28 ma’ruza. Tarmoqlarning apparat ta’minoti xavfsizligi

■ identifikatorlari tomonidan aniq ko'rsatilgan individual foydalanuvchilarga 
(yoki guruhlarga) ma'lum bir resursda muayyan operatsiyalarga ruxsat berilgan 
yoki rad etilgan tanlangan; 
■ majburiy, bunda barcha ma'lumotlar maxfiylik darajasiga qarab darajalarga 
bo'linadi va barcha tarmoq foydalanuvchilari ushbu ma'lumotlarga kirish darajasiga 
muvofiq ierarxiyani tashkil etuvchi guruhlarga bo'linadi. 
Avtorizatsiya protseduralari dasturiy ta'minot tomonidan markazlashtirilgan 
sxema bo'yicha amalga oshiriladi, unga ko'ra foydalanuvchi mantiqiy ravishda 
tarmoqqa bir marta kiradi va butun operatsiya uchun tarmoq resurslariga kirish 
uchun ma'lum ruxsatnomalar to'plamini oladi va har bir dasturga kirish kerak 
bo'lganda markazlashtirilmagan sxema. dasturning o'zi yoki u ishlayotgan 
operatsion muhit yordamida xavfsizlik vositalari tomonidan boshqarilishi mumkin. 
Autentifikatsiya va avtorizatsiya tizimlari bir xil vazifani bajaradiganligi 
sababli, ularga bir xil darajadagi talablarni qo'yish kerak. Bir tizimning 
ishonchsizligini boshqasining yuqori sifati bilan qoplab bo'lmaydi. 
Audit Bu himoyalangan tizim resurslariga kirish bilan bog'liq hodisalarning 
tizim jurnalidagi rekorddir. Audit tizimni buzishga bo'lgan muvaffaqiyatsiz 
urinishlarni aniqlash uchun ishlatiladi. Noqonuniy harakatlarni amalga oshirishga 
urinayotganda, audit tizimi huquqbuzarni aniqlaydi va jurnalga xabar yozadi. 
Jurnalda to'plangan va saqlanadigan ma'lumotlarni tahlil qilish ruxsatsiz kirishdan 
himoya qilishning samarali chorasi bo'lishi mumkin. 
qo'l siqish tartibi. Foydalanuvchilarni autentifikatsiya qilish uchun savol-javob 
tamoyili asosida qurilgan qoʻl siqish (Handshaking – kelishilgan almashish, 
tasdiqlash) protsedurasi keng qoʻllaniladi. Bu savollarga to'g'ri javoblarni faqat 
ushbu savollar uchun mo'ljallangan foydalanuvchilar beradi deb taxmin qiladi. 
Foydalanuvchining haqiqiyligini tasdiqlash uchun tizim unga ketma-ket tasodifiy 
tanlangan bir qator savollarni so'raydi, u javob berishi kerak. Agar foydalanuvchi 
barcha savollarga to'g'ri javob bergan bo'lsa, tan olish ijobiy hisoblanadi. 
Xavfsiz kanal texnologiyalari virtual xususiy tarmoqlarda keng qo'llaniladi, bu 
esa uzatiladigan ma'lumotlarni himoya qilish uchun qo'shimcha choralarni talab 
qiladi. Maxfiylik talabi ayniqsa muhimdir, chunki umumiy tarmoq orqali 
uzatiladigan paketlar manbadan manzilgacha bo'lgan yo'lda tugunlarning 
(serverlarning) har biridan o'tayotganda tutib qolish uchun zaifdir. Xavfsiz kanal 
texnologiyasi quyidagilarni o'z ichiga oladi: 
■ ulanishni o'rnatishda abonentlarni o'zaro autentifikatsiya qilish; 
■ kanal orqali uzatiladigan xabarlarni ruxsatsiz kirishdan himoya qilish; 
■ kanal orqali kiruvchi xabarlarning yaxlitligini tasdiqlash. 
Xavfsiz kanal dasturiy ta'minotining joylashgan joyiga qarab, uni 
shakllantirishning ikkita sxemasi mavjud. 
1. Oxirgi tugunlar bilan sxema (1-rasm, a). Ushbu sxemada xavfsiz kanal 
ikkita masofaviy kompyuterda o'rnatilgan dasturiy ta'minot orqali shakllantiriladi. 
Kompyuterlar bir tashkilotning ikki xil ASga tegishli bo‘lib, umumiy tarmoq orqali 
bir-biriga ulangan. 
Shakl 2. Xususiy va umumiy tarmoqlar o'rtasidagi chegarada joylashgan 
umumiy tarmoq xizmat ko'rsatuvchi provayder uskunasi bilan sxema (1-rasm, b). 

Ushbu sxemada xavfsiz kanal faqat umumiy paketli kommutatsiyalangan tarmoq 
ichida yotqizilgan. Himoya vositalari chetga kirish moslamalari (PAD) 
hisoblanadi.
 
Operatsion tizimlar tomonidan taqdim etilgan xavfsizlik xususiyatlari. 
Zamonaviy operatsion tizimlar ko'plab foydalanuvchilarga bitta kompyuter va 
tarmoq resurslariga kirishni ta'minlay oladi. Buning uchun turli xil parollar 
tayinlangan alohida hisoblar qo'llaniladi. Ro'yxatga olish ma'lumotlarini to'g'ri 
kiritgandan so'ng, foydalanuvchi OS va tarmoqqa kirishi mumkin; o'qish, 
resurslarni o'zgartirish va uning hisobi huquqlariga mos keladigan boshqa 
harakatlarni bajarish, kerakli foydalanuvchi interfeysi konfiguratsiyasini (ish 
muhiti) yaratish va h.k. 
Parollarni tanlash (yoki tayinlash) tarmoq xavfsizligi strategiyasiga bog'liq. 
Parollar ma'lum talablarga javob berishi kerak. Ko'pgina tarmoq operatsion 
tizimlari administratorga parol uzunligi va umrini belgilash imkonini beradi; 
lug'atda berilgan parol mavjudligi uchun parolni tekshiring va agar mavjud bo'lsa, 
paroldan foydalanishni oldini oling; foydalanuvchi paroli takrorlanmasligiga 
ishonch hosil qiling. Bundan tashqari, administrator resurslarga kirish ustidan keng 
qamrovli nazorat bilan ta'minlangan. Masalan, u bir vaqtning o'zida bir xil hisob 
qaydnomasiga fayl faylining mazmunini ko'rishga ruxsat berishi mumkin. doc, 
lekin unga o'zgartirish kiritishni taqiqlash; faylni o'qish, o'zgartirish, o'chirish 
huquqini berish2. doc va hatto unga boshqa foydalanuvchilarning kirish 
huquqlarini o'rnating va file3.doc fayliga barcha kirish huquqlarini bekor qiling. 
Yuqori darajada himoyalangan fayl tizimlarida ruxsatlar tarmoq bo'ylab 
resurslarni almashish va bir xil mahalliy kompyuterda ushbu resurslardan 
foydalanish uchun o'rnatilishi mumkin. Mahalliy va tarmoq ruxsatnomalari mos 
kelmasligi mumkin. Masalan, foydalanuvchiga faylni to'liq boshqarish huquqi 
berilishi mumkin4 . doc faylni saqlaydigan kompyuterga kirganda, lekin bir xil 
foydalanuvchining faylga kirishini cheklaydi4. doc tarmoqdagi boshqa 
kompyuterdan kirishga harakat qilganda. 
Administrator ushbu OS sukut bo'yicha (yuklangandan so'ng darhol) qanday 
kirish huquqlarini bilishi va hisobga olishi kerak. Shunday qilib, sukut bo'yicha, 
Windows NT/XP serverlarida umumiy resurs har qanday tarmoq foydalanuvchisi 
uchun mavjud. Resursga kirish huquqlarini cheklash uchun administrator ularni 
o'zgartirishi kerak va NetWare serverlarida umumiy resurs hech qanday 
foydalanuvchi uchun mavjud emas. Bu erda ruxsat berish uchun ma'murning aniq 
aralashuvi talab qilinadi. 

Windows NT tarmoq operatsion tizimi har bir foydalanuvchiga umumiy 
resursga kirishning to'rt turini (yoki imtiyozlarini) belgilash imkonini beradi: 
Kirish yo'q; to'liq kirish (To'liq nazorat); o'qish (o'qish), fayllar ro'yxatini ko'rish, 
fayllarni ochish, ularning mazmunini tekshirish va fayllarni o'z ommaviy axborot 
vositalariga nusxalash huquqini berish; tahrirlash (O'zgartirish), mavjud fayllar va 
kataloglarning mazmunini o'zgartirish uchun qo'shimcha (o'qish) qobiliyatini 
ta'minlash. Windows NT ham mahalliy fayllarga kirishni boshqarish imkonini 
beradi. Buning uchun fayllar yoki kataloglar NTFS fayl tizimi bilan belgilangan 
qattiq diskning mantiqiy qismida joylashgan bo'lishi kerak. Yuqoridagi 
imtiyozlarga qo'shimcha ravishda NTFS tizimi katalogdagi fayllarni ko'rish 
(Ro'yxat imtiyozi), tarkibini o'zgartirmasdan katalogga fayllar qo'shish (Qo'shish), 
mavjud fayllarni ko'rish va yangi fayllarni qo'shish (Qo'shish va o'qish) imkonini 
beradi. 
Administrator imtiyozlar qanday tayinlanganligini va mahalliy va umumiy 
resurslarga berilgan kirish huquqlari o'rtasidagi munosabatni tushunishi va 
foydalanuvchilarga imtiyozlarni belgilashning eng samarali usulini qo'llashi kerak. 
Shu bilan birga, foydalanuvchilarni ish uchun kerak bo'lmagan resurslarga kirish 
imkoniyatidan mahrum qilish kerak. 
Windows NT xavfsizlik tizimi barcha sodir bo'lgan hodisalarni jurnalga yozish 
imkoniyatini beradi. Biroq, hisobot berish uchun doimiy ishlaydigan ilovalar talab 
qilinadi, bu esa tarmoq unumdorligini pasaytiradi, shuning uchun ham ko'p vaqt 
talab qiluvchi hodisalarni qayd etish ma'mur va tarmoq foydalanuvchilari 
tomonidan tanlab olinishi va faqat buni talab qiladigan ish stantsiyalarida hodisalar 
jurnalini yoqishi kerak. Hodisalar jurnali tarmoqni boshqarishda foydali ma'lumot 
manbai bo'lishi mumkin. 

Download 341,82 Kb.

Do'stlaringiz bilan baham: