Ma’lumotlarni uzatish tarmog’ida axborotni ximoyalash usullari
Ma'lumotlarni uzatish tarmoqlarida axborot ximoyasini ta'minlash masalasi ma'lumotlar uzatish tarmog‘ining muayyan arxitekturasini amalga oshiruvchi va uning barkaror ishlashini ta'minlovchi apparat-dasturiy vositalari bilan bogliq holda yechilishi lozim.
Ma'lumotlarni uzatish tarmoqlarida axborot xavfsizligini ta'minlashga quyidagi talablar qo‘yiladi:
ma'lumotlarni uzatish tarmoqlarida axborot xavfsizligiga bo‘ladigan ma'lum taxdidlardan ximoyalash xizmati va mexanizmlarini belgilovchi funksional talablar;
axborot xavfsizligiga bo‘ladigan ma'lum taxdidlardan ximoyalash mexanizmini ma'lumotlarni uzatish tarmog‘i arxitekturasiga qay tarzda joriy etilishi lozimligini belgilovchi arxitekturaviy talablar;
boshqarishning qanday funksiyalari ishlab chiqilishi va ular qay tarzda ma'lumotlarni uzatish tarmog‘iga joriy etilishini belgilovchi boshqarish (ma'murlash) talablari.
Funksional talablar. Ma'lumotlarni uzatish tarmog‘i komponentlariga va arxitekturasiga real ta'sir etuvchi umumiy funksional talablar quyidagilar:
foydalanuvchini autentifikatsiyalash. Ma'lumotlarni uzatish tarmog‘ida axborot xavfsizligini ta'minlovchi tizim axborotni (ma'lu-motlarni) uzatish jarayonida ishtirok etuvchi komponentining (ob'ekt, sub'ekt va foydalanuvchining) xakikiyligini anikdash imkoniyatini ta'minlashi lozim;
nazoratlanuvchi foydalanish. Ma'lumotlarni uzatish tarmogida ax¬ borot xavfsizligini ta'minlovchi tizim tarmok, sub'ektlari va foydala-
nuvchilarining ruxsat etilmagan axborot resurslaridan foydalana olmas- liklarini kafolatlashi l ozim;
konfidentsiallikni ta'minlash. Konfidentsiallikni ta'minlash xizmati asosan ma'lumotlarni uzatish tarmogini axborot muxitini ochish, axborotdan ruxsatsiz foydalanish va ugirlash imkoniyatlaridan ximoyalash uchun zarur xisoblanadi;
ma'lumotlar yaxlitligini ta'minlash. Ma'lumotlarni uzatish tarmogida axborot xavfsizligini ta'minlovchi tizim tarkibida foydala- nuvchi va boshkarish axboroti bulgan ma'lumotlarning saklanish va uzati-
lish yaxlitligini kafolatlashi lozim. Ma'lumotlarning buzilishi, soxta- lashtirilishi, kechiktirilishi, ruxsatsiz kaytalanishi axborot uzatili- shininig blokirovka kilinishiga olib kelishi mumkin;
tsatiy xisob-kitob. Ma'lumotlarni uzatish tarmogi resurslaridan foydalanuvchi xar kanday sub'ekt bajargan xar kanday amallari uchun ja- vob berishi lozim. Ma'lumotlarni uzatish tarmogi ustida kilingan barcha xarakatlar va tarmokda sodir bulgan barcha xodisalar xususidagi axborot- ning saklanish imkoniyati ta'minlanishi lozim;
xavfni bildiruvchi signalni generatsiyalash. Ma'lumotlarni uzatish tarmogi tarmok, axborot xavfsizligi ob'ektlari tomonidan xavfsizlik- ning buzilishi xususidagi signalni generatsiyalash imkonini ta'minlashi lozim;
audit. Audit tizimni boshkarishning samaradorligini bax,olash x,amda axborot xavfsizligining buzilishini anikdash mak,sadida tizimli yozuvlarni va amallarni mustak,il taxlillash va tadkiklash sifatida kurilishi lozim;
tiklash. Ma'lumotlarni uzatish tarmogida axborot xavfsizligini ta'minlash tizimi xavfsizlikning buzilishini tiklash krbiliyatiga ega bulishi lozim. Xar doim, kachon axborot xavfsizligini buzishga urinish sodir bulganida, tizim ushbu urinish xususidagi axborotni shunday ishla- shi lozimki, ushbu urinish ma'lumotlarni uzatish tarmogining utkazish krbiliyatini va foydalanuvchanligini jiddiy pasayishiga olib kelmasin;
moslanuvchanlik. Ma'lumotlarni uzatish tarmogida axborot xav- fsizligini ta'minlash tizimiga kuyiladigan muxim kontseptual talab- moslanuvchanlik talabi, ya'ni aloka tarmogining tuzilmasi, texnologiyasi
va ishlash sharoiti uzgarganida moslashuv krbiliyati talabidir.
Arxitekturaeiy talablar. Ma'lumotlarni uzatish tarmogida axbo¬rot xavfsizligini ta'minlash tizimi axborot xavfsizligining turli siyo-satini madadlashi, ya'ni moslanuvchan bulishi lozim. Tizimga kyidagi aso-siy xizmatlar kiritilishi mumkin:
shifrlash kalitlarini va parollarni shakllantirish, saklash va taksimlash xizmati;
shifrlash xizmati;
foydalanuvchilarni va xabarlarni autentifikatsiyalash xizmati;
foydalanishni boshkarish xizmati;
xabarlar yaxlitligini ta'minlash xizmati;
foydalanuvchanlikni ta'minlash xizmati;
etkazilganlikni tasdiklash xizmati;
rad k,ilmaslik xizmati;
kushimcha trafikni shakllantirish xizmati;
ma'murlash xizmati.
Bu xizmatlarning xar biri axborot xavfsizligini ta'minlash buyicha masalalarni mustak,il tarzda u yoki bu ximoya mexanizmlaridan foydalanib echishi mumkin. Bunda ximoyaning bitta mexanizmi axborot xavfsizligining turli xizmatlarida kullanilishi mumkin.
Boshtsarish (ma'murlash) talablari. Ma'lumotlarni uzatish tarmogida axborot xavfsizligini ma'murlash xizmati ximoyaning texnik vositalarini tuldiruvchi ximoya choralarining ma'lum kompleksini uz ichi¬ga oladi. Bu ximoya choralari buzgunchining tarmok, axborot xavfsizligiga tax,didni kuchaytirishga k,aratilgan u yoki bu ta'sirni utkazishini k,iyinlashtirish maksadida mavjud x,imoya tizimiga operativ tarzda uzgartirishlar kiritishga imkon yaratadi.
Ma'murlash xizmatining asosiy vazifalari k,uyidagilar:
ximoya xizmati va mexanizmiga zarur axborotni tarkatish;
xdmoya xizmati va mexanizmining ishlashi xususidagi axborotni yigash va taxlillash;
xdmoyalanuvchi ob'ektlarni aniklash;
xizmat funktsiyalarini samarali amalga oshirish maksadida xdmoya mexanizmlarini kombinatsiyalash;
ma'lumotlarni uzatish tarmogining ishonchli va barkaror ishlashi-
ni ta'minlash xizmatlariga javobgar boshka ma'murlar bilan uzaro aloka;
-ma'lumotlarni uzatuvchi tarmokning buzilgan ishlash jarayonini tiklash. Xavfsizlik ma'muri ma'murlash xizmatining muxim elementi xisoblanadi.
Axborot xavfsizligining xdr kanday vositalaridan foyda-lanilmasin, ma'lumotlarni
uzatish tarmogida axborot xavfsizligini ta'minlash sifati ma'murning krbiliyatiga, uning tirishishiga, texnik jixozlanganligiga bogaik,.
Ta'kidlash lozimki, birorta xam real ximoyalangan ma'lumotlarni uzatish tarmoga mutlok, xdmoyalangan bulmaydi. Shunga karamasdan x,imoyaning adekvat choralari buzgunchi ta'siri samarasini (zarar keltirish xarajatining kutilayotgan zarar ulchamiga nisbatini) anchagina pasaytira-di.
11.2. Alo^a kanallarida ma'lumotlarni z^imoyalash usullari
Ma'lumotlarni uzatishni ximoyalash masalasini echish usullarining uchta asosiy guruxi mavjud: kanalga muljallangan ximoyalash usullari, chekkalararo x,imoyalash usullari va ulanishga muljallangan ximoyalash usullari. Birinchisi x,ar bir kanal uchun mustakil ravishda ma'lumotlar ok,imini x,imoyalashni ta'minlasa, ikkinchisi x,ar bir xabarni, uni manba-dan adresatgacha uzatishda umumiy x,imoyalashni ta'minlaydi. Uchinchi usul ikkinchi usulning bir turi xisoblanadi.
Kanalga muljallangan usullar manba va adresatga bogaik, bulmagan xrlda, alox,ida uzellar orasidagi alox,ida alok,a kanali buyicha uzatilayot-gan xabarlar ok,imini xdmoyalashni ta'minlaydi. Bu xil x,imoyani ta'min-
lashda buzgunchining uzelga (paketni kommutatsiyalovchi markazga) Karaganda kanalga ta'sir etish kulayligi faraz kilinadi. Undan tashkari, ma'lumot¬larni uzatish tarmogidagi uzellarni foydalanuvchi terminallarini ximoyalagandek ximoyalash mumkin emas yoki iktisod nuktai nazaridan foy- dasiz. Ushbu gurux, usullarining kamchiligi-kism tarmok, uzellaridan biri-ning ochilishi tarmok, orkali utayotgan xabarlar okimining talaygina kismini ochilishiga olib kelishi mumkin.
Terminallar va tarmokdar urtasidagi aloka kanallarini kanalga muljallangan ximoyalash xarajatlari bevosita daxldor taraflar tomoni-dan krplansada, ma'lumotlarni uzatish kiem tarmoga ichidagi kanalga muljallangan ximoyalash usullarining umumiy narxi kiem tarmokdan foy-dalanuvchilarning barchasi urtasida xisoblab chik,ilishi mumkin.
Chekkalararo hmoyalash usullari xabarlarni manba uzellari va kabul kiluvchi orasida uzatish jarayonida shunday x,imoyalaydiki, manba va adresat orasidagi alok,a kanallaridan birining ochilishi xabarlar okimining ochilishiga olib kelmaydi. Ushbu usullarning asosiy afzalligi - ulardan foydalanish masalasi alox,ida foydalanuvchilar orasida, boshka foydala-nuvchilarni jalb etmasdan, echilishi mumkin.
Ulanishga muljallangan usullar. Aksariyat k,ullanish sox,alarida ma'lumotlarni uzatish tarmogini manbadan adresatgacha ulanishni yoki vir-tual kanalni urnatish uchun foydalanuvchiga takdim etiluvchi mux,it sifa-tida tasavvur etish mumkin. Bunday tasavvur etishda x,imoya ulanishga mulljallanishi faraz k,ilinadi, ya'ni, x,ar bir ulanish yoki virtual kanal alox,ida x,imoyalanadi. Shunday k,ilib, ulanishga muljallangan usullar chek-kalar aro ximoyalash usullarining bir turi xisoblanadi. Ulanishga muljallangan usullar turli sharoitlarda umumiy ximoyaning yukrri dara-jasini ta'minlaydi va ximoyaga k,uyiladigan talablar xususidagi foydala-nuvchining idrokiga moe keladi. Chunki, ulanishga muljallangan axborot konfidentsialligini ximoyalash usullari asbob-uskunani ximoyalashni, ma-salan, fak,at xabarlar manbaida va kabul kiluvchida axborotdan ruxsatsiz foydalanishdan x,imoyalashni kuzda tutadi. Ayni vaktda x,imoyalashning ka¬nalga muljallangan usullari ruxsatsiz foydalanishdan ximoyalashning
ma'lumotlarni uzatish tarmogidagi xar bir uzeli tomonidan ta'minlani-shini talab etishi mumkin. ammo, ba'zida ikkala usulni kullaganda ximoyalashning tejamli darajasiga erishiladi.
Ma'lumotlarni uzatishni ximoyalashning u yoki bu usulidan foydala-nishdagi asosiy vazifalar kuyidagilar:
xabarlar mazmunining fosh kilinishini oldini olish;
xabarlar okimining taxlillanishini oldini olish;
xabarlar okimi xakikiyligini buzilganligini aniklash;
yolgon ulanishni aniklash.
Axborot tizimlari yoki ma'lumotlarni uzatish tarmoklarida axborot xavfsizligini ta'minlash maksadida ma'lumotlarni uzatishni ximoyalash usullaridan nafakat buzgunchi ta'siri okibatlarini anikdashni, balki, agar okibatlar vaktincha xarakterga ega bulganida, uzilgan (buzilgan) uza¬tish jarayonini avtomatik tarzda tiklashni talab etish kerak.
Xrzirda yukrrida keltirilgan vazifalarning bajarilishini ta'min-lovchi ximoyalashning standartlashtirilgan mexanizmlari mavjud emas. Xdr bir muayyan x,olda ma'lumotlarni uzatish xavfsizligi masalalari axborot-larni kriptografik uzgartirish usullari, axborotlarni x,alallarga bar-dosh kodlash usullari, xabarlarning xakikiyligini ta'minlovchi usullar, tizimlar ishlashining ishonchliligini, yashovchanligini va bark,arorligini ta'minlovchi usullarga asoslangan ximoyalashning turli mexanizmlarini birgalikda ishlatish ork,ali x,al etiladi.
Xabarlar mazmunining fosh tsilinishini oldini olishda ximoyalashning kanalga muljallangan x,amda ulanishga muljallangan usul¬laridan foydalanish mumkin.
Yukrrida aytib utilganidek, kanalli shifrlash aloka tarmogining x,ar bir kanalida mustak,il tarzda bajarilishi mumkin. Kanalli shifr-lashda, odatda, ok,imli shifrlash ishlatiladi va uzellar orasida shifrlan-gan matn bitlarining uzluksiz okimi madadlanadi. Tarmokdarda kommuta-tsiyalash (marshrutlash) vazifalari fak,at uzellarda bajarilishi sababli, aloka kanalida paketning sarlavx,alari bilan birga axborot k,ismini x,am shifrlash mumkin.
AMMO ma'lumotlar fakat kanalda (kanallar orkali ulangan uzellar-da emas) shifrlanishi sababli barcha oralik, uzellar ximoyalanishi lozim. Buning ustiga uzellarni nafakat fizik ximoyalanishi, balki bu uzellar-ning apparat-dasturiy vositalari tomnidan uzellar orkali utuvchi xar bir ulanishdagi axborotni yakkalashi kafolatlanishi zarur.
Chekkalar aro shifrlashda marshrutizatorda ishlanuvchi xar bir xabar (sarlavxaning ba'zi ma'lumotlari bundan istisno) yul boshida shifrlana-di va belgilangan joyga etmaguncha rasshifrovka kilinmaydi. Xar bir ulanish uchun uzining kaliti ishlatilishi mumkin.
Xabarlar otsimini taxlillanishidan ximoyalash, odatda, turli sin-flarga mansub xabarlar uzunligi va chastotasining kiymatlarini, manba adreslarini va xabarlar okimi adreslarini berkitishga yunaltirilgan. Agar kanalli shifrlash ishlatilsa, uzellar orasida ma'lumotlar uzatilga-nida shifrlangan matn bitlarining uzluksiz okimi urnatilishi mumkin. Bu esa chastota kiymatlarini va ulanishning davomligini berkitishga im-kon beradi. Bunday yondashishda tarmokning samarali utkazish krbiliyati pasaymaydi, chunki xech k,anday kushimcha axborot talab etilmaydi. Ammo, uzel ochilsa bu uzel ork,ali utuvchi xabarlarning butun okimi taxlillash mavzuiga aylanadi.
Ximoyalashning chekkalararo usullaridan foydalanilganda uzatiluvchi xabarlarning x,ak,ik,iy chastotasi va uzunligini berkitish uchun turli uzun-likdagi "bush" xabarlar generatsiyalanishi, xakikiy xabar esa bush simvol-lar bilan tuldirilishi mumkin. K,abul kiluvchi begona kengayishlarni va "bush" xabarlarni aniklashda xabardagi shifrlangan x,oshiyadan foydala-nishi mumkin.
Aksariyat ilovalarda okimni taxlillash ork,ali axborotni chik,arib olish ikkinchi darajali xavf sifatida talkin kilinishi va maxsus k,arshi choralar kurilmasligi mumkin.
Xabarlar satxida xatshiylikni tasditslash xabarlarni kechiktirish, ularni yuk, kilish, almashtirib k,uyish yoki kaytalash kabi ta'sirlardan x,imoyalashni ta'minlamaydi. Shunga karamasdan, bunday taxdidlardan x,imoyalashning turli usullari mavjud:
xabarlarni nomerlash. Xdr bir xabarni nomerlab, nomerni xabar tarkibiga kiritib, demak, shifrlab uzatish orkali xabarning
xakikiyligiga ishonch xrsil kilish mumkin. Tarmokning xar bir ob'ekti u bilan alokada buluvchi ob'ektlarning xar biri uchun alox,ida sanagichlarga
(schetchiklarga) ega bulishi lozimligi bu muolajaning kamchiligi
xisoblanadi.
vaktni belgilash. K,abul kiluvchi xar bir uzatilgan xabarning kuni va vaktini bilgan xrlda uning adekvatligini tekshirishi mumkin. Bunday belgilashning intervali va anikligi shunday tanlanishi lozimki, bir to- mondan xatoli xabarlar, ikkinchi tomondan uzatish kanaliga xos bulgan tabiiy kechikish aniklanishi mumkin bulsin.
tasodifiy sonlardan foydalanish. Vaktning real masshtabida ikki
tomonlama aloka ishlatilganida kabul kiluvchi junatuvchiga
xabar
junatilmasdan oldin tasodifiy son yuboradi. Junatuvchi bu sonni shifr- langan xabarga shunday urnatadiki, kabul k,iluvchi uni tekshirishi mumkin bulsin. Shu tarzda yolgon xabarlar chikarib tashlanishi mumkin.
- xar bir ulanish uchun alox,ida kalitdan foydalanish. Natijada olingan xabarda ulanishning oshkor bulmagan identifikatsiyalanishi amal- ga oshiriladi.
Xabarlar otsimi uzilishini anitslash masalasini "surov-javob" pro-tokolidan
foydalanib x,al etish mumkin. Bunday protokolning tarkibida ulanishning vaktinchalik yaxlitligini va mak,omini urnatuvchi xabarlar juftini almashish muolajasi buladi. Ulanishning xar bir chekkasida "xa¬bar-surov" uzatishni vakti- vakti bilan ishga tushiruvchi taymer ishlatila-di va "xabar-surov" uzatishga ulanishning boshka chekkasidan javob olina-di. Xar bir "xabar-surov"da peredatchik axboroti mavjud bulib, bu axbo-rot ulanishdagi xabar yukrtilishini anikdashga imkon beradi.
Yolgon ulanishni anitslash uchun xar bir chekkadagi "ulanishga javob- gar"ning x,ak,ik,iyligini va ulanishning vaktinchalik yaxlitligini tekshi-rishga ishonchli asosni ta'minlovchi k,arshi choralar ishlab chik,ilgan.
Ulanish boshlanishi vaktida xar bir chekkada ulanishga javobgarning xakikiyligini tekshirish keyingi xabarlar okimining xakikiyligi xusu-sida karor kabul kilishga asos xisoblanadi.
Ulanishning vaktinchalik yaxlitligini tekshirish buzgunchining ol-dingi k,onuniy ulanish yozuvidan foydalanib, foydalanuvchini xato fikrga solishidan yoki adashtirishidan, ma'lumotlar uzatish jarayonini buzishidan x,imoyalaydi.
Do'stlaringiz bilan baham: |