Презентация на тему Компьютерлік жүйелердің қауіпсіздігі. Жергілікті желілерді қорғау. Жеке ақпаратты қорғау бағдарламалық құралдары. Лекция 15

ұйымдастыру және деректер қорын ортақтасып пайдалануға мүмкіндік беретін компьютерлік

желіні жергілікті дейді
локальды желісі зерделеніп оның функциялары анықталады
ақпараттың қауіпсіздігін қамтамасыз ету құралдары зерттеледі, таңдалады және әдістері өңделеді
Ақпараттық қауіпсіздік саясатын жоспарлап берілген сенімділікті қамтамасыз ететін шараларын белгілеу және тиісті құралдармен қамтамсыз ету

Жергілікті желілерді қорғау

келесі себептермен ақпаратты қорғау күрделендіреді:
1) желіде пайдаланушылардың үлкен саны және

олардың өзгергіш құрамы болады. Пайдаланушынының аты және паролі деңгейінде қорғау бөтен адамдардың желіге кіруден қорғамайды;
2) желінің маңызды ұзындығы және желіге ену көптеген потенциалды каналдарының бар болауы;
3) аппараттық және бағдарламалық қамтамасыз етудегі белгіленген жетіспеушіліктері пайдалану барысында анықталады.

принтер
Бақыланатын қол жеткізу зонасы
Файл-сервер
Сыртқы жад

ақпаратты сақтаушы қоймасы
Жұмыс станциясы
Сыртқы

құрылғылар

электр-магниттік сәуле

электр-магниттік әсерлер

Жұмыс станциясы

құралдарын орындау тәсілі бойынша қасақана әрекеттерді қақпайлау мына топтарға

бөлуге болады:
1) техникалық (аппараттық ) құралдар.
Техникалық құралдардың артықшылығы олардың сенімділігі, субъективті факторлардан туәелсіз, модификацияға биік тұрақтылығы.
Әлсіз жақтары – иілгіштігі төмен, салыстырмалы көлемі және салмағы үлкен, құны жоғары.
2) бағдарламалық құралдар
пайдаланушыларды сәйкестендіру, қол жеткізуді бақылау, ақпаратты шифрлеу, қалған (жұмысшы) уақытша файлдан ақпараты өшіру, қорғау жүйелерін тестлік бақылау бағдарламаларынан құралады.

модификацияға және дамуға қабілеттіліктері.
Жетіспеушіліктері
желінің функционалдылық шектелуі,
файл-сервер

және жұмысшы станциялардың ресурстарының бір бөлімін қолдану,
кездейсоқ немесе қасақана өзгертуге биік сезгіштік, компьютерлердің үлгісіне тәуелділігі
3) араласқан аппараттық-бағдарламалық құралдар қасиеттері аралық

(компьютерлер орналастыру, кабелдік жүйе салу)
және ұйымдық-құқықтық құралдардан тұрады.

Оладың артықшылықтары:
әр текті проблемалардың жиынын шешуге мүмкіндік етеді,
орындауы қарапайым,
желідегі жағымсыз әрекеттерге жылдам сезінеді, модификация және даму мүмкіншіліктері шектелмеген.
Жетіспеушіліктері
жалпы ұйымдардағы субъективті факторларға биік тәуелділігі.

кеңейуі ақпараттық жүйенің ресурстарына және деректеріне бекітілмеген қол жетімдік

жаңа мүмкіншіліктерге және олардың жоғары осалдылығына әкеледі.
Біріншіден, қорғау механизмдарын ақпараттық жүйе өңдеуімен бір уақытта жобалау қажет, бұл олардың келіспеушіліктерінен құтқарады, есептеуіш ортаға дер кезінде интеграциялау мүмкіншілігін береді және шығындарды қысқартады
Екіншіден, бірыңғай ақпаратты қорғау жүйесі рамкаларында кешенді қорғау сұрақтарын анық қарауға болады
Қауіпсіздік екі профилі қарастырылады: қойылатын талаптар және нақты қол жеткен. Қауіпсіздікке қойылатын талаптардың профилін АҚЖ құруға тапсырыс беруші алдын ала анықтайды
АҚЖ тиімділігі (сапасы) оған қойылған талаптардың орындалу дәрежесімен (толықтығымен) анықталады.

АТ- бюджетінің 5% шығындайды, ал Ресейде арнайы қызметтің бағалауы

бойынша «Инфофорумда [2008 г.]» тек 0,5%-н шығындайтынын хабарлады.
“Егер біз компанияның қаржы директорына АҚ-ке не үшін ақша бөлетінімізді айтып, түсіндіре алсақ, біз де АҚ-ке 5% шығын бөле алатын едік”.

Владимир Мамыкин, Microsoft фирмасының Ресейде және ТМД елдеріндегі ақпараттық қауіпсіздік бойынша директоры

мәселелер

«Жүйенің қауіп-қатер қауіпсіздік моделін құру және оларды жүзеге

асыру әдістерін, әлсіз критерийлерін анықтау және жүйенің тұрақтылығына деструктивті әсер ету, методология және методикалық шығындарды бағалау аппаратын құру.
Экспертиза жүргізу үшін әдістер мен құралдарды құру және ақпаратты қорғау сапасын бағалау, ақпараттық ресурстарды, сонымен қатар негізгі жалпы жүйелік программалық құралдарды ақпараттық қауіпсіздікке сай екендігін тексеру.

математикалық қорғалуының бағасы;
Ойындардың теориясы;
Ақпараттық тәуекелділіктердің сараптауының және бақылауының

әдістері мен құралдары;
Криптохаттамалардың формальды сараптамасының әдістері

математикалық қорғалуының бағасы;
Ойындардың теориясы;
Ақпараттық тәуекелділіктердің сараптауының және бақылауының

әдістері мен құралдары;
Криптохаттамалардың формальды сараптамасының әдістері

the term "security" doesn't have meaning unless also you

know things like "Secure from whom?" or "Secure for how long?“»

математикалық қорғалуының бағасы;
Ақпараттық тәуекелділіктердің сараптауының және бақылауының әдістері

мен құралдары;
Британиялық CRAMM (Insight Consulting, Siemens)
Америкалық RiskWatch (компания RiskWatch)
Ресейлік ГРИФ (компания Digital Security).
Криптохаттамалардың формальды сараптамасының әдістері

Бағалау әдістері

идентификациясы және бағалылығын анықтау
2: АҚ сферасындағы қауіп-қатердің идентификациясы

және бағалылығы, қорғалатын жүйенің әлсіздігін бағалау және іздеу
3: көрсетілген тәуекелдіктерге қарсыь нұсқалардың өлшеу генерациясы:
- жалпы мінездемелі пікір;
нақты пікір;
Осы жағдайдағы қорғанысты ұйымдастыру мысалы.
Әдістің кемшіліктері:
- СКЗИ спецификасын есептемейді !

әдістері

Кемшіліктері:
Сөйлемдегі реализациядан детальдардан абстрагирленеді, сонымен қатар қолданылған шифрлеу

әдісі идеальды болып табылады.

бағалайтын формальды модельді құру.

Криптожүйелердің тұрақтылығын бағалайтын әр түрлі атакалардан

қорғауға арналған инструментальды құралдарды құру.

Ақпараттық қауіпсіздікті қамтамасыз етудегі инвестицияның экономикалық тиімділігінің әдісінің сараптамасын бағалау және жүйелендіру.

зақымдаған аткалардың жиынын ерекшелеу
Потенциальды қастандық ойлаушыларды анықтау
Криптожүйелерді сипаттап

беру

Этап 4

Этап 3

Этап 2

Этап 1

Этап 5

Криптожүйені мекеменің қажеттіліктеріне сәйкес етіп шешім шығару

code-Breaker
“C” от Cryptosystem

қарсы)
Криптожүйені зақымдаған аткалардың жиынын ерекшелеу
Потенциальды қастандық ойлаушыларды анықтау
Криптожүйелерді

сипаттап беру

Этап 4

Этап 3

Этап 2

Этап 1

Этап 5

Криптожүйені мекеменің қажеттіліктеріне сәйкес етіп шешім шығару

ABC-моделінің құрылуы

бойынша:
Кілтсіз
Біркілтті
Екікілтті
Жиля Брассардың классификациясы (Gilles Brassard) - шифрлеу алгоритмінің құпиялығы

бойынша:
Қолдануы шектеулі криптожүйелер
Жалпы қолданудағы криптожүйелер

Криптожүйелердің классификациясы

- Қолдануы шектеулі криптожүйелер
Жалпы қолданудағы криптожүйелер

кілттердің

саны бойынша:
Кілтсіз
Біркілтті
Екікілтті

Криптоалгоритмнің тұрақтылығы бойынша
Шартсыз тұрақты
Дәлелденген тұрақты
Шамалас тұрақты
Шифрлеу құралдарының қолданылуы бойынша
Программалық
Аппараттық
Программа-аппараттық
Сертификатының бар болуы бойыншы
Сертификатталған
- Сертификатталмаған

категорияда бұзушы болуы мүмкін;
Бұзушының біліктілігі және оның техникалық жабдықталуы

туралы деректер;
Бұзушының орындалуы мүмкін болатын мақсаттары және одан күтетін іс-әрекет.
Мотив (деректеме) бойынша Брюса Шнайердың классификациясы:
Арнайы бұзуға ниеттенген бұзушылар;
Эмоциональды күйде бұзуға ниеттенген бұзушылар;
Достары/туысқандары;
Өндірістік бәсекелестері;
Пресса;
Үкімет;
Полиция;
Ғылыми-зерттеу мекемелері.

әлсіздікті анықтау (Обнаружение слабости в алгоритме)
Алгоритмді түгелімен бұзу
Шифрленетін

құралдарға енуі бойынша
«ішкі» бұзушы
«сыртқы» бұзушы
Дайындық деңгейі бойынша
Қолданушы деңгейінде компьютермен өзара әрекеттестік
Математикалық аппарат
Программалау
Электротехника және физика
Әлеуметтік инженерия
шифрлеу туралы бірінші ақпарат бойынша
қолданушы
криптограф
«клептограф»
кооперацияның мүмкіндігі бойынша
«жалғыз»
Ұйым

негізінде:
тек шифрмәтін
Ашық мәтін
Таңдап алынған ашық мәтін
Адаптивті таңдап алынған ашық

мәтін
каналдардан алынған ақпарат
Үрдістерді бақылауы бойынша:
Пассивті
активті
Шабуылдардың шығуы бойынша:
Толық бұзу
глобальды дедукция
Бөліктенген дедукция
Ақпараттық дедукция
критикалық ресурстары бойынша:
жады
уақыт
Мәліметтер

(әмбебап)
шифрдың анықталған категориясы бойынша
нақты криптоалгоритмге
Қолданылатын құралдары бойынша
Математикалық әдістер
шифрлеу үрдісінің

физическалық параметрлерін алатын (перехват) құралдар
Эволюциялық программалау
Кванттық компьютерлер
Қадам бойынша
Құпиялықтың бұзылуы
Бүтіндіктің бұзылуы
Қол жетімділіктің бұзылуы
параллельдеу мүмкіндігі бойынша
Бөлінген
Бөлінбеген

саны бойынша
криптоалгоритмдің тұрақтылығы бойынша
шифрлеу құралдарын қолдануы бойынша
Сертификатының бар болуына

байланысты

Бұзушылардың классификациясы
техникалық жабдықталуы бойынша
- Соңғы мақсаты бойынша
- шифрленетін құралдарға енуі бойынша
Дайындық деңгейі бойынша
по первичной информации о средстве шифрлеу құралдарының бірінші аақпараты бойынша
кооперацияның мүмкіндігі бойынша

шабуылдардың классификациясы
ашық және шифрленген мәтінге енуі бойынша
үрдістерді бақылауы бойынша
Шабуылдың шығуы бойынша
критикалық ресурстар бойынша
әр түрлі шифрлерге қолданылу деңгейі бойынша
Қолданылатын құралдар бойынша
Қадам бойынша
параллельдеу мүмкіндігі бойынша

…, the evaluator should not restrict herself to technical

tools like cryptanalysis and information flow, but also apply economic tools»

Ross Anderson, Professor in Security Engineering at the University of Cambridge Computer Laboratory

Шешімдер

тетiк көрсетiлетiн талаптар
282. Технологияға және өңдеу және пайдалануды процесс

көрсетiлетiн талаптар
283. Қауiпсiздiктiң бағасының объектiнiң тiршiлiк циклдасының бiрiншi кезеңi
284. Екiншi қауiпсiздiктiң бағасының объектiнiң тiршiлiк циклдасының кезеңi
285. Қауiпсiздiктiң бағасының объектiнiң тiршiлiк циклдасының үшiншi кезеңi
286. Қауiпсiздiктiң бағасының объектiнiң тiршiлiк циклдасының төртiншi кезеңi
287. Қауiптер келесi параметрлермен бейнеленедi
288. Қолдануға болатын параметрлері
289. Зақымдана алған параметрлер
290. Осал жерлер мынандай кемшiлiктен пайда болады