Жадвал 4
-
Берилган сўз
|
Абонентнинг танланган исми
|
Шифрланган хабар (телефон номерлар)
|
S
|
Scott
|
3541920
|
A
|
Adlemann
|
4002132
|
U
|
Udlman
|
7384502
|
N
|
Nivat
|
5768115
|
A
|
Aho
|
7721443
|
Aгар бундай “тескари” справочниги бўлмаса, унда фойдаланувчига керакли телефон номерларини қидиришда чарчатадиган ва кўп маротаба варақлаб қидирадиган бор справочникдан фойдаланишга тўғри келади. Мана бу хисоблаш қийин бўлган функциянинг амалга оширилиши. Телефон справочниклари асосида шифрлаш усулини келажаги бор деб бўлмайди, чунки бузиб киришга имконияти бўлган одамга “тескари” телефон справочникни тузишга хеч ким халақит бермайди. Бироқ, амалиётда ишлатиладиган шу гурухдаги шифрлаш усуллари, ишончли ҳимоялаш маъносида, хаммаси яхши кетаяпти деса бўлади.
Шифрлашнинг симметрик усулларига қараганда, симметрик бўлмаган усуллардаги калитларни тарқатиш муаммоси оддий хал қилинади – махсус дастурлар ёрдамида “жойида” жуфт калитлар (очиқ ва ёпиқ) генерация қилинади. Очиқ калитларни тарқатиш учун LDAP (Lightweight Directory Access Protocol – справочникка осонлаштирилган кириш пратаколи). Тарқатиладиган калитлар шифрлашнинг симметрик усулларидан бири ёрдамида олдиндан шифрланган бўлиши мумкин.
Информацияларни ҳимоялаш воситалари ўрнатилган тармоқли ОС га кириш мумкин, лекин ҳар доим эмас, олдин айтиб ўтилгандек, амалиётда пайдо бўладиган муаммоларни тўлиқ хал қилиши мумкин. Масалан, аппаратли сбойлардан ва бузулишлардан ишончли “эшелонланган” маълумотларнинг ҳимояланишни тармоқли OC Net Ware 3x, 4х амалга оширади. Novell фирмасининг SFT системаси (System Fault Tolerance - рад етишга мустахкам система) учта асосий поғонани кўзда тутади:
SFT Level I қўшимча нусхаларни FAT va Directory Entries Tables яратишга мўлжалланган, ҳар бир қайтадан файлли серверга ёзилган Маълумотлар блокини тезда верификатциялаш, ҳамда унинг хажмидан 2% яқинроғини ҳар бир қаттиқ дискда захирага олиб қўйиш. Aгар сбой аниқланса маълумотларни дискнинг захираланган қисмига қайта йуналтиради, сбойли блок “ёмон” белги қўйилади ва кейинчалик фойдаланмайди.
SFT Level [] “кўзгулик” дискларни яратишга имконияти бор, ҳамда дискли контроллерни(назоратчиларни), ток билан таъминлаш манбаини ва интерфейсли кабелларни дубляж қилади.
SFT Level III локал тармоқда дубляж қилинган серверларни ишлатишга ёрдам беради, улардан бири “асосий” иккинчиси эса барча информацияларни нусхасини сақлайди, агар “асосий” сервер ишдан чиқса унда бу ишлашга тушади.
Назорат системаси ва Net Ware (киришга рухсат берилмагандан ҳимоялаш) тармоқларга кириш ҳуқуқини чеклатиб қўйиш хам бир нечта поғоналардан иборат:
киришга бошланадиган поғона (фойдаланувчининг исми ва пароли киради, хисобга олишни чегаралаш системаси, яъни ишлашга рухсат бериш ёки рад этиш, тармоқда ишлашга берилган вақти, қаттиқ дискдаги жойлар, фойдаланувяининг шахсий файллари эгаллаган жойлари ва хокозо).
фойдаланувчиларнинг ҳуқуқ поғонаси (алохида оператцияларни бажаришда персонал чеклаш ёки ушбу фойдаланувчини, аниқ бўлимнинг аъзоси сифатида тармоқдаги файл системасининг алохида қисмларида ишга чеклантириб қўйиш).
каталог ва файлларнинг атрибутлар поғонаси (алохида оператцияларнинг бажаришга чеклаш, файлли системалар томонидан келадиганни чиқариб ташлаш, редакторлаш ёки яратиш ва берилган каталоглар ёки файллар билан ишлашга харакат қилувчи) барча фойдаланувчиларга тегишли.
файл – сервернинг консоли поғонаси (махсус парол киритгунча тармоқдаги админстраторни йуқ вақтида файл – сервер клавиатурасини (тугмачасини) блокировкалаш).
Бироқ OC NetWare да информациянинг ҳимоялаш системани бу қисмига ҳар доим ишонса бўлмайди. Бунга гувох бўлиб интернетдаги кўп сонли инструкциялар ва киришга рухсат берилмагани учун у ёки бу ҳимоялаш элементларини бузушга имкон берадиган тайёр эришадиган дастурлар. Бу мулохаза информацияни ҳимоялаш воситалари ўрнатилган бошқа кучли тармоқли ОС ларга хам тегишлидир (Windows NT, UNIX).
Информатсияни ҳимоялаш воситаларининг махсуслаштирилган дастурлари.
Тармоқли ОС ларга ўрнатилган воситаларга қараганда информацияни ҳимоялаш воситаларининг махсуслаштирилган дастурлари киришга рухсат берилмаганлардан ҳимоялаш учун умуман яхши имкониятлар ва характеристикаларга эга. Информацияларни ҳимоялаш учун шифрлаш дастурлардан ташқари эришиб бўладиган кўп ташқи воситалар мавжуд. Информацион оқимни чеклаб қўядиган иккита системани келтирамиз:
1. Firewalls – брандмауэрлар (firewall – сўзма – сўз таржимаси – оловли девор). Локал ва глобал тармоқлари оралиғида махсус оралиқ серверлар ўрнатилади, улардан ўтадиган тармоқли/транспортли поғоналарни графигини назорат қилади ва филтрлайди. Бу корпоратив тармоқларга ташқаридан кирадиган рухсат этилмаган хавфни кескин туширишга ёрдам беради, лекин бу хавфни бутурлай йуқотмайди. Кўпроқ ҳимояланган усулнинг турли кўринишлардан маскарод (masquerading) усули, бу барча локал тармоқдан чиқадиган график firewall – server номидан юборилиб, локал тармоқни умумий кўринмайдиган қилади.
2. Proxy – servers (proxy – ишончнома, ишонган шахс). Тармоқли/Транспортли поғонали ҳамма график локал ва глобал тармоқлари орасидаги тўлиқ ман этилади – маршрутизация деган нарса умуман йуқ, локал тармоқдан глобалга мурожатлар эса махсус ўрталик – серверлар орқали бажарилади. Кўриниб турибдики, глобал мурожат қилиш умуман мумкин бўлмайди.
Ундан ташқари бу усул юқорироқ поғоналарда хужумларга қарши ҳимоя етарли бўлмайди – масалан, иловалар даражасида (viruslar, Java ва java Seript) ҳимоялаш муоммосини мухумлигини ҳисобга олиб firewall (“оловли девор”) системасини муфассал кўриб чиқамиз (расм 3). Firewall системаси маршрутизаторни алмаштиради ёки тармоқни ташқи портини (Gateway). Тармоқни ҳимояланган қисми уни орқасида жойлашган. Firewall га юборилган пакетлар оддий қайта юборилмасдан локал қайта ишланади. Объектларга адресланган пакетлар эса, Firewall орқасида жойлашган бўлиб, юборилмайди. Шу сабабли хакер ЭВМ Firewall ҳимоялаш системаси билан иш олиб боришга мажбур.
Бундай система оддий ва ишончли, чунки бир машинани ҳимоялашни ўйлаш керак, кўпчиликни эмас. Экран, маршрутизатор ва ЭВМ катта бўлмаган, ҳимояланмаган локал тармоғи билан экранни бошқариши бирлашган.
Ҳимоялаш учун асосий операциялар Бу ерда IР даражасида бажарилади. Бу схемани иккита интерфейс билан жихозланган битта ЭВМ да бажариш мумкин. Бунда битта интерфайс орқали интернет билан алоқа боғланса, иккинчиси эса – ҳимояланган тармоқ билан.
Rasm 3.
Бундай ЭВМ маршрутизатор – шлюзни ва экранни бошқариш функцияларини бирлаштиради. Маршрутизатор томонидан экран функцияси бажарилса, Firewall ни амалга ошириш мумкин (расм 4).
Расм 4.
Бу схемада Интернетдан кириш фақат Прокси – серверга мумкин, ҳимояланган тармоқдан ЭХМдан интернетга киришни фақат Прокси – сервер орқали олиш мумкин. ҳимояланган ЭХМдан биронта пакет интернетга кира олмайди ва шунга ўхшаб биронта пакет интернетдан ҳимояланган ЭХМ га тўғридан-тўғри кира олмайди.
Do'stlaringiz bilan baham: |