulosaga kelish mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosatini yaratish va amalga
oshirish bosqichlari
1. Risklarni baholash:
tashkilot o‘z siyosatini
ishlab chiqishdan oldin o‘z
aktivlari uchun risklarni
baholashi shart.
2. Standart umumiy
qoidalar: tashkilot o‘z
xavfsizlik siyosatini
ishlab chiqishdan oldin
umumiy qoidalarni
o‘rnatilish shart.
3. Nazoratni
kiritilishi: yangi
xavfsizlik siyosatini
ishlab chiqish yoki
mavjudiga qo‘shimcha
kiritish jarayonida
boshqaruvchi bo‘lishi shart.
4. Jazolar: ma’lum
tashkilotlarda qat’iy
siyosatlar mavjud. Agar
xodimlar ushbu
siyosatlarga amal qilmasa,
ularga qarshi bir qancha
choralar qo‘llaniladi.
5. YAkuniy ishlanma:
boshqaruv to‘liq siyosat
hujjatlarini tasdiqlashi
bilan ular tashkilotdagi
barchaga tarqatiladi.
6. Xodimlar tomonidan
qabul qilinishi:
takshilot tomonidan
xavfsizlik siyosati
xodimlarga qabul
qilinishi talab etiladi.
7. Siyosatini joriy
qilish: tashkilotda
siyosatni amalga oshirish
uchun qo‘shimcha joriy
qilish vositalari
bo‘lishi mumkin.
8. Xodimlarni o‘rgatish:
xodimlarga tashkilot
xavfsizlik siyosati
davomli ravishda
o‘rgatilishi shart.
9. Ko‘rish va yangilash:
tashkilot o‘z faoliyatini
uzoq vaqtdan beri amalga
oshirayotgan bo‘lsa ham,
xavfsizlik siyosatini
qaytadan ko‘rib chiqishi
talab etiladi.
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosatini ishlab chiqishdagi
mulohazalar
Siyosatning maqsadi nima? Bu qo‘shimcha xarajatmi yoki shunchaki rasmiyatchilikni?
Xavfsizlik biror o‘quv dasturiga mos keladimi?
Xavfsizlik siyosati tashkilot maqsadlari bilan mos keladimi?
Siyosat yaxshiroq amaliyot uchun umumiy qoidalar bo‘ladimi yoki u standartga asoslanishi kerakmi?
Ushbu siyosat nazorati ostida nechta kishi? Ular kimlar?
Har bir xodim kamida nimani bilishi kerak?
Haqiqatdan ham ushbu siyosatda yozilgan barcha tavsilotlar kerakmi yoki u AT xodimi uchun maxsus yozilganmi?
Siyosatni qanday qilib semantik tashkil qilish mumkin?
Xodimlar siyosatdan nimani tushunishlari kerak?
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik siyosatini loyihalash
siz qo‘llashingiz rejalashtirilgan siyosatlarni ishlab chiqish
Siyosatni maqsadini tushuntirish
Qisqa vaqtda yangilanishni talab qilmaydigan xavfsizlik siyosatini ishlab chiqish
Siyosatlar, standartlar va tavsiyalarni ajratish
Tashkilotni asosiy maqsalarini taqdim qilish
Siyosatni tushunarli ekanligiga ishonch hosil qilish
Tashkilot siyosati xavfsizlikka oid treyningning bir qismi bo‘lishi
Kutilayotgan asosiy risklarni aniqlash
Kiberxavfsizlik asoslari (CSF1316)
Siyosatni amalga oshirilganligini tekshirish
Xavfsizlik siyosatini muvaffaqiyatli amalga oshirishdagi tavsiyalar:
• Xavfsizlik siyosati tashkilotning tegishli rahbariyati tomonidan qo‘llab-quvvatlanishi
va rasmiy ravishda kompaniyaning siyosati sifatida sifatida qabul qilinishini
ta’minlash.
• Har bir siyosatni ko‘rib chiqish va tashkilot ichida qanday qo‘llanilishi haqida o‘ylash.
• Siyosatga muvofiq bo‘lgan mos vositalarning mavjudligiga ishonch hosil qilish.
• Tarmoqni yoki siyosatni ixtiyoriy almashtirish kerakligi haqida rejani yaratish.
• Siyosatni madadlash uchun muolajalarni o‘rnatish uchun tashkilotdagi biror bo‘lim
(masalan, AT, AX va hak) bilan ishlash.
• Tashkilotni xavfsizlik bo‘yicha asos o‘quv treyning kurslari bilan ta’minlash.
• Xavfiszlik siyosatini siyosat yuritiladigan axborot aktivlaridan foydalanish huquqiga
ega bo‘lgan barcha xodimlar uchun taqdim etish.
• Axborot xavfsizlik xodimi xavfsizlik siyosatini boshqarish va amalga oshirish uchun
javobgar bo‘lishi.
• Xavfsizlik siyosatini mos boshqarish uchun tashkilotni zarur bo‘lgan texnologiya va
vositalar bilan ta’minlanganligiga ishonch hosil qilish.
• Takshilotga tashrif buyuruvchilar uchun tarmoqdan foydalanish imkoniyati berilgan
taqdirda, uni maqbul siyosat asosida amalga oshiring.
Kiberxavfsizlik asoslari (CSF1316)
Axborot xavfsizligi siyosatlarining turlari
Tashkilot axborot xavfsizligi siyosati (Enterprise Information Security
Policies, EISP)
• EISP tashkilotlarni ular uchun xavfsiz muhitga g‘oyalar, maqsad va usullarni taklif qilish orqali
qo‘llab – quvvatlaydi. U xavfsizlik dasturlarini ishlab chiqish, amalga oshirish va boshqarish uchun
usullarni belgilaydi. Ushbu siyosatlar shuningdek, taklif etilgan va talab qilingan axborot
xavfsizligi tuzilmasi talablarini kafolatlaydi.
Muammoga qaratilgan xavfsizlik siyosatlari (Issue-Specific Security Policies,
ISSP)
• Bu siyosatlar tashkilotdagi aynan bir xavfsizlik muammosiga qaratilgan bo‘ladi. Ushbu xavfsizlik
siyosatlarining qamrovi va qo‘llanilish sohasi muammo turi va unda foydalanilgan usullarga
bog‘liq bo‘ladi. Unda profilaklik choralar, masalan, foydalanuvchilarni kirish huquqini
avtorizatsiyalash uchun zarar bo‘lgan texnologiyalar ko‘rsatilgan.
Tizimga qaratilgan xavfsizlik siyosatlari (System-Specific Security Policies,
SSSP)
• SSP ni amalga oshirish tashkilotdagi biror tizimning umumiy xavfsizligini maqsad qiladi.
Tashkilotlar tizimni qo‘llab-quuvatlash maqsadida muolajalar va standartlarni o‘z ichiga olgan bu
turdagi siyosatlarni ishlab chiqadilan va boshqaradilar. Tashkilot tomonidan foydalanilgan
texnologiyalar shuningdek tizimga qaratilgan siyosatlarni o‘z ichiga oladi. Bu siyosat texnologiyani
amalga oshirish va sozlash va foydalanuvchilarni harakatlarini hisobga oladi.
Kiberxavfsizlik asoslari (CSF1316)
Internetdan foydalanish siyosati
Nomuntazam siyosat (Promiscuous Policy)
• Ushbu siyosat tizim resurslaridan foydalanishla hech qanday cheklovlar qo‘ymaydi. Masalan,
nomuntazam Internet siyosati bilan Internetdan foydalanishga cheklovlar qo‘ymaydi.
Foydalanuvchi istalgan saytga kirishi, istalgan dasturni yuklab olish va uzoq joydan
kompyuter yoki tarmoqqa kirishi mumkin.
Ruxsat berishga asoslangan siyosat (Permissive Policy)
• Bu siyosatga ko‘ra faqat ma’lum xavfli xizmatlar/ hujumlar yoki harakatlar bloklanadi.
Masalan, ruxsat berishga asoslangan Internet siyosatida bir qancha mashhur va zararli
xizmatlar/ hujumlardan tashqari Internet trafigining asosiy qismi ochiq bo‘ladi.
Paranoid siyosati (Paranoid Policy)
• Paranoid siyosatga ko‘ra hamma narsa taqiqlanadi. Tizim yoki tarmoqdan foydalanuvchi
tashkilot kompyuterlarida qat’iy cheklovlar mavjud bo‘ladi. Bunda Internetga umuman
ulanmagan yoki qat’iy cheklovlar bilan ulangan bo‘lishi mumkin.
Ehtiyotkorlik siyosati (Prudent Policy)
• Ehtiyotkorlik siyosati barcha xizmatlar blokirovka qilinganidan so‘ng boo‘lanadi.
Administator xavfsiz va zarur xizmatlarga individual ravishda ruxsat beradi. Bu maksimal
xavfsizlikni ta’minlaydi va tizim/ tarmoq faoliyati kabi barcha narsalarni qayd qiladi.
Kiberxavfsizlik asoslari (CSF1316)
Maqbul foydalanish siyosati
• Siyosatning ushbu turi hisoblash resurslaridan to‘g‘ri
foydalanishni belgilaydi.
• Unda foydalanuvchilarning o‘z akkauntlarida mavjud
bo‘lgan ma’lumotlarni himoya qilish majburiyati
ko‘rsatilgan.
• Foydalanuvchi tarmoqdagi yoki Internetdagi kompyuterga
kirishda siyosat cheklovlarini qabul qilishi kerak.
• Ehtiyotkorlik siyosati prinsiplar, taqiqlar, ko‘rib
chiqish va jazo choralarini o‘z ichiga oladi va
foydalanuvchini shaxsiy sabablarga ko‘ra korporativ
resurslardan foydalanishini taqiqlaydi.
Kiberxavfsizlik asoslari (CSF1316)
Maqbul foydalanish siyosati
• Maqbul foydalanish siyosati axborot xavfsizligi
siyosatining ajralmas qismi hisoblanadi.
• Umuman olganda, tashkilotlar o‘zlarining yangi
xodimlariga axborot resurlaridan foydalanishga ruxsat
berishdan oldin maqbul foydalanish siyosati bo‘yicha
tanishganligi uchun imzo olishadi.
• Maqbul foydalanish siyosati foydalanuvchilarni AT
infratuzilmasida nimalarni bajarish kerak va
nimalarni bajarmaslik kerakligi haqidagi asosiy
jixatlarni o‘z ichiga oladi.
• Maqbul foydalanish siyosati to‘g‘ri amalga oshirilganiga
ishonch hosil qilish uchun, administrator doimiy
ravishda xavfsizlik auditini olib borishi kerak.
Kiberxavfsizlik asoslari (CSF1316)
Maqbul foydalanish siyosati
• Masalan, aksariyat tashkilotlar o‘z saytlarida va
pochtalarida siyosatga aloqador va diniy mavzularda
muzokaralar olib borilishini taqiqlaydi.
• Maqbul foydalanish siyosatlarining aksariyatida
siyosatni buzganlik uchun jazolar tayinlanadi.
• Bunday jazolar foydalanuvchi akkauntini vaqtincha yopib
qo‘yishdan tortib qonuniy harakatlar kabi keskin
choralarni o‘z ichiga oladi.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
20 - Ma’ruza: Risklarni boshqarish
Risk nima?
• Risk bu – belgilangan sharoitlarda tahdidning
manbalarga potensial zarar etkazilishini kutish.
• Bundan tashqari, riskni quyidagicha tushunish mumkin:
– Risk bu – ichki yoki tashqi majburiyatlar natijasida
tahdid yoki hodisalarni yuzaga kelishi, yo‘qotilishi
yoki boshqa salbiy ta’sir ko‘rsatishi mumkin bo‘lgan
voqea.
– Risk bu – manbaga zarar keltiradigan ichki yoki
tashqi zaiflik ta’sirida tahdid qilish ehtimoli.
– Risk bu – voqea sodir bo‘lishi ehtimoli va ushbu
hodisaning axborot texnologiyalari aktivlariga
ta’siri.
Kiberxavfsizlik asoslari (CSF1316)
Risk nima?
• Risk, tahdid, zaiflik va ta’sir o‘rtasidagi bog‘lanish
quyidagicha:
• RISK = Tahdid × Zaiflik × Ta’sir
• Hodisaning axborot aktiviga ta’siri bu – aktivdagi yoki
manfaatdor tomonlar uchun aktivning qiymatidagi
zaiflikning natijasi. AT riski quyidagicha
kengaytirilishi mumkin:
• RISK = Tahdid × Zaiflik × Aktiv qiymati
• Risk quyidagi ikki faktorning mujassamlashganidir:
– zararli hodisani yuzaga kelish ehtimoli va;
– zararli hodisaning oqibatlari.
Kiberxavfsizlik asoslari (CSF1316)
Riskning darajalari
• Risklar tizimda kutilayotgan ta’siriga bog‘liq holda turli
sathlarda guruhlanadi.
• Risklarning ta’sir darajasi aktivning va ta’sir qilgan
resurslar qiymati va zararning jiddiyligiga bog‘liq bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Risk
darajasi Harakati
YUqori
• Risklarga qarshi zudlikda chora ko‘rish zarur;
• Riskni etarliicha past darajagacha tushirish uchun nazoratlash
vositalarini aniqlash va o‘rnatish kerak.
O‘rta
• Zidlik bilan chora ko‘rish talab etilmasada, qisqa vaqtda qarshi
harakatlarni qo‘llash zarur;
• Riskni etarliicha past darajagacha tushirish uchun imkoni boricha
nazoratni amalga oshirish kerak.
Quyi • Risk ta’sirini kamaytirish uchun profilatika choralarini
ko‘rish zarur.
Risk matritsasi
• Risk matritsasi riskning imkoniyatini, ehtimolini va
oqibati/ ta’sirini hisobga olgan holda riskni o‘lchash
uchun ishlatiladi.
Kiberxavfsizlik asoslari (CSF1316)
Ehtimollik Oqibat/ ta’sir
Muhim
emas Kam O‘rta Ko‘p Jiddiy
81-100%
Imkoniyat
Juda
yuqori
ehtimollik
Past O‘rta YUqori O‘ta
yuqori
O‘ta
yuqori
61-80% YUqori
ehtimollik Past O‘rta YUqori YUqori
O‘ta
yuqori
41-60% Teng
ehtimollik Past O‘rta O‘rta YUqori YUqori
21-40% Past
ehtimollik Past Past O‘rta O‘rta YUqori
1-20% Juda past
ehtimollik Past Past O‘rta O‘rta YUqori
Riskni boshqarish
Riskni boshqarishdan maqsad
• Potensial risklarni aniqlash;
• Riskni ta’sirin aniqlash va
tashkilotga unga qarshi
kurashishda yordam berish;
• Riskning jiddiylik
darajasiga ko‘ra risklarni
baholashning usul, vosita va
texnologiyalarini o‘rnatish;
• Risk va risk hodisasi bayonini
tushunish va tahlil qilish;
• Riskni nazoratlash va qarshi
choralar ko‘rish.
Riskni boshqarish afzalligi
• Potensial riskni ta’sir
sohasiga qaratilgan;
• Risklar darajasiga ko‘ra
murojaat qilinishi mumkin;
• Risklarni tutish jarayonini
yaxshilaydi;
• Salbiy holatlarda xavfsizlik
xodimiga samarali harakat
qilishga imkon beradi;
• Resurslardan samarali
foydalanish imkonini beradi.
Kiberxavfsizlik asoslari (CSF1316)
Risklarni boshqarishda muhim rollar va
javobgarliklar
Bosh boshqaruvchi: bosh boshqaruvchini yordami va jalb etilishi samarali risklarni boshqarish
uchun talab etiladi.
Bosh axborot xodimi: risklarni boshqarish dasturiga muvofiq AT rejalashtirish,
moliyalashtirish va amalga oshirish uchun javobgan.
Tizim va axborot egasi: axborot tizimlari uchun konfidensiallik, foydalanuvchanlik va
butunlikni ta’minlash uchun mos nazorat vositalari uchun javobgar.
Biznes va funksional boshqaruvchi: risklarni boshqarish jarayonida qarorlarni qabul qilish
uchun javobgar.
AT xavfsizlik dasturi boshlig‘i: tashkilot axborot xavfsizligi dasturi uchun javobgar.
AT xavfsizlik amaliyotchilari: xavfsizlik nazoratini amalga oshirish uchun javobgar.
Xavfsizlik bo‘yicha mashg‘ulot rahbari: risklarni boshqarish jarayonida mos o‘quv darslarini
ishlab chiqish va amalga oshirishga javobgar.
Kiberxavfsizlik asoslari (CSF1316)
Muhim risk ko‘rsatkichlari (MRK)
• MRK risklarni boshqarish jarayonining muhim komponenti
bo‘lib, harakatlarni xavfliligini ko‘rsatadi.
• MRK ni aniqlash uchun tashkilot maqsadini tushunish talab
qilinadi.
• MRK – tashkilot uchun risk ehtimoli o‘lchovidir.
Kiberxavfsizlik asoslari (CSF1316)
MRK quyidagilarni
amalga oshirishga
yordam beradi:
Ogohlantirish va
hodisaning
zararli
ta’sirini
aniqlash;
Riskning chegara
qiymatida
xabardor qilish;
Xavfli
hodisalarga
ehtiyotkorlik
bilan qarash.
Muhim risk
ko‘rsatkichlari
• Maqsad uchun xavfni
aniqlash;
• Zararli ta’sirning
ehtimolini aniqlash;
• Potensial zararli
hodisa aniqlanganda
erta ogohlantirish
berish.
Riskni boshqarish
Riskni
boshqarish
Riskni
baholash
Riskni
davolash
Risk
monitoringi va
ko‘rib chiqish
Riskni
aniqlash
Kiberxavfsizlik asoslari (CSF1316)
Riskni boshqarish: Riskni aniqlash
• Tashkilot xavfsizligiga ta’sir qiluvchi tashqi va ichki
risklarning manbasi, sababi, oqibati va haklarni
aniqlash.
Kiberxavfsizlik asoslari (CSF1316)
Muhitni o‘rnatish
• Xodimlar tashqi va ichki muhitni
aniqlaydi va tashkilotda amalga
oshirilgan joriy muhitni tushunadi.
Risklarni sanash
• Risklar ta’sirini hisoblash va risklardan
kutilgan natijalarni kalibrlash.
Riskni boshqarish: Riskni baholash
• Risklarni baholash bosqichi tashkilotning risk darajasini baholaydi va risk ta’siri va
ehtimolini o‘lchashni ta’minlaydi.
• Risklarni baholash bosqichi takroriy jarayon bo‘lib, bu himoya choralarini o‘rnatishdan keyin
holat o‘zgarishiga asoslanadi.
• Risklarni baholashda risk qiymatlari son va sifatga ko‘ra baholanishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Riskni tahlil qilish
• Risk tabiyligini aniqlaydi;
• Riskni oshkor etish sathini aniqlaydi;
• Tug‘ma va nazoratlangan risklarni tushunishni ta’minlaydi.
Risklarni ustuvorlashtirish
• Risklar ustuvorlashtiriladi va jiddiyligiga qarab
choralar ko‘riladi;
• Risklarga javob berishni amalga oshirishda risklarni
ustuvorligiga e’tibor qaratish kerak.
Riskni boshqarish: Riskni davolash
Kiberxavfsizlik asoslari (CSF1316)
• Risklarni davolash bu – aniqlangan
risklar uchun mos nazoratni tanlash
1 va amalga oshirish jarayoni.
• Risklar jiddiylik darajasiga
2 ko‘ra manzillanadi va davolanadi.
• Ushbu bosqichda qaror qabul qilish
riskni baholash natijasiga
3 asoslanadi.
Riskni boshqarish: Riskni davolash
bosqichlari
• Nazoratlashni amalga oshirish orqali zaifliklarni bartaraf etish
Riskni kamaytirish bilan risklarni kamaytirish.
• Riskni davolash javobgarligini boshqa tashkilot yoki bo‘limga
Riskni transfer qilish transfer qilish.
• Bevosita yoki tanlangan nazoratni amalga oshirish orqali tahdid yoki
Riskka qarshi kurashish zaiflik bilan aloqador risklarni kamaytirish.
• Risklarni boshqarish, transfer qilish yoki kamaytirish harakatlari
Riskni qabul qilish tarmoqdagi risk ta’siridan oshib ketganda qabul qilinadi.
Riskdan qochish • Riskning sabab va oqibatini kamaytirish
• Riskka qarshi choralar rejasi, risklarni ustuvorlashtirish, qarshi
Riskni rejalashtirish choralarni amalga oshirish orqali risklarni boshqarish.
• Zaifliklarni tadqiq qilish va ularni bartaraf etuvchi nazoratni
Taqdiqot va bilimlar aniqlash
Kiberxavfsizlik asoslari (CSF1316)
Riskni boshqarish: Risk monitoringi va
ko‘rib chiqish
Risk monitoringi
• Risk monitoringi yangi risklarni paydo bo‘lish
imkoniyatini aniqlaydi.
• Risk monitoringi riskni tutuvchi mos nazorat usuli
amalga oshirilganligini kafolatlaydi.
• Risk monitoringi shuningdek riskni ehtimoli, ta’siri,
holati va oshkor bo‘lishini o‘z ichiga oladi.
Riskni ko‘rib chiqish
• Riskni ko‘rib chiqish orqali amalga oshirilgan risklarni
boshqarish strategiyasi samaradorligi baholanadi.
• Risk bayoni top risklardan ogoh bo‘lishni boshqarishni
kafolatlaydi.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
21-ma’ruza: Dasturiy ta’minot xavfsizligining fundamental
prinsiplari
Kutilayotgan natija:
- xavfli joriy qiymatlar muammosni tushuntirish;
- dasturiy ta’minotning uchta prinsipini aytish (eng kam imtiyoz,
ochiq dizayn, abstraksiyalash);
- har bir prinsipni ta’minlash dastur ta’minot xavfsizligi uchun
muhimligini tushuntirish;
- ochiq dizayn va yopiq dizayn holatini xavfsizlikka ta’sirini
tushuntirish;
- tizimni joylashashishini yangilash murakkabligi bilan bog‘liq
muammolarni tushuntirish;
- xavfsizlik talabi dasturiy ta’minotlar uchun zarurligini
tushuntirish.
Axborot xavfsizligini ta’minlash barcha sohalarda amalga oshirilib,
ular asosan quyidagilarga bo‘linadi:
– Tarmoq xavfsizligi;
– Web da xavfsizlikni ta’minlash;
– Ilova va operatsion tizim xavfsizligi.
Dasturiy mahsulotlar xavfsizligi hozirgi kunda kelib, kriptografiya,
ruxsatlarni nazoratlash va xavfsizlik protokollari kabi muhim sanaladi.
Bunga sabab, axborotlarning vertual xavfsizligi dasturi vositalar orqali
amalga oshiriladi. Bundan kelib chiqadiki, agar dasturiy vosita tahdidga
uchragan taqdirda, xavfsizlik mexanizmi ham barbod bo‘ladi.
Barcha dasturiy vositalarda zaifliklar mavjud bo‘lib, ularning
muhimlik darajalari turlichadir. Masalan, qiymati 165 mil. $ ni tashkil
etgan NASA Mars Lander, Mars sayyorasi yuzasiga qo‘nish vaqtida halokatga
uchragan. Bungan sabab esa, oddiy Ingliz va metr uzunlik o‘lchovlari orasidagi
farq sanalgan. Bundan tashqari, Denver xalqaro ayroportidagi yuklarni
ushlash tizimida foydalanilgan dasturiy vositadagi kamchilik natijasida,
11 oy davomida kuniga 1 mil.$ dan zarar ko‘rilgan.
21.1 – rasm. 2009 – 2013 yildagi ilova zaifliklari ko‘rsatkichi
2013 – yilda mavjud zaifliklar 760 ta tashkilot tomonidan hosil
bo‘lgan. Ular ichida dastlabki 10 tasi jami zaiflikning 50 % tashkil etadi.
21.2 – rasm. Zaiflik manbalari
2013 yildagi mavjud zaifliklarning ilova, operatsion tizim va
qurilma nisbatidagi natijalari quyidagi rasmda keltirilgan.
21.3 – rasm. 2012 – 2013 yilda zaifliklar nisbati
2013 – yilda eng ko‘p zaiflik mavjud bo‘lgan operatsion tizim va
ilovalar ro‘yxati quyidagi 21.4 – 21.5 – rasmlarda keltirilgan.
21.4 – rasm. Zaifliklarning OT dagi nisbati
21.5 – rasm. Zaifliklarning ilovalardagi kesimi
Dasturiy mahsulotlarda xavfsizlik muammolari
Dasturiy vositalardagi mavjud tahdidlar odatda dasturlash tillari
imkoniyatlari bilan belgilanadi. Masalan, nisbatan quyi dasturlash
tillari dasturchidan yuqori malakani talab etgani bois, ularda ko‘plab
xavfsizlik muammolari paydo bo‘ladi. Masalan, C#, Java dasturlash tillari
S yoki S++ dasturlash tillariga nisbatan xavfsizdir. Sababi bu dasturlash
tillarida ko‘plab muammolar avtomatik ravishda, kompilyasiya jarayonida
aniqlanadi.
Odatda zararli dasturiy vositalar ikki turga bo‘lanadi:
– dasturlardagi zaifliklar (atayin qilinmagan);
– zararkunanda dasturlar (atayin qilingan).
Birinchi turga asosan, dasturchi tomonidan yo‘l qo‘yilgan xatolik
natijasida kelib chiqqkan zararli dasturlar misol bo‘lsa, ikkinchi turga
buzg‘unchilik maqsadida yozilgan maxsus dasturiy mahsulotlar (viruslar)
misol bo‘ladi.
Dasturiy vositalarda xavfsizlik muammolarini mavjudligi bir
nechta omillar bilan belgilanadi:
– dasturiy vositalarning ko‘plab dasturchilar tomonidan yozilishi
(komplekslilik);
– dasturiy mahsulotlar yaratilishida inson ishtiroki;
– dasturchining malakasi yuqori emasligi;
– dasturlash tillarining xavfsiz emasligi.
YAratiladigan dasturiy vositalar o‘zida millionlab kodlarni tashkil
etib, quyida bularga aniq misollar keltirilgan.
21.1 - jadval
Tizim Dasturdagi kodlar uzunligi
Netscape 17 mil.
Space Shuttle 10 mil.
Linuxkernel 2.6.0 5 mil.
Windows XP 40 mil.
Mac OS X 10.4 86 mil.
Boeing 777 7 mil.
Tahlillar natijasi shuni ko‘rsatadiki har 10 000 qator kodda, 5 ta bag
mavjud bo‘lar ekan. Boshqacha qilib aytilganda o‘rtacha 3kbayt .exe faylda 50
taga yaqin bag bo‘ladi.
DV injineriyasida, dastur kafolatli o‘z maqsadini bajarishiga
harakat qilinadi. Xavfsiz DV injineriyasida DV o‘z maqsadini bajarishi
talab etiladi. Absolyut xavfsiz DV bo‘lishi mumkin emas.
Dasturiy mahsulotlarda xavfsizlik muammolari. Dasturiy
mahsulotlarda quyidagi zaiflikka tegishli tushunchalar mavjud.
Nuqson. Dasturni amalga oshirishdagi va loyixalashdagi
zaifliklarning barchasi nuqsondir. Nuqson dasturiy vositalarda mavjud
bo‘lib, yillar davomida bilinmasligi mumkin.
Bag. Bag dasturiy ta’minotni amalga oshirish bosqichiga tegishli
bo‘lgan muammo. Dasturiy vositalardagi baglarni oson aniqlash mumkin.
Masalan, Buffer overflow.
Xatolik (error) dasturlashdagi xatolik (‘‘ni, inson).
Xatolik to‘g‘ri bo‘lmagan holatni olib kelishi mumkin: fault (kamchilik)(
Nuqson dastur ichida bo‘ladi).
Kamchilik failure (buzulishni), tizim kutilgan natijani bermaydi
(Buzilish tashqi tomondan ko‘zga ko‘rinadi).
Barchasi flaw deb ataladi.
Xotirani to‘lib toshishi
Amalda ko‘p uchraydigan dasturlash tillaridagi kamchiliklar odatda,
taqiqlangan formatdagi yoki hajmdagi ma’lumotlar kiritilishi natijasida
kelib chiqadi. Bu turdagi tahdidlar ichida keng tarqalgani bu – xotiraning
to‘lib toshish tahdidi sanaladi.
error fault failure
Masalan, veb saytda foydalanuvchidan ma’lumotlar kiritilishi talab
etilsa (ismi, familyasi, yili, va hak.), foydalanuvchi tomonidan kiritilgan
“ism” maydonidagi ma’lumot serverdagi N ta belgi hajmiga ega sohaga
yoziladi. Agar kiritilgan ma’lumot uzunligi N dan katta bo‘lgan holda,
xotiraning to‘lib toshishi hodisasi yuzaga keladi.
Agar buzg‘unchi tomonidan “kerakli” ma’lumot kiritilsa, bu o‘z
navbatida kompyuterni buzulishiga olib keladi.
Quyida S dasturlash tilida yozilgan kod keltirilgan bo‘lib, agar bu kod
kompilyasiya qilinsa xotiraning to‘lib toshishi hodisasi kelib chiqadi.
int main()
{
int buffer [10];
buffer [20] =37;
}
Sababi 10 bayt o‘lchamdagi xotiraning 20 baytiga ma’lumot yozilmoqda.
Bu esa xotiraning ruxsat etilmagan manziliga murojaatni keltirib
chiqaradi.
Xavfsizlik prinsiplari
Dasturiy ta’minotni ishlab chiqqanda va foydalangand qator
prinsiplarga amal qilish talab qilinadi. Quyida OWASP tashkiloti
tomonidan taqdim qilingan prinsiplar bilan tanishib chiqiladi:
Hujumga uchrash soha maydonini minimallashtirish
Dasturiy ta’minotga qo‘shilgan har bir xususiyat umumiy holdagi
dasturga ma’lum miqdordagi xavf darajasini qo‘shadi. Dasturni xavfsiz
amalga oshirishning maqsadi bu – hujum bo‘lishi mumkin bo‘lgan sohani
kamaytirish orqali umumiy dasturdagi xavfni kamaytirish.
Masalan, veb saytlarda onlayn yordamni amalga oshirish uchun qidirish
funksiyasi mavjud. Biroq, ushbu imkoniyat veb saytga SQL – ineksiya hujumi
bo‘lishi ehtimolini keltirib chiqarishi mumkin. Agar qidiruv imkoniyati
autentifikatsiyadan o‘tgan foydalanuvchilar uchun bo‘lsa, u holda hujum
bo‘lishi ehtimoli kamayadi. Agar qidiruv ma’lumotlari markazlashgan
holatda tekshirilsa, u holda ushbu imkoniyat yanada kamayadi.
Xavfsiz standart sozlanmalarni o‘rnatish
Amalda aksariyat dasuriy ta’minotlarda, operatsion tizimlarda
ko‘plab xavfsizlik sozlanmalari standart tartibda o‘rnatilgan bo‘ladi.
Biroq, bu holat foydalanuvchilar tomonidan ko‘p ham yaxshi qabul qilinmaydi
va shuning uchun aksariyat hollarda ushbu sozlanmalarni o‘chirib qo‘yish amalga
oshiriladi. Masalan, OTda parollarni eskirish vaqti standart holda
o‘rnatilgan bo‘ladi. Biroq, aksariyat foydalanuvchilar tomonidan ushbu
sozlanma o‘chirib qo‘yiladi.
Minimal imtiyozlar prinsipi
Axborot xavfsizligi, informatika, dasturlash va boshqa sohalarda
keng qo‘llaniluvchi minimal imtiyozlar prinsipi (ingl. Principle of least
privilege) bu – hisoblash muhitidagi u yoki bu abstraksiya darajasida
resurslarga murojaatni tashkil qilish prinsipi bo‘lib, bunga ko‘ra har bir
modul o‘z vazifasini to‘laqonli bajarishi uchun zarur bo‘lgan resurs yoki
axborotdan minimal darajada foydalanishni talab etadi.
Bu prinsip foydalanuvchi yoki dasturga faqat o‘z vazifasi uchun zarur
bo‘lgan imtiyozlarga ega bo‘lishi kerakligini anglatadi. Masalan, turli vaqt
o‘tkazish uchun ishlab chiqilgan mobil o‘yin dasturlar SMS xabarni o‘qish yoki
qo‘ng‘iroq qilish imkoniyatiga ega bo‘lishi shart emas.
Dasturlar tillarida (masalan, Java) ob’ektlardan foydanishni cheklash
uchun turli kalit so‘zlardan foydalaniladi.
Default Private Protected Public
Bir xil klass + + + +
Bir paket
qismklassi + - + +
Bir paket
qismklass
bo‘lmagan
+ - + +
Turli paket
qismklasslari - - + +
Turli paket
qismklass
bo‘lmagan
- - - +
Teran himoya prinsipi
Ushbu prinsipga ko‘ra, bitta nazoratning bo‘lishi yaxshi, ko‘plab
nazoratlardan foydalanish esa yaxshiroq. Teran himoyada foydalanilgan
nazoratlar turli zaiflik orqali bo‘lishi mumkin bo‘lgan tahdidlarni
kamaytiradi.
Xavfsiz dastur yozish orqali esa, kirish qiymatini tekshirishni,
markazlashgan auditni boshqarishni va foydaluvchilarni barcha sahifalarga
kirishlarini talab qilishlari mumkin.
Agar noto‘g‘ri ishlab chiqilgan adminstrator interfeysi, tarmoqqa
kirishni to‘g‘ri ochsa, foydalanuvchilarni avtorizatsiyasini tekshirsa va barcha
holatlarni qayd qilsa, u anonim hujumga bardoshsiz bo‘lishi mumkin emas.
Xavfsizlikni buzilishi
Ilovalar turli sabablarga ko‘ra amalga oshirilish jarayonida
buzilishlarga uchraydi. Agar ilova xavfsiz bo‘lsa yoki aksincha, qanday qilib
ularni buzilishini aniqlash mumkin.
Masalan,
isAdmin = true;
try {
codeWhichMayFail();
isAdmin = isUserInRole( “Administrator” );
}
catch (Exception ex) {
log.write(ex.toString());
}
Mazkur holda codeWhichMayFail() yoki isUserInRole
funksiyalarida xatolik bo‘lsa yoki biror Exception kuzatilgan taqdirda,
foydalanuvchi admin ro‘lida qolaveradi. Bu ko‘rinib turgan xavfsizlik
riski.
Xizmatlarga ishonmaslik
Hozirgi kunda ko‘plab tashkilotlar uchinchi tomon, sheriklarining
hisoblash imkoniyatidan foydalanadi. Masalan, bir tashkilot o‘z
ma’lumotlarini o‘z sherigi tomonidagi dasturiy ta’minot bilan qayta
ishlashi mumkin. Bu holda ularga ishonish kafolatlanmaydi. Masalan, Payme
yoki shunga o‘xshash ilovalar bir nechta bank kartalaridagi ma’lumotlarni
taqdim qiladi. Mazkur holda, har bir bank foydalanuvchi tomonida o‘z
ma’lumotlarini to‘g‘ri akslantirilganini tekshirishi kerak bo‘ladi.
Vazifalarni ajratish
Firibgarlikni oldini olishga qaratilgan asosiy chora bu –
vazifalarni ajratishdir. Masalan, tashkilotda kompyuterni olish bo‘yicha
so‘rov bergan odam o‘zi unga ham imzo qo‘ya olmaydi. Sababi, bu holda u ko‘plab
kompyuterlarni so‘rashi va qabul qilib olganini rad qilishi mumkin.
Ba’zi bir rollarda oddiy foydalanuvchilarga nisbatan ishonch
darajasi turlicha bo‘ladi. Masalan, administrator oddiy foydalanuvchidan
farq qiladi. Umuman olganda, administratorlar ilova
foydalanuvchilaridan bo‘lmasligi kerak.
Masalan, administratorlar tizimni o‘chirishi yoki yoqishi, parollar
siyosatini o‘rnata olishi kerak. Biroq, ular onlayn savdo do‘koniga imtiyozga
ega foydalanuvchi sifatida kira olmasligi kerak. Masalan, tovarlarni
boshqalar nomidan sotib olish imkoniyatiga ega bo‘lmasligi kerak.
Xavfsizlikni noaniqlikdan saqlash
Noaniqlikka asoslangan xavfsiz bu – zaif xavfsizlik bo‘lib, birinchi
nazoratning o‘zida xatolikka uchraydi. Bu sirni saqlash yomon g‘oya degani emas.
SHunchaki, xavfsizlikning muhim jixatlari tavsilotlarning yashirin
bo‘lishiga asoslanmasligi kerak.
Masalan, dasturning xavfsizligi uni ochiq kodidan xabardor
bo‘linganda barbod bo‘lmasligi kerak. Xavfsizlik ko‘plab boshqa omillarga,
masalan, parolning oqilona siyosatiga, tarmoq arxitekturasiga, auditni
boshqarish vositalariga tayanishi kerak.
Bunga amaliy misol sifatida, Linux operatsion tizimini keltirish
mumkin. Ushbu OT ning kodi ochiq hisoblansada, to‘g‘ri himoyalangan va
shuning uchun hozirgi kundagi mustahkam operatsion tizimlardan biri
hisoblanadi.
Xavfsizlikni sodda saqlang
Hujumga uchrash soha maydoni va soddalik bir-biriga bog‘liq. Ba’zi
dasturiy ta’minot muhundislari sodni sodda ko‘riinishidan ko‘ra
murakkablikni afzal ko‘radilar. Biroq, sodda va tushunishga ason bo‘lgan
ko‘rinish tezkor bo‘lishi mumkin. SHuning uchun dasturiy ta’minotni yaratish
jarayonida murakkablikdan qochishga harakat qilish kerak.
Dasturiy mahsulotlarga qo‘yilgan xavfsizlik talablari
Dasturiy mahsulotlarga qo‘yiladigan talablar uch turga bo‘linadi:
- Vazifaviy (o‘ziga xos xususiyatlar) talablar;
o Tizim amalga oshirishi kerak bo‘lgan vazifalar.
- No vazifaviy talablar;
o Tizimning xususiyatlari.
- Qolgan talablar;
o Vazifaviy va no vazifaviy talablardan tashqari talablar.
Vazifaviy (o‘ziga xos xususiyatlar) talablar. Bu talablar
quyidagilarga qo‘yiladi:
- Tizim kutgan kirishga qo‘yilgan talablar;
- Tizimdan chiqqan natijaga qo‘yilgan talablar;
- Kirish va chiqishga aloqador bo‘lgan talablar.
Masalan:
- To‘rtta kirish bo‘lishi kerak. Ular tugma bo‘lib, B1, B2, B3 va
B4 kabi nomlanishi kerak;
- B1 tugma “YOqish” vazifasini;
- B2 tugma “O‘chirish” vazifasini;
- V3 va V3 “harakat”nuqtalari bo‘lishi kerak;
- V1 bosilgandan so‘ng va V4 bosilmasdan oldin tizim “yoqilgan”
yozuvini chiqarishi kerak.
No vazifaviy (o‘ziga xos xususiyatlar) talablar.
- Audit qilish imkoniyati;
- Kengaytirish mumkinligi;
- Foydalanishga qulayligi;
- Bajarilishi;
- Ixchamlik;
- Ishonchlilik;
- Xavfsizlik;
- Testlash imkoniyati;
- Foydalanuvchanlik;
- Va hak.
Masalan:
- Ishlab chiqilgan dastur Windows
XP, Windows Vista va MacOS X
10.4 OT uchun bo‘lishi;
- Foydalanuvchi
autentifikatsiyalash oynasidan
kirganda ko‘pi bilan 20 sek
vaqtda olishi;
- Tizim tarmoqdan 10 Mbs va 100
ta foydalanuvchini bir vaqtda
quvvatlay olishi.
Xafvsizlik talablari
- Vazifaviy talablardan;
- Boshqa xavfsizlik talablaridan olinadi.
Xususiy xavfsizlik talablari
– Maxfiylik
o Tizim ruxsat berilgan foydalanuvchilargagina .doc
fayllarni ko‘rsatishi kerak
o Xavfsiz aloqa kanalidan foydalanish kerak
– Ruxsatlarni nazoratlash
o Tizim paroldan foydalanishni talab etishi kerak;
o Rollarga asoslangan ruxsatlarni nazoratlash amalga
oshirilishi kerak.
– Butunlik
o Ochiq (public) turdagi foydalanuvchilar uchun faqat o‘qish,
maxfiy (private) turidagi foydalanuvchilar uchun ham o‘qish
ham yozish huquqi berilishi;
o O‘chmaslik.
– Foydalanuvchanlik
– Boshqaruvchanlik
o Kalit harakatlari auditi amalga oshirilishi shart;
o Auditlash;
o Qayd yozuvlilik.
– Autentifikatsiyalash
o Kuchli autentifikatsiya.
Masalan, veb ilovalarda
– Barcha qayd yozuvlarda parol bo‘lishi shart;
– 3 ta muvofaqqiyatsiz urinishdan so‘ng qayd yozuvi qulflanishi shart;
o Buzg‘unchi DOS tahdidni amalga oshiradi
Har bir akkaunt uchun 3 marta urinadi;
Barcha akkauntlar qulflanadi.
o Bu erda mos keladigan talab:
Akkauntga 5 min davomida tahdid amalga oshirilmasa u
qulfdan echilishi shart.
Dasturlash tiliga asoslangan xavfsizlik
Mavjud dasturlash tillarini xavfsiz yoki xavfsiz emas turlariga
ajratish nisbiy tushuncha bo‘lib, ularni quyidagicha tasvirlash mumkin.
21.6 – rasm. Dasturlash tillarining xavfsizlik darajasini sodda
ko‘rinishi
22-Ma’ruza: Inson xavfsizligi
Sotsial injineriya
• “Sotsial injineriya” bu - turli xil psixologik usullar va
firibgarlik amaliyotining to‘plami bo‘lib, uning maqsadi
firibgarlik yo‘li bilan shaxs to‘g‘risida maxfiy
ma’lumotlarni olishdir.
Kiberxavfsizlik asoslari (CSF1316)
• Maxfiy
ma’lumotlar bu -
foydalanuvchi
ismlari / parollari,
shaxsiy muhim
ma’lumotlari, ayblov
dalillari, bank
kartalari raqamlari
va moliyaviy yoki
obro‘sini yo‘qotadigan
har qanday narsa.
Sotsial injineriya
Kiberxavfsizlik asoslari (CSF1316)
Ushbu atama xakerlik sohasidan
kirib kelgan. Xaker bu -
kompyuter tizimidagi
zaifliklarni qidiradigan odam,
boshqacha aytganda – “buzg‘unchi”.
Hozirgi vaqtda xakerlar har
qanday tizimdagi asosiy
zaiflik - bu mashina emas, balki
shaxs ekanligini yaxshi
tushunishadi.
Sotsial injineriya
Kiberxavfsizlik asoslari (CSF1316)
• Psixologiya, hiyla-nayranglar
va ta’sir mexanizmlari
doirasida insoniyat
tomonidan to‘plangan
tajribadan foydalangan
holda, xakerlar “odamlarga
hujum qilishni” boshladilar.
Gohida ular “aql
xakerligi” deb ham
ataladi.
Misol
• Xaker sizdan pul olmoqchi deb faraz qilaylik.
• Aytaylik u sizning telefon raqamingiz va ijtimoiy
tarmoqdagi akkauntingiz haqida ma’lumotga ega.
• Bundan tashqari u izlanish natijasida sizning akangiz
borligini ham aniqladi va akangiz haqida ham
etarlicha ma’lumot to‘pladi.
• U shuningdek, akangizni telefon raqamini ham
qo‘shimcha ishonch uchun bilib qo‘ydi.
• SHundan so‘ng ushbu ma’lumotlar asosida o‘z rejasini
tuza boshladi.
Kiberxavfsizlik asoslari (CSF1316)
Reja
• Xaker sizga kechki vaqtda telefon qilib, sizga (sizni
simingiz o‘rniga faqat u ataydigan biror lichka ham bo‘lishi
mumkin) men akangman deb tanishtiradi va o‘zini ko‘chada
bezorilarga duch kelganini va ular barcha narsalarini
(telefon, pul, plastik kartochka va boshqalar) olib
qo‘yganini aytadi.
• Bundan tashqari u o‘ziga bir qiz yordam berganini, biroq uning
yonida puli yo‘qligini aytadi.
• Biroq, ushbu qizni yonida plastik kartasi borligini va
sizdan ushbu plastik kartaga kasalxonaga etib borish uchun
zarur bo‘lgan 20000 pulni ko‘chirib berishni talab qiladi.
• Mazkur holatlarning 8/10 da xakerlar muvaffaqqiyatga
erishganlar va bu ishlarni amalga oshirish malakali xaker
uchun qiyinchilik tug‘dirmaydi.
Kiberxavfsizlik asoslari (CSF1316)
Xiylaning ish berishi
• Mazkur holda akangizni ovozini ajratish imkoniyati
haqida gap borishi mumkin.
– Biroq, inson turli hayojon va shovqin bo‘lgan muhitda bo‘lishi
mumkinku!
– Bundan tashqari agar siz uxlab yotgan vaqtingizda telefon bo‘lsa,
sizning ovozni aniqlashangiz yanada qiyinlashadi.
• Ushbu holatda xaker tomonidan foydalanilgan fikrlarni
ko‘rib chiqaylik:
– SHaxsni yaxshi yashirdi va real misollarga asoslangan (masalan,
sizning rasmlaringiz, faqat sizning yaqinlaringiz biladigan
joylar va hak.) yaxshi afsona o‘ylab topdi.
– Bularning barchasi etarlicha tez va ishonchli tarzda aytilgan.
– Ta’sirning juda katta mexanizmidan foydalanilgan – achinishga
ta’sir qilingan (hissiyotlarga murojaat qilish).
Kiberxavfsizlik asoslari (CSF1316)
Sotsial injineriya yo‘nalishlari - Fishing
• Fishing (ing. Phishing – balik ovlash) bu – Internetdagi
firibgarlikning bir turi bo‘lib, uning maqsadi
foydalanuvchining maxfiy ma’lumotlaridan, login/parol,
foydalanish imkoniyatiga ega bo‘lishdir.
• Bu hozirda keng tarqalgan sotsial injineriya sxemalaridan
biri hisoblanadi.
• Katta hajmdagi shaxsiy ma’lumotlarni keng tarqalishi,
fishing “shamolisiz” amalga oshirilmaydi.
• Fishingning eng keng tarqalgan na’munasi sifatida
jabrlanuvchi elektron pochtasiga yuborilgan rasmiy ma’lumot
ko‘rinishidagi bank yoki to‘lov tizimidan
soxtalashtirilgan xabar hisoblanadi.
• Bunday elektron pochta xabarlari odatda rasmiy rasmiy veb-
saytga o‘xshash va shaxsiy ma’lumotlarni talab qiladigan
shaklda bo‘lgan qalbaki veb sahifaga havolani o‘z ichiga oladi.
Kiberxavfsizlik asoslari (CSF1316)
Fishing - Misol
Kiberxavfsizlik asoslari (CSF1316)
Fishing - Mavjud bo‘lmagan havola
• Fishing hujumining mazkur ko‘rinishida kutilayotgan veb
saytga o‘xshash saytni o‘z ichiga olgan havolaga murojaat
amalga oshirilishiga jalb qilinadi.
• Masalan, www.PayPai.com manzili www.PayPal.com
manzili sifatida yuborish mumkin.
• Bu holda kamdan-kam holda foydalanuvchilar “l” harfini
o‘riniga “i” harfi borligiga e’tibor berishadi.
• Havolaga murojat qilinganda esa www.PayPal.com veb
saytga o‘xshash, biroq soxtalashtirilgan saytga tashrif
buyuriladi va talab kiritilgan to‘lov kartasi
ma’lumotlari kiritiladi.
• Natijada kiritilgan ma’lumotlar tezda xaker qo‘lida
bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
Misol
• Bunga yaqqol misol sifatida, 2003 yilda eBay foydalanuvchilariga
tarqalgan fishing xabarni olish mumkin.
• Bunga ko‘ra foydalanuvchilarning akkauntlari bloklangani va kredit
karta ma’lumotlari blokdan chiqarilishi kerakligi to‘g‘risidani
ma’lumot tarqalgan.
• Ushbu elektron pochtalarda rasmiy veb-saytga o‘xshash soxta veb sahifaga
olib boruvchi havola mavjud bo‘lgan.
Kiberxavfsizlik asoslari (CSF1316)
• Ushbu
fishing
hujumini
keltirgan
zarari bir
necha yuz
ming
dollarga
teng bo‘lgan.
Fishing - Taniqli korporativ brendidan
foydalishga asoslangan firibgarlik
• Firibgarlikning mazkur ko‘rinishida taniqli yoki yirik
kompaniyalar nomidan foydalanuvchi elektron pochtalariga
xabarlar yuboriladi.
• Xabarlarda kompaniya tomonidan o‘tkazilgan biror tanlovda
g‘alaba qozinilganligi haqidagi tabriklar bo‘lishi mumkin.
• Unda shuningdek zudlik bilan qayd yozuvi ma’lumotlari va
parolni o‘zgartirish kerakligi so‘raladi.
• SHunga o‘xshash sxemalar texnik ko‘maklashish xizmati
nomidan ham amalga oshiririlishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Fishing - Soxta lotareyalar
• Mazkur fishing sxemasiga ko‘ra foydalanuvchi har qanday
taniqli kompaniya tomonidan o‘tkazilgan lotareyada
yutgani to‘g‘risidagi xabarlarni olishi mumkin.
• Tashqi tomondan bu elektron xabarlar kompaniyaning
yuqori lavozimli xodimlaridan biri nomidan
yuborilganga o‘xshaydi.
Kiberxavfsizlik asoslari (CSF1316)
Fishing - Soxta antivirus va xavfsizlik
dasturi
• SHunga o‘xshash firibgar dasturiy ta’minot, shuningdek “chaqqon
dastur” deb nomlanuvchi mazkur dasturlar antivirus dasturlariga
o‘xshasada, ammo vaziyat aksincha bo‘ladi.
• Bu dasturiy ta’minot turli tahdidlar to‘g‘risida yolg‘on
xabarnomalarni keltirib chiqaradi va foydalanuvchini soxta
bitimlarga jalb qilishga harakat qiladi.
• Foydalanuvchi ular bilan elektron pochta, onlayn e’lonlar,
ijtimoiy tarmoqlarda, qidiruv tizimlardagi natijalarida va
hatto tizim xabarlarini taqlid qiluvchi kompyuterdagi qalqib
chiquvchi oynalarda duch kelishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
• Quyida keltirilgan misolda aslida
Microsoft Security Essentials
bo‘lishi kerak bo‘lgan biroq, o‘ziga
Security Essentials 2010 nomini
bergan soxta antivirus dasturining
ko‘rinishi keltirilgan.
Fishing - Soxta antivirus va xavfsizlik
dasturi
• Bundan tashqari Rogue Anti-Spyware (yoki rogueware) deb
nomlangan soxta dasturiy vosita mavjud bo‘lib, boshqa
antivirus dasturlari tomonidan quyidagi troyan dastur
sifatida topiladi.
Kiberxavfsizlik asoslari (CSF1316)
Fishing - IVR (Interactive Voice Response) yoki
telefon orqali
• Fishing sxemasining mazkur usuli oldindan yozib olingan
xabarlar tizimidan foydalanishga asoslangan bo‘lib,
ular bank va boshqa IVR tizimlarining “rasmiy
qo‘nqiroqlari”ni qayta tiklash uchun ishlatiladi.
• Odatda jabrlanuvchi bakn bilan bog‘lanish va har qanday
ma’lumotlarni tasdiqlash yoki yangilash haqidagi so‘rov
oladi.
• Tizim PIN yoki parolni kiritish orqali
foydalanuvchini tasdiqlashni talab qiladi.
• SHuning uchun, oldin kalit iboralarni yozib olgani
sababli jabrlanuvchi barcha ma’lumotlarni kiritishi
mumkin bo‘ladi.
• Masalan, parolni almashtirish uchun “1” ni bosing va
operator javobini olish uchun “2” ni bosing va hak.
Kiberxavfsizlik asoslari (CSF1316)
Preteksting
• Mazkur fishing sxemasida xaker o‘zini boshqa shaxs
sifatida ko‘rsatadi va oldindan tayyorlangan skript
bo‘yicha maxfiy axborotni olishni maqsad qiladi.
• Ushbu hujumda qurbonni shubhalanmasligi uchun tegishli
tayyorgarlik ko‘riladi: tug‘ulgan kun, INN, passport
raqami yoki hisob raqamining oxirgi belgilari kabi
ma’lumotlar topiladi.
• Ushbu fishing sxemasi odatda telefon yoki elektron
pochta orqali amalga oshiriladi.
Kiberxavfsizlik asoslari (CSF1316)
Kvid pro kvo (lotinchadan: Quid pro quo)
• Ushbu ibora ingliz tilida “xizmat uchun xizmat” degan
ma’noni anglatib, sotsial injineriyaning mazkur turida xaker
korporativ tarmoq yoki elektron pochta orqali kompaniyaga
murojaat qiladi.
• Ko‘pincha xaker o‘zini texnik xizmat ko‘rsatuvchi yordamchi
sifatida taqdim qilib, texnik xodimning ij joyidagi
muammolarni hal qilishda “yordam beraman” deb tanishtiradi.
• Texnik muammoni “xal qilishda” nishondagi shaxsni
buyruqlarni bajarishga yoki jabrlanuvchining kompyuteriga
turli xil dasturlarni o‘rnatishga imkon beradigan
harakatlarni bajarishga majbur qiladi.
• 2003 yilda Axborot xavfsizligi dasturi doirasida o‘tkazilgan
tadqiqot shuni ko‘rsatdiki, ofis xodimlarining 90% har
qanday xizmat yoki to‘lov uchun maxfiy ma’lumotlarni,
masalan, o‘zlarining parollarini, berishga tayyor ekanlar.
Kiberxavfsizlik asoslari (CSF1316)
“Yo‘l-yo‘lakay olma”
• Sotsial injineriyaning mazkur usulida xaker maxsus yozilgan
zararli dastur yozilgan ma’lumot saqlagichlardan
foydalanadi.
• Buning uchun u zararli dasturlar yozilgan saqlagichlarni
qurbon ish muhiti yaqinida, jamoat joylarida va hakazo
joylarda qoldiradi.
• Ma’lumot saqlovchilar tashkilotga tegishli shaklda
rasmiylashtiriladi.
• Masalan, ushbu hujum turiga xaker tomonidan korporatsiya
logotipi va rasmiy veb-say manzili tushurilgan kompakt
diskni qoldirib ketadi.
• Ushbu disk sirtida “Rahbarlar uchun ish haqlari” deb
yozilishi mumkin.
• Ushbu saqlagichni qo‘lga kiritgan qurbon uni o‘z kompyuteriga
qo‘yib ko‘radi.
Kiberxavfsizlik asoslari (CSF1316)
Ochiq ma’lumot to‘plash
• Sotsial injineriya texnikasi nafaqat psixologik
bilimlarni, balki inson haqida kerakli ma’lumotlarni
to‘plash qobilyatini ham talab qiladi.
• Bundan ma’lumotlarni olishning nisbatan yangi usuli
uni ochiq manbalardan, asosan ijtimoiy tarmoqlardan
to‘plashdir.
• Masalan, «Odnoklassniki», «VKontakte», «Facebook»,
«Instagram» kabi saytlarda odamlar yashirishga harakat
qilmaydigan juda ko‘p ma’lumotlar mavjud.
• Odatda, foydalanuvchilar xavfsizlik muammolariga
etarlicha e’tibor bermaydilar va xaker tomonidan
ishlatilishi mumkin bo‘lgan ma’lumotlar va xabarlarni
bemolol qoldiradilar.
Kiberxavfsizlik asoslari (CSF1316)
Ochiq ma’lumot to‘plash
• Bunga yaqqol misol sifatida Evgeniy Kasperskiyning
o‘g‘lini o‘g‘irlab ketilganini misol qilib olish mumkin.
YA’ni, tergov davomida jinoyatchilar o‘smirning kun
tartibini va marshrutini ijtimoiy tarmoqdagi
sahifalardagi yozuvlardan bilib olishgani aniqlangan.
• Ijtimoiy tarmoqdagi o‘z sahifasidagi ma’lumotlarga
kirishni cheklab qo‘ygan taqdirda ham, foydalanuvchi hech
qachon firibgarlik qurboni bo‘lmasligiga ishonch yo‘q.
Masalan, Brazilyaning kompyuter xavfsizligi bo‘yicha
tadiqiqotchisi 24 soat ichida sotsial injereniya
usullaridan foydalangan holda har qanday Facebook
foydalanuvchisi bilan do‘st bo‘lishi mumkinligini
ko‘rsatdi.
Kiberxavfsizlik asoslari (CSF1316)
“Elka orqali qarash” hujumi
• Ushbu hujumga ko‘ra buzg‘unchi
jabrlanuvchiga tegishli ma’lumotlarini
uning elkasi orqali qarab qo‘lga
kiritadi. Ushbu turdagi hujum jamoat
joylarida, masalan, kafe, avtobus,
savdo markazlari, aeroport, temir yo‘l
stansiyalarida keng tarqalgan.
• Olib borilgan so‘rovnomalar shuni
ko‘rsatdiki:
– 85% ishtirokchilar o‘zlari bilishlari kerak
bo‘lmagan maxfiy ma’lumotlarni
ko‘rganliklarini tan olishdi;
– 82% ishtirokchilar ularning ekranidagi
ma’lumotlarini ruxsatsiz shaxslar ko‘rishi
mumkinligini tan olishdi;
– 82% ishtirokchilar tashkilotdagi hodimlar
o‘z ekranini ruxsatsiz odamlardan himoya
qilishiga ishonishmaydi.
Kiberxavfsizlik asoslari (CSF1316)
Teskari sotsial injineriya
• Jabrlanuvchining o‘z tajovuzkorga o‘z ma’lumotlarini taqdim
qilishi teskari sotsial injineriyaga tegishli holat hisoblanadi.
• Bu bir qarashda ma’noga ega bo‘lmagan fikr hisoblansada, aksariyat
hollarda jarblanuvchilarning o‘zi muammolarini hal qilish uchun
tajovuzkorni yordamga jalb qiladi.
• Masalan, jabrlanuvchi bilan ishlovchi tajavuzkor kompyuteridagi
biror faylni nomini o‘zgartiradi yoki boshqa katalogga ko‘chirib
o‘tkazadi.
• Faylni yo‘q bo‘lganini bilgan qurbon esa ushbu muammoni tezda
bartaraf etishni istab qoladi.
• Bu vaziyatda tajovuzkor o‘zini ushbu muammoni bartaraf etuvchi
sifatida ko‘rsatadi va qurbonning muammosini bartaraf etish bilan
birga unga tegishli login/ parolni ham qo‘lga kiritadi.
• Bundan tashqari ushbu vazifasi bilan tajavuzkor tashkilot ichida
obro‘ga ega bo‘ladi va o‘z qurbonlari sonini ortishiga erishadi.
• Bu holatni aniqlash esa ancha murakkab ish hisoblanadi.
Kiberxavfsizlik asoslari (CSF1316)
Mashhur sotsial injinerlar
• Kevin Mitnik. Kevin tarixdagi eng mashhur sotsial
injnerlardan biri bo‘lib, u dunyodagi mashhur
kompyuter xakeri va xavfsizlik bo‘yicha mutaxassisi
bo‘lib qolmasdan, u sotsial injineriyaga asoslangan
kompyuter xavfsizligiga asoslangan ko‘plab
kitoblarning ham muallifidir. Uning fikriga ko‘ra
xavfsizlik tizimini buzishdan ko‘ra, aldash yo‘li
orqali parolni olish osonroq.
Kiberxavfsizlik asoslari (CSF1316)
• Aka-uka Badirlar. Ko‘r bo‘lishiga qaramasdan
aka-uka Mundir, Mushid va SHadi Badirlar
1990 yillarda Isroilda sotsial injineriya va
ovozni soxtalashtirish usullaridan
foydalangan holda bir nechta yirik
firibgarlik sxemalarini amalga oshirishga
muvaffaq bo‘lgan. Televideniyaga bergan
intervyusida ular: “faqat telefon, elektr va
noutbuklardan foydalanmaydiganlar faqat
tarmoqda xavfsizdir” dedi.
Sotsial injineriyadan himoyalanish choralari
O‘zlarining hujumlarini amalga oshirishda sotsial injineriya texnikasidan foydalangan
tajovuzkorlar tez-tez muloyimlik, dangasalik, xushmomilalik hamda foydalanuvchi va tashkilotlar
xodimlarining qiziqishlaridan foydalanadilar. Ushbu hujumlarni oldini olish ular
aldanayotganliklarini bilmasliklari sababli murakkab hisoblanadi.
Sotsial injineriya hujumlarini quyidagicha aniqlash mumkin:
• o‘zini do‘stingiz yoki yordam so‘rab murojaat qilgan yangi xodim sifatida tanishtirish;
• o‘zini etkazib beruvchi, hamkor kompaniyaning xodimi, qonun vakili sifatida tanishtirish;
• o‘zini biror rahbar sifatida tanishtirish;
• biror zaiflikni bartaraf etuvchi yoki jabrlanuvchiga biror nimani yangilash imkoniyatini taqdim
qiluvchi sotuvchi yoki ishlab chiqaruvchi sifatidan tanishtirish;
• muammo yuzaga kelganda yordam beruvchi va keyinchalik muammo tug‘ilganda yordam beruvchi sifatida
tanishtirish;
• ishonchli hosil qilish uchun ichki jarangdorlik va terminologiyadan foydalanish;
• maktubga turli zararli dasturlarni qo‘shib yuborish;
• soxta ochilgan oynada login/parolni qayta kiritishni so‘rash;
• foydalanuvchi nomi va paroli bilan saytdan o‘tish uchun biror sovg‘a taklif etish;
• jabrlanuvchi kompyuteriga yoki dasturiga kiritilgan kalitlarni yozib olish (keylogger dasturlari);
• turli xil ma’lumot saqlovchilarni zararli dasturiy vosita bilan bilan foydalanuvchi stoliga
tashlash;
• turli ovozli qo‘ng‘iroqlardagi ovozli xabarlar va hak.
Kiberxavfsizlik asoslari (CSF1316)
Sotsial injineriya bilan bog‘liq tahdidlar
Telefon bilan bog‘liq tahdidlar
• Telefon hanuzgacha tashkilotlar ichida va ular o‘rtasidagi
aloqaning eng mashhur usullaridan biri hisoblanadi.
SHuning uchun u sotsial injineriya uchun samarali vosita
bo‘lib qolmoqda. Telefonda gaplashayotganda, suhbatdoshning
shaxsini tasdiqlashning iloji yo‘q. Bu hujumchilarga
xodimga, xo‘jayinga yoki maxfiy yoki muhim tuyuladigan
ma’lumotlarga ishonish mumkin bo‘lgan har qanday boshqa
shaxsni o‘rniga bo‘lish imkonini beradi.
CHora:
• telefon qiluvchining shaxsini aniqlash;
• raqamni aniqlash xizmatidan foydalanish;
• SMS – xabardagi nomalum havolalarga e’tibor bermaslik.
Kiberxavfsizlik asoslari (CSF1316)
Sotsial injineriya bilan bog‘liq tahdidlar
Elektron pochta bilan bog‘liq tahdidlar
• Ko‘pgina xodimlar har kuni korporativ va shaxsiy pochta tizimlari orqali o‘nlab
yoki hatto yuzlab elektron pochta xabarlarini olishadi. Albatta, bunday
yozishmalar oqimi bilan har bir harfga etarlicha e’tibor berishning imkoni yo‘q.
Bu hujumlarni o‘tkazishni sezilarli darajada osonlashtiradi. Elektron pochta
tizimlarining ko‘plab foydalanuvchilari bunday ishlarni bir papkadan
ikkinchisiga qog‘ozlarni o‘tkazishni elektron analogi sifatida qabul qilib,
bunday xabarlarni qabul qilishda xotirjam bo‘lishadi.
CHora:
• Ushbu yondashuvni butun tashkilotda tarqatish uchun quyidagi elementlarni o‘z
ichiga olgan xavfsizlik siyosatiga elektron pochtadan foydalanishning aniq
prinsiplari kiritilishi kerak:
• hujjatlarga qo‘shimchalar;
• hujjatdagi giperhavolalar;
• shaxsiy yoki korporativ ma’lumotlarni kompaniya ichiga so‘rash;
• shaxsiy yoiki korportiv ma’lumotlarga kopmaniya tashqarisidan keladigan
so‘rovlar.
Kiberxavfsizlik asoslari (CSF1316)
Sotsial injineriya bilan bog‘liq tahdidlar
Tezkor xabarlardan foydalanishga asoslangan tahdidlar
• Tezkor xabar almashish bu - ma’lumotlarni uzatishning nisbatan yangi usuli.
Ammo u korporativ foydalanuvchilar orasida allaqachon mashhurlikka
erishgan. Foydalanishning tezligi va qulayligi tufayli ushbu aloqa usuli
turli xil hujumlar uchun keng imkoniyatlarni ochib beradi.
Foydalanuvchilar unga telefon kabi qarashadi va uni potensial dasturiy
tahdidlar bilan bog‘lashmaydi.
CHora:
• Korporativ muhitda tezkor xabar almashish ustidan ishonchli boshqaruvga ega
bo‘lish uchun siz bir nechta talablarga javob berishingiz kerak:
• tezkor xabarlar uchun bitta platformani tanlash;
• tezkor xabar yuborish xizmatini o‘rnatishda xavfsizlik sozlamalarini
aniqlash;
• yangi aloqalarni o‘rnatish tamoyillarini aniqlash;
• parol tanlash standartlarini o‘rnatish;
• tezkor xabarlardan foydalanish bo‘yicha tavsiyalar berish.
Kiberxavfsizlik asoslari (CSF1316)
Umumiy himoya choralari
• Sotsial injineriyaning mutaxassislari tashkilotlar uchun
quyidagi asosiy himoya usullarini qo‘llashni tavsiya etadilar:
– muhim ma’lumotlar ko‘rinishida bo‘lishi mumkin bo‘lgan zararsiz
ko‘rinadigan ma’lumotlar turlarini hisobga oladigan ishonchli
ma’lumotlarni tasniflash siyosatini ishlab chiqish;
– ma’lumotlarni shifrlash yoki foydalanishni boshqarish yordamida
mijoz ma’lumotlari xavfsizligini ta’minlash;
– xodimlarni sotsial injinerni tanib olish ko‘nikmalariga o‘rgatish,
ular shaxsan tanimaydigan odamlar bilan muloqotdagi shubhani
paydo bo‘lishiga o‘rgatish;
– xodimlarga parollarni almashishni yoki umumiy foydalanishni
taqiqlash;
– shaxsan tanish bo‘lmagan yoki biron-bir tarzda tasdiqlanmagan shaxsga
bo‘limga tegishli ma’lumotni berishni taqiqlash;
– maxfiy ma’lumotlarga kirishni so‘raganlar uchun maxsus tasdiqlash
protseduralaridan foydalanish.
Kiberxavfsizlik asoslari (CSF1316)
Sotsial injineriya uchun ko‘p darajali
xavfsizlik tizimlaridan foydalanish
• Fizik xavfsizlik. Kompaniya binolari va korporativ
resurslarga kirishni cheklaydigan to‘siqlar. SHuni unutmangki,
kompaniyaning resurslari, masalan, kompaniya hududidan
tashqarida joylashgan axlat konteynerlari fizik
himoyalanmagan.
• Ma’lumotlar. Biznes ma’lumotlari: qayd yozuvlari, pochta va
boshqalar. Tahdidlarni tahlil qilish va ma’lumotlarni himoya
qilish choralarini rejalashtirishda qog‘oz va elektron
ma’lumotlar tashuvchilar bilan ishlash tamoyillarini
aniqlash kerak.
• Ilovalar. Foydalanuvchilar tomonidan boshqariladigan
dasturlar. Atrofingizni himoya qilish uchun tajovuzkorlar
elektron pochta dasturlari, tezkor xabarlar xizmati va boshqa
dasturlardan qanday foydalanishlari mumkinligini ko‘rib
chiqishingiz kerak.
Kiberxavfsizlik asoslari (CSF1316)
Sotsial injineriya uchun ko‘p darajali
xavfsizlik tizimlaridan foydalanish
• Kompyuterlar. Tashkilotda ishlatiladigan serverlar va mijoz
tizimlari. Korporativ kompyuterlarda qaysi dasturlardan
foydalanish mumkinligini ko‘rsatadigan qat’iy tamoyillarni
belgilab, foydalanuvchilarni o‘zlarining komp’yuterlariga
to‘g‘ridan-to‘g‘ri hujumlardan himoya qilish.
• Ichki tarmoq. Korxona tizimlari o‘zaro ta’sir qiladigan tarmoq.
Bu mahalliy, global yoki simsiz bo‘lishi mumkin. So‘nggi yillarda
masofadan ishlaydigan usullarning mashhurligi oshib borishi
sababli, ichki tarmoqlarning chegaralari sezilarli darajada
o‘zboshimchalik asosida kengaytirildi. Kompaniya xodimlari har
qanday tarmoq muhitida xavfsiz ishlarni tashkil qilish uchun
nima qilish kerakligini tushunishlari kerak.
• Tarmoq perimetri. Kompaniyaning ichki tarmoqlari va tashqi,
masalan Internet yoki hamkor tashkilotlar tarmoqlari o‘rtasidagi
chegara.
Kiberxavfsizlik asoslari (CSF1316)
Ommaviy madaniyatda sotsial injinerlikdan
foydalanish holatlari
Quyidagi keltirilgan kinolarda sotsial injinerlikga oid
epizodlar mavjud:
• «Poymay menya, esli smojesh»;
• «Poymay tolstuxu, esli smojesh»;
• «Odin doma»;
• «Xakerы»;
• «Afera Tomasa Krauna»;
• «Brilliantы navsegda»;
• «Kto ya».
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
23-Ma’ruza:Kiberjinoyatlar, kiberqonunlar va
kiberetika
Kiberjinoyatchilik nima?
• Kiberjinoyatchilik bu –
kompyuter yoki boshqa
qurilmalarga qarshi qilingan
yoki kompyuter va boshqa
qurilmalar orqali qilingan
jinoiy faoliyat.
• Kiberjinoyatchilikning eng keng
tarqalgan turlari bu:
kompyuter qaroqchiligi,
onlayn firibgarlik,
kompyuter tizimlariga
hujum qilish, shaxsiy
ma’lumotlarni o‘g‘irlash va
noqonuniy yoki taqiqlangan
ma’lumotlarni tarqatish.
Kiberxavfsizlik asoslari (CSF1316)
Kiberjinoyatdan asosiy maqsad nima?
• pul, qimmatli qog‘ozlar, kredit, moddiy boyliklar, tovarlar, xizmatlar,
imtiyozlar, ko‘chmas mulk, yoqilg‘i xom ashyosi, energiya manbalari va
strategik xom ashyolarni noqonuniy olish;
• soliq va turli yig‘imlarni to‘lashdan bosh tortish;
• jinoiy daromadlarni legallashtirish;
• qalbaki hujjatlar, shtamplar, muhrlar, blankalar, shaxsiy yutuqlar uchun
kassa chiptalarini qalbakilashtirish yoki tayyorlash;
• shaxsiy yoki siyosiy maqsadlarda maxfiy ma’lumotlarni olish;
• ma’muriyat yoki ishdagi hamkasblar bilan shaxsiy dushmanlik
munosabatlari asosida qasos olish;
• shaxsiy yoki siyosiy maqsadlar uchun mamlakat pul tizimini buzish;
• mamlakatdagi vaziyatni, hududiy ma’muriy tuzulishni beqarorlashtirish
yoki siyosiy maqsadlar uchun tartibga solish;
• talonchilik, raqibni yo‘q qilish yoki siyosiy maqsadlar uchun muassasa,
korxona yoki tizim ishini tartibga solmaslik;
• boshqa jinoyatlarni yashirish uchun;
• tadqiqot masalalarida;
• shaxsiy intelektual qobiliyat yoki ustunlikni namoyish qilish uchun.
Kiberxavfsizlik asoslari (CSF1316)
Motivatsiyalar
moliyaviy qiyinchilikdan
chiqish
jinoyatchidan qarzdorligini
kechikmasdan jamiyatdan olish
kompaniyadan va ish
beruvchidan o‘ch olish
o‘zini tengsizligini
ko‘rsatish uchun
Kiberxavfsizlik asoslari (CSF1316)
Kiberjinoyatchilikning turlari
Kiberjinoyat turlarini qat’iy bir
klassifikatsiyalashning imkoni yo‘q.
SHuning uchun, quyida kriminologiya
sohasida aloqador holda kiberjinoyatlarni
turlari bilan tanishib o‘tiladi.
Kriminologiya sohasiga oid adabiyotlarda
kiberjinoyatchilikning quyidagi turlari
keltirilgan:
• iqtisodiy kompyuter jinoyatlari;
• inson va fuqarolarning konstitutsiyaviy
huquqlari va erkinliklariga qarshi
qaratilgan kompyuter jinoyatlari;
• jamoat va davlat xavfsizligiga qarshi
kompyuter jinoyatlari.
Kiberxavfsizlik asoslari (CSF1316)
Kiberetika nima?
• Kiberetika bu –
kompyuterlar bilan
bog‘liq falsafiy soha
bo‘lib,
foydalanuvchilarning
xatti-harakatlari,
kompyuterlar nimaga
dasturlashtirilganli
gi va umuman
insonlarga va
jamiyatga qanday
ta’sir ko‘rsatishini
o‘rganadi.
Kiberxavfsizlik asoslari (CSF1316)
Misollar
• Internetda boshqa odamlar to‘g‘risidagi shaxsiy
ma’lumotlarni (masalan, onlayn holatlar yoki GPS orqali
joriy joylashuvni) uzatish joizmi?
• Foydalanuvchilarni soxta ma’lumotlardan himoya qilish
kerakmi?
• Raqamli ma’lumotlarga kim egalik qiladi (musiqa,
filmlar, kitoblar, veb-sahifalar va boshqalar) va ularga
nisbatan foydalanuvchilar qanday huquqlarga ega;
• Onlayn qimor va pornografiya tarmoqda qanday darajada
bo‘lishi kerak?
• Internetdan foydalanish har bir kishi uchun mumkin
bo‘lishi kerakmi?
Kiberxavfsizlik asoslari (CSF1316)
Intellektual mulk huquqlari
• Internet tarmog‘ining doimiy ravishda o‘sib borishi va turli
ma’lumotlarni siqish texnologiyalarining (masalan, mp3) paydo
bo‘lishi “peer-ro-peer” fayl almashinuviga katta yo‘l ochdi. Bu
texnologiya dastlab foydalanuvchilar Napster kabi dasturlarga paydo
bo‘lgan bo‘lsa, endilikda BitTorrent kabi ma’lumotlarni uzatish
protokollarida foydalaniladigan fayllarni bir-biriga anonim
uzatish imkoniyatini beradi. Uzatilgan musiqalarning aksariyati
mualliflik huquqi bilan himoyalangan bo‘lsada, bu usul boshqalarga
tarqatishni noqonuniy holga keltirgan.
• Hozirgi kunda aksariyat elektron ko‘rinishdagi media fayllar
(musiqa, audio va kinolar) intelektual mulk huquqlariga rioya
qilmasdan ommaga tarqalmoqda. Masalan, aksariyat katta mablag‘
sarflangan kinolarning peratiskiy versiyasi chiqishi natijasida, o‘z
sarf xarajatini qoplay olmaslik holatlari kuzatilmoqda.
• Bu holatni dasturiy ta’minotlar uchun ham ko‘rish mumkin. Masalan,
aksariyat dasturlar litsenziyaga ega hisoblansada, turli usullar
yordamida ularning “crack” qilingan versiyalari amalda keng
qo‘llaniladi. Masalar, litsenziyaga ega bo‘lmagan Windows 10 OT,
antivirus dasturiy vositalari, ofis dasturiy vositalari va hak.
Kiberxavfsizlik asoslari (CSF1316)
Mualliflik huquqini himoyalashning
texnik vositalari
• Mualiflik huquqini
ta’minlashda turli himoya
usullaridan foydalaniladi.
• Bular CD/DVD disklardagi
ma’lumotlarni ruxsatsiz
ko‘chirishdan himoyalashdan
tortib, oddiy PDF fayllarni
tahrirlash imkoniyatini cheklash
kabi jarayonlarni o‘z ichiga
olishi mumkin.
• Biroq, boshqa toifadagi
insonlar agar men litsenziyaga ega
CD diskni sotib olsam, undan
ko‘chirish imkoniyatiga ham ega
bo‘lishim kerak deb
fikrlaydilar.
Kiberxavfsizlik asoslari (CSF1316)
Xavfsizlik
• Internet tarmog‘idagi
axborotdan foydalanganda
xavfsizlik anchadan beri
axloqiy munozaralar mavzusi
bo‘lib kelgan. Bu birinchi
navbatda jamoat
faravonligini himoya qilish
yoki shaxs huquqini himoya
qilish degan savolni o‘rtaga
qo‘yadi. Internet tarmog‘ida
foydalanuvchilar sonini
ortishi, shaxsiy ma’lumotlarni
ko‘payishi natijasida ularning
o‘g‘irlanishi va kiberjinoyatlar
soni ortmoqda.
Kiberxavfsizlik asoslari (CSF1316)
Aniqlik
• Internetning mavjudligi va
ba’zi bir shaxs yoki jamoalar
tabiati tufayli
ma’lumotlarning aniqligini
bilan shug‘ullanish muammoga
aylanmoqda. Boshqa so‘z bilan
aytganda Internetdagi
ma’lumotlarning aniqligiga kim
javob beradi? Bundan tashqari
Internetdagi ma’lumotlarni kim
to‘ldirib boradi, undagi xatolar
va kamchiliklar uchun kim
javobgar bo‘lishi kerakligi
to‘g‘risidagi tortishuvlar mavjud.
Kiberxavfsizlik asoslari (CSF1316)
Foydalanuvchanlik, senzura va filterlash
• Foydalanuvchanlik, senzura va axborotni
filterlash mavzulari kiberetika bilan
bog‘liq ko‘plab axloqiy masalalarni ko‘taradi.
• Ushbu masalalarning mavjudligi bizning
maxfiylik va shaxsiylikni tushunishimizga
va jamiyatdagi ishtirokimizga shubha
tug‘diradi.
• Agar biror qonun qoidaga asosan
ma’lumotlardan foydalanishni cheklash yoki
filterlash asosida ushbu ma’lumotni
tarqalishi yoki foydalanuvchanligiga ta’sir
qilish mumkin.
• Hozirda ushbu holatlar amalda keng
qo‘llanilmoqda.
• Senzura ham past darajada (masalan,
kompaniya o‘z xodimlari uchun) yoki yuqori
darajada (hukumat tomonidan xavfsizlikni
ta’minlash uchun amalga oshirilgan) bo‘lishi
mumkin.
• Mamlakatga kiruvchi ma’lumotlarni
boshqarishning eng yaxshi misollaridan biri
bu “Buyuk Xitoy Fayrvoli” nomi bilan
mashhur bo‘lgan loyihadir.
Kiberxavfsizlik asoslari (CSF1316)
Taqiqlangan kontentlar (pornografiya)
• Internet tarmog‘ida
mavjud bo‘lgan
taqiqlangan
kontentlardan voyaga
etmaganlar tomonidan
foydalanish doim
axloqiy munozaralarga
sabab bo‘lmoqda. Ayrim
davlatlarda bunday
kontentlardan
foydalanish qattiq
taqiqlansa, ayrim
davlatlarda bunga
ruxsat berilgan.
Kiberxavfsizlik asoslari (CSF1316)
Qimor o‘yinlari
• Bu muammo ham etik
masaladagi munozaralardan
biri bo‘lib, uni kimlardir
zarar deb hisoblasa, yana
kimlardir ularga qonun
aralashuvini yoqlamaydilar.
O‘z navbatida ushbu tomonlar
orasidagi munozaralar qaysi
turdagi o‘yinlarga ruxsat
berish kerak? Ular qayerda
o‘tkazilishi kerak? degan
savollar keng muzokaralarga
sabab bo‘lmoqda. Hozirda
aksariyat davlatlarda bu
turdagi o‘yinlarga qonuniy
ruxsat berilgan bo‘lsa,
qolganlariga qat’iy
cheklovlar mavjud.
Kiberxavfsizlik asoslari (CSF1316)
Kompyuterlan foydalanish etikalari
Kompyuter etikasi instituti notijoriy tashkilot bo‘lib, vazifasi
texnologiyani axloqiy nuqta nazardan targ‘ib qilishdir. Ushbu tashkilot
tomonidan quyidagi 10 ta etika qoidalari keltirib o‘tilgan:
• SHaxsiy kompyuteringizdan boshqalarning zarariga foydalanmang.
• Boshqa foydalanuvchilarning kompyuter ishlariga xalaqit bermang.
• Boshqa odamlarning kompyuter fayllariga qaramang.
• O‘g‘irlik uchun kompyuterdan foydalanmang.
• YOmonlik uchun kompyuterdan foydalanmang.
• O‘zingiz pul to‘lab sotib olmagan dasturdan foydalanmang va nusxa
ko‘chirmang.
• Birovni kompyuterini ruxsatsiz foydalanmang.
• Birovlarni intellektual mehnati samarasiga zarar etkazmang.
• Siz yaratgan dasturni ijtimoiy oqibati haqida o‘ylang.
• O‘z kompyuteringizdan boshqalarga nisbatan ongli va hurmat bilan
foydalaning.
Kiberxavfsizlik asoslari (CSF1316)
Axborotdan oqilona foydalinish kodeksi
Axborotdan oqilona foydalanish kodeksi buxgalteriya tizimiga
qo‘yiladigan talablarni ta’kidlaydigan besh tamoilga asoslanadi.
Ushbu talablar AQSH sog‘liqni saqlash va insonlarga xizmat ko‘rsatish
vazirligin tomonidan 1973 yilda kiritilgan:
• SHaxsiy ma’lumotlarni to‘playdigan tizimlar bo‘lmasligi kerak.
Biroq, bu haqiqat sirdir.
• Har bir kishi tizimda u to‘g‘risida qanday ma’lumotlar saqlanishini
va undan qanday foydalanilishini boshqarishi kerak.
• Har bir kishi u to‘g‘risida to‘plangan ma’lumotlardan bitta maqsadda,
boshqa maqsadlarda foydalanilishini oldini olish imkoniyatiga ega
bo‘lishi kerak.
• Har kim o‘zi haqidagi ma’lumotlarni to‘g‘irlashi kerak.
• SHaxsiy ma’lumotlar sirasiga kiruvchi ma’lumotlar to‘plamini
yaratish, saqlash, ishlatish yoki tarqatish bilan shug‘ullanadigan har
bir tashkilot ushbu ma’lumotlardan faqat ular belgilangan
maqsadlar uchun foydalanilishini ta’minlash va ulardan boshqa
maqsadlarda foydalanilishiga qarshi choralar ko‘rishi kerak.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
2002 yil 12 dekabrda O‘zbekiston Respublikasining 439-II – sonli “Axborot
erkinligi prinsiplari va kafolatlari to‘g‘risida”gi qonuni qabul qilindi. Ushbu
qonun 16 moddadan iborat. Xususan unda quyidagilar belgilangan:
1-modda. Ushbu Qonunning asosiy vazifalari
Ushbu Qonunning asosiy vazifalari axborot erkinligi prinsiplari va
kafolatlariga rioya etilishini, har kimning axborotni erkin va moneliksiz izlash,
olish, tekshirish, tarqatish, foydalanish va saqlash huquqlari ro‘yobga chiqarilishini,
shuningdek axborotning muhofaza qilinishini hamda shaxs, jamiyat va davlatning
axborot borasidagi xavfsizligini ta’minlashdan iborat.
4-modda. Axborot erkinligi
O‘zbekiston Respublikasining Konstitutsiyasiga muvofiq har kim axborotni
moneliksiz izlash, olish, tekshirish, tarqatish, undan foydalanish va uni saqlash
huquqiga ega.
Axborot olish faqat qonunga muvofiq hamda inson huquq va erkinliklari,
konstitutsiyaviy tuzum asoslari, jamiyatning axloqiy qadriyatlari, mamlakatning
ma’naviy, madaniy va ilmiy salohiyatini muhofaza qilish, xavfsizligini ta’minlash
maqsadida cheklanishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
6-modda. Axborotning ochiqligi va oshkoraligi
Axborot ochiq va oshkora bo‘lishi kerak, maxfiy axborot bundan mustasno.
Maxfiy axborotga quyidagilar kirmaydi:
• fuqarolarning huquq va erkinliklari, ularni ro‘yobga chiqarish tartibi to‘g‘risidagi,
shuningdek davlat hokimiyati va boshqaruv organlari, fuqarolarning o‘zini o‘zi
boshqarish organlari, jamoat birlashmalari va boshqa nodavlat notijorat
tashkilotlarining huquqiy maqomini belgilovchi qonun hujjatlari;
• ekologik, meteorologik, demografik, sanitariya-epidemiologik, favqulodda vaziyatlar
to‘g‘risidagi ma’lumotlar hamda aholining, aholi punktlarining, ishlab chiqarish
ob’ektlari va kommunikatsiyalarning xavfsizligini ta’minlash uchun zarur bo‘lgan
boshqa axborotlar;
• axborot-kutubxona muassasalarining, arxivlarning, idoraviy arxivlarning va
O‘zbekiston Respublikasi hududida faoliyat ko‘rsatayotgan yuridik shaxslarga tegishli
axborot tizimlarining ochiq fondlaridagi mavjud ma’lumotlar.
Davlat hokimiyati va boshqaruv organlari, fuqarolarning o‘zini o‘zi boshqarish
organlari, jamoat birlashmalari va boshqa nodavlat notijorat tashkilotlari jamiyat
manfaatlariga taalluqli voqealar, faktlar, hodisalar va jarayonlar to‘g‘risida qonun
hujjatlarida belgilangan tartibda ommaviy axborot vositalariga xabar berishi shart.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
10-modda. Axborot berishni rad etish
Agar so‘ralayotgan axborot maxfiy bo‘lsa yoki uni oshkor etish
natijasida shaxsning huquqlari va qonuniy manfaatlariga, jamiyat va
davlat manfaatlariga zarar etishi mumkin bo‘lsa, axborotni berish rad
etilishi mumkin.
So‘ralayotgan axborotni berish rad etilganligi to‘g‘risidagi
xabar so‘rov bilan murojaat etgan shaxsga so‘rov olingan sanadan
e’tiboran besh kunlik muddat ichida yuboriladi.
Rad etish to‘g‘risidagi xabarda so‘ralayotgan axborotni berish
mumkin emasligi sababi ko‘rsatilishi kerak.
Maxfiy axborot mulkdori, egasi axborotni so‘rayotgan
shaxslarni bu axborotni olishning amaldagi cheklovlari to‘g‘risida
xabardor etishi shart.
Axborot berilishi qonunga xilof ravishda rad etilgan shaxslar,
shuningdek o‘z so‘roviga haqqoniy bo‘lmagan axborot olgan shaxslar
o‘zlariga etkazilgan moddiy zararning o‘rni qonunda belgilangan
tartibda qoplanishi yoki ma’naviy ziyon kompensatsiya qilinishi
huquqiga ega.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
11-modda. Axborotni muhofaza etish
Har qanday axborot, agar u bilan qonunga xilof
ravishda muomalada bo‘lish axborot mulkdori, egasi,
axborotdan foydalanuvchi va boshqa shaxsga zarar etkazishi
mumkin bo‘lsa, muhofaza etilmog‘i kerak.
Axborotni muhofaza etish:
• shaxs, jamiyat va davlatning axborot sohasidagi
xavfsizligiga tahdidlarning oldini olish;
• axborotning maxfiyligini ta’minlash, tarqalishi,
o‘g‘irlanishi, yo‘qotilishining oldini olish;
• axborotning buzib talqin etilishi va
soxtalashtirilishining oldini olish maqsadida amalga
oshiriladi.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
13-modda. SHaxsning axborot borasidagi xavfsizligi
SHaxsning axborot borasidagi xavfsizligi uning axborotdan erkin foydalanishi
zarur sharoitlari va kafolatlarini yaratish, shaxsiy hayotiga taalluqli sirlarini saqlash,
axborot vositasida qonunga xilof ravishda ruhiy ta’sir ko‘rsatilishidan himoya qilish yo‘li
bilan ta’minlanadi.
Jismoniy shaxslarga taalluqli shaxsiy ma’lumotlar maxfiy axborot toifasiga
kiradi.
Jismoniy shaxsning roziligisiz uning shaxsiy hayotiga taalluqli axborotni, xuddi
shuningdek shaxsiy hayotiga taalluqli sirini, yozishmalar, telefondagi so‘zlashuvlar, pochta,
telegraf va boshqa muloqot sirlarini buzuvchi axborotni to‘plashga, saqlashga, qayta ishlashga,
tarqatishga va undan foydalanishga yo‘l qo‘yilmaydi, qonun hujjatlarida belgilangan hollar
bundan mustasno.
Jismoniy shaxslar to‘g‘risidagi axborotdan ularga moddiy zarar va ma’naviy ziyon
etkazish, shuningdek ularning huquqlari, erkinliklari va qonuniy manfaatlari ro‘yobga
chiqarilishiga to‘sqinlik qilish maqsadida foydalanish taqiqlanadi.
Fuqarolar to‘g‘risida axborot oluvchi, bunday axborotga egalik qiluvchi hamda undan
foydalanuvchi yuridik va jismoniy shaxslar bu axborotdan foydalanish tartibini buzganlik
uchun qonunda nazarda tutilgan tarzda javobgar bo‘ladilar.
Ommaviy axborot vositalari axborot manbaini yoki taxallusini qo‘ygan muallifni
ularning roziligisiz oshkor etishga haqli emas. Axborot manbai yoki muallif nomi faqat sud
qarori bilan oshkor etilishi mumkin.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
14-modda. Jamiyatning axborot borasidagi xavfsizligi
Jamiyatning axborot borasidagi xavfsizligiga quyidagi yo‘llar
bilan erishiladi:
• demokratik fuqarolik jamiyati asoslari
rivojlantirilishini, ommaviy axborot erkinligini
ta’minlash;
• qonunga xilof ravishda ijtimoiy ongga axborot vositasida
ruhiy ta’sir ko‘rsatishga, uni chalg‘itishga yo‘l qo‘ymaslik;
• jamiyatning ma’naviy, madaniy va tarixiy boyliklarini,
mamlakatning ilmiy va ilmiy-texnikaviy salohiyatini asrash
hamda rivojlantirish;
• milliy o‘zlikni anglashni izdan chiqarishga, jamiyatni tarixiy
va milliy an’analar hamda urf-odatlardan uzoqlashtirishga,
ijtimoiy-siyosiy vaziyatni beqarorlashtirishga, millatlararo
va konfessiyalararo totuvlikni buzishga qaratilgan axborot
ekspansiyasiga qarshi harakat tizimini barpo etish.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
15-modda. Davlatning axborot borasidagi xavfsizligi
Davlatning axborot borasidagi xavfsizligi quyidagi yo‘llar bilan ta’minlanadi:
• axborot sohasidagi xavfsizlikka tahdidlarga qarshi harakatlar yuzasidan
iqtisodiy, siyosiy, tashkiliy va boshqa tusdagi chora-tadbirlarni amalga oshirish;
• davlat sirlarini saqlash va davlat axborot resurslarini ulardan ruxsatsiz tarzda
foydalanilishidan muhofaza qilish;
• O‘zbekiston Respublikasining jahon axborot makoniga va zamonaviy
telekommunikatsiyalar tizimlariga integratsiyalashuvi;
• O‘zbekiston Respublikasining konstitutsiyaviy tuzumini zo‘rlik bilan
o‘zgartirishga, hududiy yaxlitligini, suverenitetini buzishga, hokimiyatni bosib
olishga yoki qonuniy ravishda saylab qo‘yilgan yoxud tayinlangan hokimiyat
vakillarini hokimiyatdan chetlatishga va davlat tuzumiga qarshi boshqacha tajovuz
qilishga ochiqdan-ochiq da’vat etishni o‘z ichiga olgan axborot tarqatilishidan
himoya qilish;
• urushni va zo‘ravonlikni, shafqatsizlikni targ‘ib qilishni, ijtimoiy, milliy,
irqiy va diniy adovat uyg‘otishga qaratilgan terrorizm va diniy ekstremizm
g‘oyalarini yoyishni o‘z ichiga olgan axborot tarqatilishiga qarshi harakatlar qilish.
Kiberxavfsizlik asoslari (CSF1316)
Milliy qonunlar
16-modda. Axborot erkinligi prinsiplari va
kafolatlari to‘g‘risidagi qonun hujjatlarini
buzganlik uchun javobgarlik
• Axborot erkinligi prinsiplari va kafolatlari
to‘g‘risidagi qonun hujjatlarini buzganlikda aybdor
shaxslar belgilangan tartibda javobgar bo‘ladilar.
Kiberxavfsizlik asoslari (CSF1316)
JAVOBGARLIKLAR: O‘zbekiston Respublikasining ma’muriy
javobgarlik to‘g‘risidagi kodeksi
155-modda. Axborotdan foydalanish qoidalarini buzish
• Axborot tizimidan foydalanish maqsadida unga ruxsatsiz kirib olishda
ifodalangan axborot va axborot tizimlaridan foydalanish qoidalarini buzish —
– fuqarolarga eng kam ish haqining uchdan bir qismidan bir baravarigacha, mansabdor shaxslarga
esa — bir baravaridan uch baravarigacha miqdorda jarima solishga sabab bo‘ladi.
• Axborot tizimlarining ishini buzishga olib kelgan xuddi shunday
huquqbuzarlik, xuddi shuningdek kirish cheklangan axborot tizimlarini axborot-
hisoblash tarmoqlariga ulash chog‘ida tegishli himoya choralarini ko‘rmaganlik —
– fuqarolarga eng kam ish haqining bir baravaridan uch baravarigacha, mansabdor shaxslarga esa
— uch baravaridan besh baravarigacha miqdorda jarima solishga sabab bo‘ladi.
• YUridik va jismoniy shaxslarning axborot tizimlarini xalqaro axborot
tarmoqlariga qonunga xilof ravishda ulash, bu tarmoqlarga tegishli himoya
choralarini ko‘rmasdan ulanish, xuddi shuningdek ulardan ma’lumotlarni qonunga
xilof ravishda olish —
– fuqarolarga eng kam ish haqining ikki baravaridan besh baravarigacha, mansabdor shaxslarga
esa — besh baravaridan etti baravarigacha miqdorda jarima solishga sabab bo‘ladi.
• O‘zganing elektron hisoblash mashinalari uchun yaratilgan dasturi yoki
ma’lumotlar bazasini o‘z nomidan chiqarish yoxud qonunga xilof ravishda undan
nusxa olish yoki bunday asarlarni tarqatish —
– fuqarolarga eng kam ish haqining bir baravaridan uch baravarigacha, mansabdor shaxslarga esa
— uch baravaridan besh baravarigacha miqdorda jarima solishga sabab bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
JAVOBGARLIKLAR: O‘zbekiston Respublikasining ma’muriy
javobgarlik to‘g‘risidagi kodeksi
218-modda. Ommaviy axborot vositalari mahsulotlarini
qonunga xilof ravishda tayyorlash va tarqatish
• Ommaviy axborot vositalarining mahsulotlarini
belgilangan tartibda ro‘yxatdan o‘tkazmasdan yoki ularni
chiqarishni yoxud nashr etishni to‘xtatish to‘g‘risida qaror
qabul qilingandan keyin qonunga xilof ravishda
tayyorlash va tarqatish —
– bosma yoki boshqa mahsulotlarni musodara qilib, eng kam ish
haqining uch baravaridan besh baravarigacha miqdorda jarima
solishga sabab bo‘ladi.
Kiberxavfsizlik asoslari (CSF1316)
JAVOBGARLIKLAR: O‘zbekiston
Respublikasi Jinoyat kodeksi
143-modda. Xat-yozishmalar, telefonda so‘zlashuv,
telegraf xabarlari yoki boshqa xabarlarning sir
saqlanishi tartibini buzish
• Xat-yozishmalar, telefonda so‘zlashuv, telegraf xabarlari
yoki boshqa xabarlarning sir saqlanishi tartibini
qasddan buzish, shunday harakatlar uchun ma’muriy jazo
qo‘llanilgandan keyin sodir etilgan bo‘lsa, —
– eng kam oylik ish haqining yigirma besh baravarigacha miqdorda
jarima yoki uch yilgacha muayyan huquqdan mahrum qilish yoki uch yuz
oltmish soatgacha majburiy jamoat ishlari yoxud uch yilgacha axloq
tuzatish ishlari bilan jazolanadi.
Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN
RAXMAT!!!
Do'stlaringiz bilan baham: |