Bia-3k guruh Jo’rayev Asliddin Mavzu: Bank xavfsizligini himoyalashni tashkil etish Reja

 Banklarda axborotni qayta ishlashning avtomatlashtirilgan tizimlari xavfsizligi (ASOIB)

Download 31,93 Kb. bet 3/6 Sana 10.02.2022 Hajmi 31,93 Kb. #440823

2. Banklarda axborotni qayta ishlashning avtomatlashtirilgan tizimlari xavfsizligi (ASOIB) ASOIB faoliyatini turli maqsadlarda qasddan buzish muammosi bugungi kunda eng dolzarb muammolardan biri bo‘lib turibdi, desak mubolag‘a bo‘lmaydi. Ushbu bayonot yuqori darajada rivojlangan axborot infratuzilmasi bo'lgan mamlakatlar uchun to'g'ri keladi, buni quyidagi raqamlar tasdiqlaydi. Ma'lumki, 1992 yilda kompyuter jinoyatlaridan ko'rilgan zarar 555 million dollarni, 930 yil ish vaqti va 15,3 yil kompyuter vaqtini tashkil etgan. Boshqa maʼlumotlarga koʻra, moliya institutlariga yetkazilgan zarar yiliga 173 million dollardan 41 milliard dollargacha yetadi. Ushbu misoldan xulosa qilishimiz mumkinki, axborotni qayta ishlash va himoya qilish tizimlari potentsial ishonchsiz ma'lumotlarni uzatish vositasi sifatida kompyuter tarmog'iga an'anaviy yondashuvni aks ettiradi. Turli usullar bilan amalga oshiriladigan dasturiy va apparat muhitining xavfsizligini ta'minlashning bir necha asosiy usullari mavjud: 1.1. Foydalanuvchi profillarini yaratish. Har bir tugunda foydalanuvchilar ma'lumotlar bazasi, ularning parollari va hisoblash tizimining mahalliy resurslariga kirish profillari yaratilgan. 1.2. Jarayon profillarini yaratish. Autentifikatsiya vazifasi foydalanuvchilar va oxirgi serverlar uchun parollarni o'z ichiga olgan mustaqil (uchinchi tomon) server tomonidan amalga oshiriladi (bir guruh serverlar bo'lsa, parollar ma'lumotlar bazasida faqat bitta (master) autentifikatsiya serveri mavjud; qolganlari faqat vaqti-vaqti bilan yangilanadigan nusxalar) ... Shunday qilib, tarmoq xizmatlaridan foydalanish ikkita parolni talab qiladi (garchi foydalanuvchi faqat bittasini bilishi kerak - ikkinchisi unga server tomonidan "shaffof" tarzda taqdim etiladi). Shubhasiz, server butun tizimning to'siqlariga aylanadi va uni buzish butun kompyuter tarmog'ining xavfsizligini buzishi mumkin. 2. Uzatilayotgan axborotni maxsus almashinuv protokollarida inkapsulyatsiya qilish. Bunday usullardan aloqada foydalanish ochiq kalitlarni shifrlash algoritmlariga asoslanadi. Boshlash bosqichida bir juft kalit yaratiladi - ochiq va shaxsiy, faqat ochiq kalitni nashr etgan shaxs uchun mavjud. Ochiq kalitlarni shifrlash algoritmlarining mohiyati shundan iboratki, shifrlash va shifrni ochish operatsiyalari turli kalitlar (mos ravishda ochiq va xususiy) yordamida amalga oshiriladi. 3. Axborot oqimlarini cheklash. Bular mahalliy tarmoqni o'zaro bog'liq bo'lgan pastki tarmoqlarga bo'lish va ushbu pastki tarmoqlar o'rtasida ma'lumot uzatishni boshqarish va cheklash uchun ma'lum usullardir. 3.1. Faervollar Usul bankning mahalliy tarmog'i va boshqa tarmoqlar o'rtasida ular orqali o'tadigan barcha ma'lumotlar oqimini (tarmoq / transport qatlami trafigini) tekshiradigan, tahlil qiladigan va filtrlaydigan maxsus oraliq serverlarni yaratishni nazarda tutadi. Bu korporativ tarmoqlarga tashqaridan ruxsatsiz kirish xavfini keskin kamaytirishi mumkin, ammo bu xavfni umuman bartaraf etmaydi. Usulning xavfsizroq versiyasi maskarad bo'lib, mahalliy tarmoqdan kelib chiqadigan barcha trafik xavfsizlik devori serveri nomidan yuboriladi, bu esa yopiq mahalliy tarmoqni deyarli ko'rinmas holga keltiradi. 3.2. Proksi-serverlar. Ushbu usul yordamida tarmoqdagi ma'lumotlarni uzatish qoidalariga qat'iy cheklovlar qo'yiladi: mahalliy va global tarmoqlar o'rtasidagi barcha tarmoq / transport qatlami trafigiga to'liq taqiqlangan - shunchaki marshrutlash yo'q va mahalliy tarmoqdan qo'ng'iroqlar. global biri maxsus vositachi serverlar orqali sodir bo'ladi. Shubhasiz, ushbu usul bilan global tarmoqdan mahalliy tarmoqqa qo'ng'iroqlar printsipial jihatdan imkonsiz bo'lib qoladi. Bundan tashqari, bu usul yuqori darajadagi, masalan, dasturiy ta'minot darajasidagi hujumlardan etarli darajada himoya qilmasligi aniq. 4. Virtual xususiy tarmoqlarni (VPN) yaratish ma’lumotlarning maxfiyligini, uni tinglash yoki ma’lumotlarni uzatish jarayonida shovqinlardan himoya qilishni samarali ta’minlash imkonini beradi. Ular odatda Internet bo'lgan ochiq tarmoq orqali maxfiy, xavfsiz aloqalarni o'rnatishga va korporativ tarmoqlar chegaralarini uzoqdagi ofislarga, mobil foydalanuvchilarga, uy foydalanuvchilariga va biznes hamkorlarga kengaytirish imkonini beradi. Shifrlash texnologiyasi xabarlar va ularning qo‘shimchalarini shifrlash uchun ilg‘or matematik algoritmlarni qo‘llash orqali VPN orqali uzatiladigan xabarlarni vakolatli qabul qiluvchilardan tashqari boshqa shaxslar tomonidan tinglash yoki o‘qish imkoniyatini yo‘q qiladi. Cisco VPN 3000 Series kontsentratorlari eng yaxshi masofaviy ulanish VPN yechimi sifatida keng tan olingan. Cisco VPN 3000 kontsentratorlari yuqori ishonchliligi va noyob, maqsadli arxitekturasi bilan eng ilg'or imkoniyatlarga ega. Korporatsiyalarga juda muhim masofaviy kirish ilovalarini qo‘llab-quvvatlash uchun yuqori unumdor, kengaytiriladigan va kuchli VPN infratuzilmalarini yaratish imkonini beradi. Cisco 800, 1700, 2600, 3600, 7100 va 7200 marshrutizatorlari kabi VPNlar uchun optimallashtirilgan Cisco routerlari bir tarmoq saytidan ikkinchisiga VPN yaratish uchun ideal vositalardir. 5. Bosqinlarni aniqlash tizimlari va zaiflik skanerlari tarmoq xavfsizligining qo'shimcha qatlamini yaratadi. Xavfsizlik devorlari manba, maqsad, port yoki boshqa mezonlarga ko'ra trafikni ruxsat etsa yoki kechiktirsa ham, ular aslida hujumlar uchun trafikni tahlil qilmaydi va tizimdagi zaifliklarni qidirmaydi. Bundan tashqari, xavfsizlik devorlari odatda "insayderlar" ning ichki tahdidlari bilan shug'ullanmaydi. Cisco Intrusion Detection System (IDS) real vaqtda perimetr tarmog‘ini, biznes hamkor tarmoqlarini va tobora zaiflashib borayotgan ichki tarmoqlarni himoya qilishi mumkin. Tizim shubhali faoliyatni aniqlash uchun alohida paketlarni tahlil qilish uchun yuqori samarali tarmoq qurilmalari bo'lgan agentlardan foydalanadi. Agar tarmoqdagi ma'lumotlar oqimida ruxsatsiz harakat yoki tarmoq hujumi bo'lsa, agentlar real vaqt rejimida buzilishni aniqlashi, ma'murga signal yuborishi va tajovuzkorning tarmoqqa kirishini bloklashi mumkin. Tarmoqqa tajovuzni aniqlash vositalaridan tashqari, Cisco foydalanuvchi tarmog'idagi muayyan serverlarni, birinchi navbatda, veb va elektron tijorat serverlarini samarali himoya qiluvchi serverga asoslangan hujumlarni aniqlash tizimlarini ham taklif etadi. Cisco Secure Scanner - bu sanoat darajasidagi dasturiy ta'minot skaneri bo'lib, ma'murga tarmoq xavfsizligi zaifliklarini xakerlar ularni topishidan oldin aniqlash va tuzatish imkonini beradi. Tarmoqlar o'sishi va murakkablashishi bilan xavfsizlik elementlarini boshqarish uchun markazlashtirilgan xavfsizlik siyosati boshqaruvlarini talab qilish muhim bo'ladi. Xavfsizlik siyosatlarini aniqlash, boshqarish va tekshirish mumkin bo'lgan aqlli vositalar tarmoq xavfsizligi yechimlarining qulayligi va samaradorligini oshiradi. Bu sohadagi Cisco yechimlari xavfsizlikni boshqarishga strategik yondoshadi. Cisco Secure Policy Manager (CSPM) xavfsizlik siyosatlarining keng qamrovli va izchil amalga oshirilishini ta'minlash orqali korporativ tarmoqlarning Cisco xavfsizlik elementlarini qo'llab-quvvatlaydi. CSPM yordamida mijozlar yuzlab Cisco Secure PIX va Cisco IOS Firewall Feature Set xavfsizlik devori va IDS agentlarida xavfsizlik siyosatlarini belgilashi, amalga oshirishi va tasdiqlashi mumkin. CSPM virtual xususiy VPN-larni yaratish uchun IPsec standartini ham qo'llab-quvvatlaydi. Bundan tashqari, CSPM qismi keng qo'llaniladigan korporativ boshqaruv tizimi CiscoWorks2000 / VMS. Yuqoridagi usullarni umumlashtirgan holda shuni aytishimiz mumkinki, axborot tizimlarining rivojlanishi axborotni uzatish va himoya qilish texnologiyalarini parallel ravishda rivojlantirishni talab qiladi. Ushbu texnologiyalar uzatilayotgan ma'lumotlarning himoyasini ta'minlashi, tarmoqni "ishonchli" qilishlari kerak, ammo ishonchlilik emas hozirgi bosqich fizik darajada emas, balki mantiqiy (axborot) darajadagi ishonchlilik tushuniladi. Quyidagi tamoyillarni amalga oshiradigan bir qator qo'shimcha tadbirlar ham mavjud: 1. Jarayonlarning monitoringi. Jarayonlarni monitoring qilish usuli doimiy ravishda muayyan turdagi tekshiruvlarni amalga oshiradigan tizimning maxsus kengaytmasini yaratishdir. Ko'rinib turibdiki, ma'lum bir tizim o'zining axborot resurslariga tashqi kirish imkoniyatini bergandagina tashqi zaiflikka aylanadi. Bunday kirish vositalarini (server jarayonlarini) yaratishda, qoida tariqasida, mijoz jarayonlarining xatti-harakati bilan bog'liq apriori ma'lumotlarning etarli miqdori mavjud. Afsuski, aksariyat hollarda bu ma'lumot shunchaki e'tiborga olinmaydi. Tizimda tashqi jarayon autentifikatsiya qilingandan so'ng, u o'zining butun hayoti davomida ma'lum miqdordagi axborot resurslariga qo'shimcha tekshiruvlarsiz kirish huquqiga ega deb hisoblanadi. Garchi ko'p hollarda tashqi jarayonning xatti-harakatlarining barcha qoidalarini ko'rsatish mumkin bo'lmasa-da, ularni inkor qilish yoki boshqacha qilib aytganda, tashqi jarayon hech qanday sharoitda nima qila olmasligini ko'rsatish juda realdir. Ushbu tekshiruvlar asosida xavfli yoki shubhali hodisalarni kuzatish mumkin. Misol uchun, quyidagi rasmda monitoring elementlari va aniqlangan hodisalar ko'rsatilgan: DOS hujumi; foydalanuvchi tomonidan parolni kiritish xatosi; aloqa kanalida ortiqcha yuk. 2. Transmissiya texnologiyalarining takrorlanishi. Har qanday axborot uzatish texnologiyasining ichki kamchiliklari tufayli ham, tashqi ta'sirlar tufayli ham buzib kirish va xavf tug'dirish xavfi mavjud. Bunday vaziyatdan himoya qilish bir nechta turli uzatish texnologiyalarini parallel ravishda qo'llashda yotadi. Shubhasiz, takrorlash tarmoq trafigini keskin oshiradi. Shunday bo'lsa-da, bu usul xavf-xatarlarning narxi dan kelganda samarali bo'lishi mumkin mumkin bo'lgan yo'qotishlar takrorlash qo'shimcha xarajatlaridan yuqori bo'lib chiqadi. 3. Markazsizlashtirish. Ko'p hollarda standartlashtirilgan ma'lumot almashish texnologiyalaridan foydalanish standartlashtirish istagi bilan emas, balki aloqa protseduralarini qo'llab-quvvatlaydigan tizimlarning hisoblash quvvati etarli emasligi bilan bog'liq. Internetda keng tarqalgan “ko‘zgu” amaliyotini ham markazlashmagan yondashuv deb hisoblash mumkin. Resurslarning bir nechta bir xil nusxalarini yaratish real vaqt tizimlarida foydali bo'lishi mumkin, hatto qisqa muddatli nosozlik jiddiy oqibatlarga olib kelishi mumkin. Download 31,93 Kb. Do'stlaringiz bilan baham: