3. Shifrlash va raqamli imzo.
Shifrlash protsedurasidan foydalanib, xabarni yuboruvchi uni qabul qiluvchiga ma'lum bo'lgan maxsus kalitni ishlatmasdan o'qib bo'lmaydigan belgilar to'plamiga o'zgartiradi. Kalitni ishlatgan holda xabar qabul qiluvchisi unga berilgan belgilar to'plamini matnga o'zgartiradi. Odatda, shifrlash algoritmlari ma'lum va sir emas. Shifrlangan ma'lumotlarni uzatish va saqlashning maxfiyligi kalitning maxfiyligi bilan ta'minlanadi. Xavfsizlik darajasi shifrlash algoritmiga va bit bilan o'lchanadigan kalit uzunligiga bog'liq. Kalit qancha uzoq bo'lsa, himoya shunchalik yaxshi bo'ladi, lekin ma'lumotlarni shifrlash va shifrlash uchun ko'proq hisob-kitoblarni amalga oshirish kerak. Shifrlash algoritmlarining asosiy turlari nosimmetrik va assimetrikdir. Simmetrik shifrlash usullari qulaydir, chunki ma'lumotlar uzatilishining yuqori darajadagi xavfsizligi uzoq kalitlarni yaratishni talab qilmaydi. Bu sizga katta hajmdagi ma'lumotlarni tezda shifrlash va shifrlash imkonini beradi. Shu bilan birga, jo'natuvchi ham, ma'lumot oluvchi ham bir xil kalitga egadir, bu esa jo'natuvchini autentifikatsiya qilishni imkonsiz qiladi. Bundan tashqari, nosimmetrik algoritmdan foydalanishni boshlash uchun tomonlar maxfiy kalitni ishonchli tarzda almashishlari kerak, uni shaxsan bajarish juda oson, ammo agar zarur bo'lsa, kalitni har qanday aloqa vositalari orqali uzatish juda qiyin. Nosimmetrik shifrlash algoritmidan foydalangan holda ish sxemasi quyidagi bosqichlardan iborat. Tomonlar o'zlarining kompyuterlariga ma'lumotlarni shifrlash va shifrlash va maxfiy kalitlarning dastlabki avlodini ta'minlovchi dasturiy ta'minotni o'rnatadilar.
Maxfiy kalit yaratiladi va ma'lumotlar almashinuvi qatnashchilari o'rtasida taqsimlanadi. Ba'zan bir martalik kalitlarning ro'yxati tuziladi. Bunday holda, har bir ma'lumot uzatish seansi uchun noyob kalit ishlatiladi. Shu bilan birga, har bir seansning boshida jo'natuvchi qabul qiluvchiga ushbu xabarda foydalangan kalitning seriya raqami haqida xabar beradi. Yuboruvchi nosimmetrik shifrlash algoritmini amalga oshiruvchi o'rnatilgan dastur yordamida ma'lumotni shifrlaydi, shifrlangan ma'lumot oluvchiga aloqa kanallari orqali uzatiladi. Qabul qiluvchisi ma'lumot yuboruvchisi bilan bir xil tugmachadan foydalanib shifrni ochadi. Ba'zi nosimmetrik shifrlash algoritmlari haqida qisqacha ma'lumot beramiz.
DES (ma'lumotlarni shifrlash standarti). IBM tomonidan ishlab chiqilgan va 1977 yildan beri keng qo'llaniladi. Hozirgi vaqtda u biroz eskirgan, chunki unda ishlatiladigan kalit uzunligi barcha mumkin bo'lgan kalitlarni batafsil qidirish orqali buzilishga qarshilik ko'rsatish uchun etarli emas.
Uch karra DES. Bu DES algoritmini DES algoritmini uch marta turli xil tugmachalar yordamida shifrlash uchun ishlatiladigan takomillashtirilgan versiyasidir. DES-ga qaraganda yorilishga ancha chidamli. Rijndael. Algoritm Belgiyada ishlab chiqilgan. U uzunligi 128, 192 va 256 bitli tugmachalar bilan ishlaydi. Hozirda kriptografiya mutaxassislaridan shikoyatlar yo'q. Skipjack Algoritm AQSh milliy xavfsizlik agentligi tomonidan yaratilgan va ishlatilgan. Kalit uzunligi - 80 bit. Shifrlash va shifrni ochish tsikl bo'yicha amalga oshiriladi (32 tsikl). IDEA. Algoritm AQSh va bir qator Evropa mamlakatlarida patentlangan. Ascom-Tech patent egasi. Algoritm unga bir qator matematik operatsiyalarni qo'llash orqali axborotni siklli qayta ishlashdan (8 tsikl) foydalanadi. RC4. Algoritm katta hajmdagi ma'lumotlarni tez shifrlash uchun maxsus ishlab chiqilgan. U o'zgaruvchan uzunlikdagi kalitdan foydalanadi (kerakli ma'lumotni himoya qilish darajasiga qarab) va boshqa algoritmlarga qaraganda ancha tez ishlaydi. RC4 oqim shifrlari deb ataladigan narsalarga ishora qiladi.
Elektron raqamli imzo (ERI) bu qo'lda yozilgan imzoning elektron ekvivalenti. ERI nafaqat xabarni yuboruvchini tasdiqlash, balki uning yaxlitligini tekshirish uchun ham xizmat qiladi. Xabarni yuboruvchini tasdiqlash uchun ERIdan foydalanishda ochiq va shaxsiy kalitlardan foydalaniladi. Ushbu protsedura assimetrik shifrlashda bajarilganga o'xshaydi, ammo bu holda shifrlash uchun shaxsiy kalit ishlatiladi, ochiq kalit esa shifrlash uchun ishlatiladi.
ERIni qo'llash algoritmi bir qator operatsiyalardan iborat. Kalitlar juftligi yaratiladi - jamoat va shaxsiy. Ochiq kalit manfaatdor tomonga beriladi (kalitlarni yaratgan tomon imzolagan hujjatlar qabul qiluvchisi). Xabarni yuboruvchi uni shaxsiy kaliti bilan shifrlaydi va uni aloqa kanallari orqali oluvchiga uzatadi. Qabul qiluvchi xabarni jo'natuvchining ochiq kaliti yordamida hal qiladi.
Mahalliy matbuot materiallari asosida.
Umuman olganda, har qanday elektron tijorat tizimining xavfsizligi uni har qanday ma'lumotlarning aralashuvidan himoya qilishdir. Ushbu aralashuvlarning barchasini bir nechta toifalarga bo'lish mumkin:
Ma'lumotni o'g'irlash (masalan, ma'lumotlar bazasidan kredit karta raqamlarini o'g'irlash);
· Shovqin (masalan, bunday katta hajmdagi ma'lumot uchun mo'ljallanmagan sayt ma'lumotlarini ortiqcha yuklash);
Ma'lumotlarning buzilishi (masalan, to'lovlar va schyot-fakturalardagi summalarni o'zgartirish yoki ma'lum bir saytga o'tadigan ma'lumotlarni uzatish uchun mavjud bo'lmagan sertifikatlar yoki saytlarni yaratish);
Ma'lumotlarni yo'q qilish (masalan, saytdan yoki saytdan foydalanuvchidan uzatishda);
· Harakatlar qilishdan bosh tortish (masalan, buyurtma berish yoki tovarni qabul qilish faktidan);
· Vijdonli foydalanuvchi saytni bila turib noto'g'ri ishlatishi;
Ma'lumotlarga ruxsatsiz kirish:
Ma'lumotlardan ruxsatsiz nusxalash, yangilash yoki boshqa maqsadlarda foydalanish;
Ruxsatsiz bitimlar;
· Ma'lumotni ruxsatsiz ko'rish yoki uzatish (masalan, suhbat yoki forumda taxalluslar o'rniga tashrif buyuruvchilarning haqiqiy ismlarini ko'rsatish).
Shu bilan birga, xavfsizlik masalalarida huquqiy xarakterga ega bo'lgan bir qator ob'ektiv muammolar mavjudligini hisobga olishning iloji yo'q - texnologiyalar qonunchilik bazasiga qaraganda tezroq rivojlanadi, tajovuzkorni jinoyat sodir bo'lgan joyda ushlash qiyin, va jinoyat izlari va izlari osongina yo'q qilinadi. Bularning barchasi kompaniyalarning elektron bizneslarini himoya qilish siyosatini sinchkovlik bilan ishlab chiqishni talab qiladi. To'liq va mutlaq xavfsizlikka erishib bo'lmaydi, chunki elektron biznes tizimlari turli xil etkazib beruvchilar tomonidan tayyorlangan va buyurtma asosida tayyorlangan dasturiy ta'minot dasturlari va tegishli xizmat ko'rsatuvchi provayderlar yoki biznes sheriklar tomonidan taqdim etiladigan tashqi xizmatlarning katta qismi asosida qurilgan. Ushbu tarkibiy qismlar va xizmatlarning sezilarli qismi odatda mijozlar kompaniyasining IT mutaxassislari uchun noaniqdir, bundan tashqari, ularning aksariyati ko'pincha yaratuvchilari tomonidan o'zgartirilib, takomillashtirilmoqda. Bularning barchasini himoya qilishda mumkin bo'lgan nuqsonlarni sinchkovlik bilan tekshirish mumkin emas va bu nuqsonlarni bartaraf etish yanada qiyinroq. Agar iloji bo'lsa ham, inson omili deb ataladigan narsadan voz kechish mumkin emas, chunki barcha tizimlar odamlar tomonidan yaratilgan, o'zgartirilgan va nazorat qilingan. Kompyuter xavfsizligi instituti tadqiqotiga ko'ra, respondentlarning 81 foizi kompaniyalar uchun eng katta xavotir ichki xavf - qasddan yoki bexosdan ekanligini ta'kidlagan. o'z xodimlarining harakatlari.
Ichki tahdidlardan himoya qilish muammosining ikkita jihati mavjud: texnik va tashkiliy. Texnik jihat - ma'lumotlarga ruxsatsiz kirishning har qanday ehtimolini istisno qilish istagi. Buning uchun quyidagi taniqli vositalarni qo'llang:
parolni qo'llab-quvvatlash va ularni doimiy ravishda o'zgartirish; tizimni boshqarish uchun zarur bo'lgan minimal huquqlarni ta'minlash;
xodimlar o'zgarganda yoki xodimni ishdan bo'shatgandan so'ng kirishni darhol yo'q qilishda kirish guruhini o'z vaqtida o'zgartirish uchun standart protseduralar mavjudligi.
Tashkiliy jihat shundaki, kompaniyalar tomonidan kamdan-kam foydalaniladigan xakerlik xurujlaridan himoya qilish va oldini olish usullaridan foydalanadigan odatiy operatsiyalarga aylanadigan oqilona ichki mudofaa siyosatini ishlab chiqish:
· Korxonada xavfsizlikning umumiy madaniyatini joriy etish
· Hack uchun dasturiy ta'minotni sinovdan o'tkazish;
Har qanday xakerlik urinishlarini (qanday muvaffaqiyatli yakunlangan bo'lishidan qat'iy nazar) kuzatib borish va puxta tadqiq qilish;
Xavfsizlik va kiber jinoyatchilik masalalari bo'yicha xodimlar uchun har yili o'tkaziladigan treninglar, shu jumladan xakerlik hujumlarining aniq belgilari to'g'risidagi ma'lumotlarni, bunday xatti-harakatlarni aniqlay oladigan xodimlar sonini ko'paytirish uchun;
Ma'lumotlarning tasodifiy o'zgartirilishi yoki yo'q qilinishi holatlarida aniq muolajalarni joriy etish.
Tashqi buzg'unchilikdan himoya qilish uchun bugungi kunda juda ko'p tizimlar mavjud bo'lib, ular barcha turdagi filtrlardan iborat bo'lib, ular dastlabki bosqichlarda xakerlik urinishlarini aniqlashga imkon beradi va iloji bo'lsa, buzg'unchilarning tashqi tarmoqlar orqali tizimga kirishiga to'sqinlik qiladi.
Routerlar - ikkinchi darajali tarmoqlar o'rtasida joylashgan va unga ulangan tarmoq segmentlarining kirish va chiqish trafiklarini boshqaruvchi tarmoq trafigini boshqarish moslamalari;
Xavfsizlik devori - shaxsiy tarmoqlarni ommaviy tarmoqlardan ajratish vositasi bo'lib, so'rov turlarini maxsus boshqarish vositasida saytga tashqi hujumlarni kuzatib boruvchi va bostiradigan dasturlardan foydalanadi;
dastur shlyuzlari - tarmoq ma'muri paketli filtrlash marshrutizatorlarini boshqaruvchi xavfsizlik siyosatini amalga oshirish vositasi;
Kirishni aniqlash tizimlari (IDS) - foydalanuvchilar tomonidan ataylab hujumlar va tizim resurslaridan suiiste'mol qilinishini aniqlaydigan tizimlar;
· Xavfsizlikni baholash vositalari (maxsus skanerlar va boshqalar) - muammolarni muntazam ravishda tekshirib turadigan va amalga oshirilayotgan xavfsizlik siyosati samaradorligini sinab ko'radigan dasturlar.
Umuman olganda, kompaniya qilish kerak bo'lgan birinchi narsa bu nimadan va kimdan himoya qilinishi kerakligini aniqlash. Bu sohada asosiy ishtirokchilar - kompaniya aktsiyadorlari, iste'molchilar, ishchilar va biznes sheriklardir va ularning har biri uchun o'zlarining himoya sxemalarini ishlab chiqish kerak. Kompaniya faoliyatining turli sohalarida elektron biznes-ilovalarni va ularni himoya qilish vositalarini amalga oshirishda qo'llanma sifatida xizmat qilish uchun xavfsizlikning barcha talablari hujjatlashtirilgan bo'lishi kerak. Bundan tashqari, bu kompaniya ichidagi xavfsizlik muammolariga xizmat ko'rsatish uchun alohida byudjetni yaratishga yordam beradi va ushbu ehtiyojlar uchun xarajatlarni optimallashtirishga yordam beradi, har bir individual biznes loyihani ishlab chiqishda har qanday xavfsizlik muammolarining takrorlanishini bartaraf qiladi.
Afsuski, bugungi kunda amaliyot shundan iboratki, himoya qilish siyosati IT bo'limi menejerlari tomonidan amalga oshiriladi, ularning xodimlari texnologik masalalar ba'zi "qog'oz" talablaridan ko'ra muhimroq, deb hisoblashadi va bundan tashqari ular biznesni muayyan sohalarida mutaxassilar emasligini ham talab qiladilar. kompaniya ichidagi xavfsizlik tartiblari.
Bunga qo'shimcha ravishda, turli xil dasturlarni birlashtirishda, o'rnatilgan har bir mahsulotni ishlab chiqaruvchilarga ma'lum bo'lmagan muayyan muammolar paydo bo'lishi mumkin. Bunday o'zaro ta'sirlarni o'rganish har qanday texnologik va byudjet echimlaridan oldin bo'lishi kerak. Va shu paytgacha bunga juda kam e'tibor qaratildi.
Do'stlaringiz bilan baham: |