Parollami tutib olish maxsus ishlab chiqilgan dasturlar vositasida amalga oshiriladi. Konuniy foydalanuvchi tizimga kirish uchun harakat qilayotgan paytda tutib oluvchi dastur displey ekranida foydalanuvchi ismi va parolini kiritilishini imitatsiya qiladi, ular shu zahotiyoq tutib oluvchi dastur egasiga uzatiladi, shundan so‘ng ekranda xato sodir bo‘lgani to‘g‘risidagi ma’lumot paydo bo‘ladi va boshqaruv operatsiya tizimiga qaytadi. Foydalanuvchi parolni kiritishda xatoga yo‘l qo‘ydim deb o’ylaydi. Ú kirishni yana qaytaradi va tizimga kirish imkoniyatiga ega bo'ladi. Konuniy foydalanuvchining ismi va paroliga ega bo’lib oigan tutib oluvchi dastur egasi esa ulardan o‘z maqsadlarida foydalanish imkonini oladi. Parollami tutib olishning boshqa usullari ham mavjud.
«Maskarad».Biron foydalanuvchining tegishli vakolatlarga ega bo‘lgan boshqa foydalanuvchi nomidan ma’lum bir xatti-harakatlaming bajarishiga «maskarad» deyiladi. «Maskarad»dan ko‘zlanadigan maqsad bu biron- bir xatti-harakatlami boshqa foydalanuvchiga nisbat berish yoki boshqa foydalanuvchining vakolatlari va imtiyozlarining o‘zlashtirib olishdan iborat. «Maskarad»ning ishlatilishiga misollar:
tizimga boshqa foydalanuvchining ismi va pároli ostida kirish (bu «maskarad» oldidan parolni tutib olish amalga oshiriladi);
boshqa foydalanuvchi nomidan tarmoqda xabarlami uzatish.
«Maskarad» bank tizimidagi elektron to'lovlarda ayniqsa xavflidir, chunki bu erda buzg‘unchining «maskrad»i tufayli mijozning noto‘g‘ri identifikatsiya qilinishi bankning qonuniy mijoziga ancha-muncha zarar ketirishi mumkin. Imtiyozlardan noqonuniy foydalanish.Himoya tizimlarining ko‘pchiligi berilgan funksiyalarni bajarish uchun ma’lum imtiyozlar to’plamini 0‘matadilar. Har bir foydalanuvchi o‘z imtiyozlari to‘plamiga ega bo’ladi: oddiy foydalanuvchilar - minimal, administratorlar - maksimal. Imtiyozlaming, masalan, «maskarad» vositasida, egallab olinishi buzg’unchiga himoya tizimini chetlab o‘tib muayyan xatti-harakatlami amalga oshirish uchun imkoniyat beradi. Ta’kidlab o’tish lozimki, imtiyozlaming noqonuniy egallab olinishi himoya tizimidagi xato yoki administratoming tizimni boshqarishda va imtiyozlami belgilashdagi beparvoligi tufayli sodir bo‘lishi mumkin.
632
21 - bob. Axborot xavfsizligi
§ 21.3. AXBOROT XAVFSIZLIGINI TA’MINLASH
AXni ta’minlash muammosiga ikkita yondashuv mavjuddir: «fragmentar» va kompleksli. «Fragmentar» yondashuv mavjud shart-sharoitlarda aniq belgilangan tahdidlarga qarshi aks ta’sir ko‘rsatishga qaratilgan. Bunday yondashuvni amalga oshirishga misol sifatida kirishni boshqarishning ayrim vositalarini, ixtisoslashgan antivirusli dasturlami keltirish mumkin. Bunday yondashuvning afzal tomoni shundaki, bunda aniq tahdid bexato tanlab olinadi. Uning sezilarli kamchiligi esa axborotlarga ishlov berishning yagona himoyalangan muhiti yo'qligidadir. Kompleks yondashuv AXda axborotlarga ishlov berishning himoyalangan muhitini yaratishga qaratilgan bo‘ lib, bu muhit tahdidlarga qarshi aks ta’siming turli xil chora-tadbirlarini yagona kompleksga birlashtiradi. Axborotlarga ishlov berishning himoyalangan muhitini tashkil etish AXni ma’lum darajada kafolatlash imkonini beradi, bu esa kompleks yondashuvning shubhasiz afzalligidan dalolatdir. Bu yondashuvning kamchiliklari quyidagilardan iborat: AX foydalanuvchilarining harakat erkinligi cheklanganligi, himoya vositalarini o'matish va sozlashdagi xatoliklarga yuqori darajadagi sezgirlik, boshqarishning murakkabligi. Xavfsizlik siyosati ma’muriy-tashkiliy choralar, jismoniy va dasturiy-texnik vositalar yordamida amalga oshiriladi hamda himoya tizimi arxitekturasini belgilab beradi. Har bir muayyan tashkilot uchun xavfsizlik siyosati maxsus ishlab chiqilishi hamda undagi axborot ustida ishlashning aniq texnologiyasi va qo‘llanayotgan dasturiy, texnik vositalarga bog‘liq bo‘lishi kerak. Xavfsizlik siyosati tizim obyektlariga murojaat qilish tartibini belgilab beruvchi kirishni boshqarish usuli bilan belgilanadi. Xavfsizlik siyosatining ikkita asosiy turi farqlanadi: saylanma va vakolatli.
