İnformasiya təhlükəsizliyi


İnformasiya təhlükəsizliyi dedikdə, informasiya və ona xidmət edən infrastrukturun sahibi və ya istifadəçilərinə ziyan vurmağa səbəb olan təbii və ya süni xarakterli, təsadüfi və ya qəsdli təsirlərdən informasiya və ona xidmət edən infrastrukturun mühafizəliliyi nəzərdə tutulur.

Meydana çıxma səbəblərinə görə təhlükələri təbii  süni xarakterli təhlükələrə ayırırlar. Süni xarakterli təhlükələr də öz növbəsində bilməyərəkdən  qəsdən törədilən təhlükələrə bölünür. Təsir məqsədlərinə görə təhlükələrin üç əsas növü ayırd edilir:

§  İnformasiyanın konfidensiallığının pozulmasına yönələn təhlükələr;

§  İnformasiyanın bütövlüyünün pozulmasına yönələn təhlükələr;

§  Əlyetənliyin pozulmasına yönələn təhlükələr (DoS hücumlar, Denial of Service - xidmətdən imtina).



Konfidensiallığın pozulmasına yönələn təhlükələr məxfi və ya gizli informasiyanın üstünün açılmasına yönəlib. İnformasiyanın bütövlüyünün pozulmasına yönələn təhlükələr onun dəyişdirilməsinə və ya təhrifinə yönəlib. Əlyetənliyin pozulmasına yönələn təhlükələr elə şəraitin yaradılmasına yönəlib ki, bu zaman müəyyən qəsdli hərəkətlər ya sistemin iş qabiliyyətini aşağı salır, ya da sistemin müəyyən resurslarına girişi bağlayır.

Təhlükələr digər əlamətlərinə görə də təsnif oluna bilər:

§  Baş vermə ehtimalına görə (çox ehtimallı, ehtimallı, az ehtimallı);

§  Meydana çıxma səbəblərinə görə (təbii fəlakətlər, qəsdli hərəkətlər);

§  Vurulmuş ziyanın xarakterinə görə (maddi, mənəvi);

§  Təsir xarakterinə görə (aktiv, passiv);

§  Obyektə münasibətinə görə (daxili, xarici);


İnformasiya təhlükəsizliyinin təmin olunması problemi kompleks yanaşma tələb edir. Onun həlli üçün tədbirləri aşağıdakı səviyyələrə bölmək olar:

§  qanunvericilik tədbirləri;

§  inzibati tədbirlər;

§  təşkilati tədbirlər;

§  proqram-texniki tədbirlər.

 

Qanunvericilik tədbirləri müvafiq qanunları, normativ aktları, standartları və s. əhatə edir. Standartların arasında «Narıncı kitab», X.800 tövsiyələri, ISO 15408 («Ümumi meyarlar»), ISO 17799 standartları daha geniş yayılıb.

 

İnzibati tədbirlərin əsas məqsədi təşkilatda informasiya təhlükəsizliyi sahəsində tədbirlər proqramını formalaşdırmaq və onun yerinə yetirilməsini zəruri resurslar ayırmaqla və işlərin vəziyyətinə nəzarət etməklə yerinə yetirilməsini təmin etməkdir. Tədbirlər proqramının əsasını təşkilatın öz informasiya aktivlərinin mühafizəsinə yanaşmasını əks etdirən informasiya təhlükəsizliyi siyasəti təşkil edir.

 

Təşkilati tədbirlər informasiya mühafizəsinin səmərəli vasitələrindən biri olmaqla yanaşı, qurulan bütün mühafizə sistemlərinin əsasını təşkil edir.

Təşkilati tədbirlər aşağıdakılardır:

§  şəxsi heyətin idarə olunması;

§  fiziki mühafizə;

§  sistemin iş qabiliyyətinin saxlanması;

§  təhlükəsizlik rejiminin pozulmasına reaksiya;

§  bərpa işlərinin planlaşdırılması.

 

Proqram–texniki tədbirlər bunlardır:

§  identifikasiya və autentikasiya

§  icazələrin idarəolunması

§  protokol-laşdırma və audit

§  kriptoqrafiya

§  ekranlaşdırma.


İdentifikasiya (ingilis dilində identification) istifadəçiyə (və ya müəyyən istifadəçinin adından fəaliyyət göstərən prosesə) özünü adlandırmağa (öz adını bildirməyə) imkan verir.Autentikasiya (ingilis dilində authentication) vasitəsi ilə ikinci tərəf əmin olur ki, subyekt doğrudan da özünü qələmə verdiyi şəxsdir. Autentikasiya sözünün sinonimi kimi çox vaxt “həqiqiliyin yoxlanması” işlədilir.

Subyekt aşağıdakı mənbələrdən ən azı birini təqdim etməklə özünün həqiqiliyini təsdiq edə bilər:

-          bildiyi nəyi isə (parolu, şəxsi identifikasiya nömrəsi, kriptoqrafik açar);

-          sahib olduğu nəyi isə (şəxsi kart və ya digər təyinatlı analoji qurğu);

-          özünün tərkib hissəsi olan nəyi isə (səs, barmaq izləri və s., yəni özünün biometrik xarakteristikalarını).

Autentikasiyanın ən geniş yayılmış növü paroldur. Daxil edilmiş parol və istifadəçi üçün əvvəlcədən verilmiş parol müqayisə edilir. Onlar üst-üstə düşdükdə istifadəçinin həqiqiliyi təsdiqlənmiş sayılır.

İcazələrin idarə edilməsi subyektlərin (istifadəçi və proseslərin) obyektlər (informasiya və digər kompüter resursları) üzərində yetinə yetirə biləcəyi əməliyyatları müəyyən etməyə və onlara nəzarət etməyə imkan verir.

(Subyekt, obyekt) münasibətini cədvəl şəklində təsvir etmək olar. Cədvəlin sətirlərində subyektlər, sütunlarında obyektlər sadalanır. Sətir və sütunların kəsişdiyi xanalarda verilən icazə növləri və əlavə şərtlər (məsələn, vaxt və hərəkətin məkanı) yazılır.

Protokollaşdırma dedikdə informasiya sistemində baş verən hadisələr haqqında məlumatın qeyd edilməsi və toplanması başa düşülür.

Audit – toplanan informasiyanın analizidir. Audit operativ (demək olar ki, real vaxtda) və ya dövri (məsələn, gündə bir dəfə) aparıla bilər.

Ekranlaşdırma vacib təhlükəsizlik mexanizmlərindən biridir. Bu mexanizmin şəbəkələrarası ekran (firewall) adlanan realizələri olduqca geniş yayılıb.

Ən ümümi halda ekranı (yarımşəffaf pərdəni) süzgəclər (filtrlər) ardıcıllığı kimi təsəvvür etmək əlverişlidir. Süzgəclərdən hər biri verilənləri (tutub) saxlaya bilər, və ya onları dərhal "digər tərəfə" "ata bilər".

Çox vaxt ekranı 7-səviyyəli OSI etalon modelinin üçüncü (şəbəkə), dördüncü (nəqliyyat) və ya yeddinci (tətbiqi) səviyyələrində realizə edirlər. Birinci halda ekranlaşdırıcı marşrutizator, ikinci halda - ekranlaşdırıcı nəqliyyat, üçüncü halda - ekranlaşdırıcı şlüz alınır.

Kriptoqrafiya konfidensiallığı, bütövlüyə nəzarəti, autentikasiyanı və müəlliflikdən imtinanın qeyri-mümkünlüyünü təmin etmək üçün tətbiq edilir.


Kriptoqrafiya sözü kryptos ('gizli') və graphos ('yazı') yunan sözlərindən yaranmışdır. Şifrləmə proseduru adətən müəyyən kriptoqrafik alqoritmdən və açardan istifadəni nəzərdə tutur.Kriptoqrafik alqoritm – məlumatların çevrilməsinin müəyyən üsuludur. Açar isə çevirmə üsulunu konkretləşdirir. Müasir kriptoqrafiya o prinsipdən çıxış edir ki, kriptoqrafik çevirmənin məxfiliyi yalnız açarın məxfi saxlanması ilə təmin edilməlidir.


Şifrləmənin simmetrik  asimmetrik adlanan iki əsas üsulu var. Simmetrik şifrləmə üsulunda eyni açar (gizli saxlanılan) həm məlumatı şifrləmək, həm də deşifrləmək üçün istifadə olunur.

Asimmetrik kriptoqrafiyada iki açardan istifadə olunur. Onlardan biri - açıq açar (sahibinin ünvanı ilə birlikdə nəşr oluna bilər) şifrləmə üçün istifadə olunur, digəri - gizli açar (yalnız alana məlum) deşifrləmə üçün istifadə olunur.

Asimmetrik metodlardan istifadə etdikdə, (istifadəçi, açıq açar) cütünün həqiqiliyinə zəmanət tələb olunur. Bu məsələnin həlli üçün rəqəmsal sertifikatdan istifadə edilir.

Bütövlüyə nəzarət üçün kriptoqrafik heş-funksiyalar istifadə edilir. Heş-funksiya adətən müəyyən alqoritm şəklində realizə edilir, belə alqoritm ixtiyari uzunluqlu məlumat üçün uzunluğu sabit heş-kod hesablamağa imkan verir.


Rəqəmsal imza elektron imzanın növlərindən biridir, müəllifin identifikasiyasından savayı bir neçə əlavə funksiyanı həyata keçirir. Rəqəmsal imza adətən asimmetrik kriptoqrafiyaya əsaslanır.

Rəqəmsal imza konkret məlumata (mətnə, fayla və ya ixtiyari uzunluqlu istənilən bitlər yığınına) əlavə olunan və aşağıdakı funksiyaları təmin etməyə imkan verən sabit uzunluqlu informasiya blokudur:

-          məlumatın müəllifinin identifikasiyası  autentikasiyası;

-          məlumatın bütövlüyünə nəzarət;

-          məlumatın müəllifliyindən imtinanın qeyri-mümkünlüyünə zəmanət.

Məlumatın rəqəmsal imzası məlumatın özündən və imzalayanın gizli açarından asılıdır. Rəqəmsal imza iki alqoritm ilə realizə edilir: rəqəmsal imzanın yaradılması alqoritmi və rəqəmsal imzanın yoxlanılması alqoritmi. Rəqəmsal imza alqoritmlərinə misal olaraq RSA, DSA, ECDSA, ElGamal, Snorr, QOST R 34.10-2001 və s. alqoritmlərini göstərmək olar.

Açıq açarlı kriptoqrafiya əsasında rəqəmsal imzanın iş prinsipinə baxaq. Tutaq ki, hər hansı A istifadəçisi müəyyən məlumatı imzalamalıdır. Bunun üçün o, heş-funksiyanın köməyi ilə bu məlumatın heş-kodunu hesablayır və onu özünün gizli açarı ilə şifrləyir. Şifrlənmiş heş-kod məlumata əlavə edilir. Beləliklə, məlumatın rəqəmsal imzası alınır.

Sistemin istənilən iştirakçısı imzalanmış sənədi aldıqda A istifadəçisinin imzasını yoxlaya bilər. Bunun üçün o, heş-funksiyanın köməyi ilə alınmış məlumatın heş-kodunu yaradır. Sonra məlumata birləşdirilmiş şifrlənmiş heş-kodu A istifadəçisinin açıq açarı ilə deşifrə edir və alınmış deşifrə edilmiş heş-kodu özünün yaratdığı heş-kodla müqayisə edir. Onlar üst-üstə düşürlərsə, imza həqiqi hesab olunur.


Əlaqəli mövzular


Hüquqi baxımdan qorunmur © 2016 Rəşad Həsənov