Акпаратты коргау 1-2 лекция.doc

2.2 Дәрістік сабақ конспектілері

Дәріс №1. Тақырыбы: Негізгі түсініктер. Криптографияның дамуының қысқаша тарихы

Ақпараттану қазіргі таңда өмірдің негізгі мүмкіншілігі болып табылады. Жаңа ақпараттық технологиялар қазіргі кезде барлық жерде қолданылуда. Компьютер арқылы ғарыш кемелері мен самолеттерді басқарады, атом электростанцияларының жұмысын қадағалайды және де банк жүйелеріне қызмет етеді. Компьютер көптеген ақпараттарды өтеудің автоматизациялық жүйесінің негізі болып табылады және де ақпараттарды сақтау, өңдеу, оны қолданушыға таныстыру осы жаңа ақпараттық технологиялармен жүзеге асады.

Компьютерлік жүйе ақпараттарының қауіпсіздігі жайлы негізгі түсініктемелерді талдаймыз.

АӨАЖ (АСОИ) қауіпсіздігі дегенде біз оның джақсы бір процесске әдейі немесе кездейсоқ шатысуынан және де ұрлау әрекеттерінен, өзгерту немесе бұзу компоненттерінен қорғауын айтамыз.

Ақпаратқа «рұқсат» алу дегенде біз – ақпаратпен танысу, оны өңдеу, көшіру, модификациялау немесе жою деп түсінеміз.

Ақпаратқа рұқсат алу екіге бөлінеді. Ол санкционерленген және санкционерленбеген.

Ақпаратқа санкционерленген рұқсат алу – бұл ақпаратқа рұқсат алу, яғни рұқсаттың шектелген ережелер жиынтығын бұзбауы.

Ақпаратқа санкционерленбеген рұқсат алу – бұл керісінше рұқсаттың шектелген ережелер жиынтығының бұзылуы. Компьютерлік бұөылулардың неғұлым кең тараған және әр алуан түрі осы санкционерленбеген рұқсат болып табылады.

Конфеденциальды мәліметтер – бұл қауіпсіздіктің қандай дәрежеде керектілігін және берілген мәліметтер жайлы мәртебе. Субъект – бұл ақпараттардың объекттен субъектіге немесе жүйе құрылымының өзгеруіне себеп болатын жүйенің активті компоненті.

Объект – бұл ақпаратты сақтайтын, қабылдайтын немесе өткізетін жүйенің пассивті компоненті.

Объектіге рұқсат алу, яғни ақпарат құрылымына рұқсат алу дегенді білдіреді.

Ақпараттың біртұтастылығы – егер жүйедегі берілген мәліметтер құжаттағы берілген мәліметтермен симантикалық қатынасынан айырмашалағы болмаса және әдейі немес кездейсоқ бұзылудан қамтамасыздандырады.

АӨАЖ қауіпсіздігінің қаупі дегенде біз АӨАЖ мүмкін болған барлық зияндардан қауіпсіздігін түсінеміз. Қауіпсіздік зияны АӨАЖ ақпараттың қауіпсіздік жағдайының құрамы мен өңделуін пайымдайды.

Қауіпсіздің зияны АӨАЖ негізінен тығыз байланысқан.

АӨАЖ негізі – бұл жүйенің кейбір қасиеттерін сәтсіздікке алып келеді.

Компьютер жүйесіне шабуыл – бұл зиян келтірушілердің арқасында пайда болады. Шабуыл – бұл қаіпсіздік зиянының жұзеге асуы. Ақпаратты өңдеу жүйесінің қорғаныс мақсаты зиянына қарсылық тудырады.

Қорғалған немесе қауіпсіз жүйе- бұл қауіпсіздің зиянына қарсы тұра алатын тиімді қорғаныс жүйесі.

Қауіпсіздік политикасы – бұл нормалар, ережелер және практикалық кепілдемелер жиынтығы.

Негізгі әдебиеттер: [3] – 12-15 б.

Бақылау сұрақтары:

1. Компьютерлік жүйелердің ақпараттық қауіпсіздігінің негізгі түсініктерін ата.

2. АСӨЖ қауіпсіздігінің негізгі қауіп типтерін ата.

3. Компьютерлік бұзулардың ең көп тараған түрі?

Дәріс №2. Тақырыбы: Ақпаратты өңдеудің автоматтық жүйесінің (АӨАЖ) қауыпсыздігінің негізгі қауыпы. Ақпаратты қоғаудың криптографиялық принциптері.

2.1 АӨАЖ (АСОИ) қауіпсіздігінің негізгі қауіптері

АӨАЖ қауіпсіздігінің негізгі үш түрлі қаупі бар:

1. Ақпараттық құпиялығының бұзылу қаупі;

2. Ақпараттық бүтінділігінің бұзылу қаупі;

3. Жүйенің жұмыс жасауының бұзылу қаупі.

Компьютерлік бұзылулардың неғұрлым кең тараған және әр алуан түрі болып санккционерленбеген рұқсаты табылады. Онда парольдерді бұзу, «Маскарат», мүмкіншілікті заңсыз қолдану сияқты бұзуларды атауға болады.

Парольдерді ұстау арнайы жасалған программалармен жүзеге асады. Жүйеге заңсыз пайдаланушының кіруі кезінде ұстаушы программа экранда қолданушының паролін және атын енгізуді иммитациялайды, ол тікелей ұстаушы программаны иесіне беріледі, бұдан кейін экранда қате жөнінде хабар шығады және басқару операциялық жүйеге қайтарылады.

Пайдаланушы парольді енгізу кезіндегі жіберілген қате деп шамалайды. Заңды пайдаланушының атын және паролін алған ұстаушы программа иесі, оны өзінің мақсаттарында қолдана алады.

«Маскарад» - бұл мүмкіншіліктері бар бір пайдаланушының басқа пайдаланушының атынан қандайда бір әрекетті орындау. «Маскараттың» мақсаты болып қандай да бір әрекетті басқа пайдаланушыға жазу немесе басқа пайдаланушының мүмкіншіліктерін және қасиеттерін өзіне меншіктеу. «Маскарат» әсіресе банктік жүйедегі электрондық төлеуде қауіпті.

2.2 Мүмкіндікті заңсыз қолдану.

Әрбір пайдаланушы өзінің мүмкіндік жиынын алады: әдеттегі пайдаланушылар – минимальды, администраторлар – максималды.

Компьютерлік желілерде болатын қауіптерге ерекше тоқталу қажет, олардың компонентреі кеңістікте бөлінген және олардың арасындағы байланыс физикалық тұрғыдан байланыс сызығы көмегімен және программалық тұрғыдан хабарлау механизмі көмегімен жүзеге асырылады.

Қазкүнем желіге ену кезінде басып енудің белсенді және белсенді емес әдістерін қолдана алады.

Белсенді емес басып енуде (ақпаратты ұрлау) ол ақпараттың ағымына тимей ақпараттың өтуін ғана бақылайды, бірақ ол тағайындау пунктін, айырбастау жиілігін және т.б. анықтай алады, яғни берілген каналда график анализін орындайды (хабар ағымын).

Белсенді басып енуде бұзушы ақпаратты алмастыруға (жою, ұстау, хабардың берілу ретін өзгерту) ұмтылады.

Желілердің сипаты, олардың шабуылды жоюдың, ақпараттың бұзылу әрекетін, байланыс каналы бойынша программаның жүзеге асқанын көрсету болып келеді.

Қауіптердің кең тараған түрлері:

1. «Троянский конь» - құжатта жазылған әрекеттермен бірге, жүйенің қауіпсіздігінің бұзылуына әкелетін әрекеттерді орындайтын программа; әдетте бұл программа қандай да бір пайдалы функцияларды орындайды деп қабылданатын, жекелей олар маскеленетін, көбіне қандай да бір пайдалы утилиттермен.

2. Компьютерлік вирус – басқа программаларды бүлдіретін, есептеу процесінің модификациялауына және өзінен көбеюіне қабілетті программа.

Алғашында мұндай программалар, басқа компьютерлер желісінде ресурстарды, бөлінген есептеулерді орындау мүмкіншілігін алу негізінде , іздеу үшін жазылған. Бірақ ол зиян келтіретін программаға оңай айналды. Неғұрлым белгілісі – Червь Меррис, Си тіліндегі программа.

Көрсетілген зиян келтіретін программалардан қорғану үшін, келесі шараларды қолдану қажет:

• Орындалатын файлдарға енудің санкционерленбегенін болғызбау;

• Алынатын программалық құралдардың тестіленуі;

• Жүйелік облыстардың және орындалатын файлдардың бүтіндігін бақылау;

• Программаның орындалуының тұйық ортасын құру.

АӨАЖ қорғау жүйесі – бұл зиянның пайда болуын минимумға әкелу мақсатында АӨАЖ қауіптеріне қарсы әрекеттерге негізделген заңдылық, моральдық-этикалық нормалар, административтік-ұйымдастырушылық шаралар, физикалық және техникалық-программа құралдардың жиыны.

Қорғаудың соңғы құралдары негізінен ақпаратты қорғаудың криптографикалық әдістерімен жүзеге асады.

2.3 Ақпаратты қорғаудың криптографиялық принциптері.

Криптография –бұл мәліметтерді алмастыру әдістерінің жиынын көрсетеді, қарсы жақ үшін бұл мәліметтерді пайдасыз ету үшін бағытталған.(Криптография - cryptos - құпия, белгісіз logos – хабар байланыс)

Криптоанализ – (қорғаныс жүйесін бұзу) бұл кілтке ену рұқсатынсыз шифрленген хабардың бастапқы мәтінін ашу жөніндегі ғылым.

Криптожүйенің жалпыланған схемасын салайық..

Жіберуші қорғалмаған канал бойынша заңды қабылдаушыға берілуі қажет бастапқы М хабарының ашық текстін генерациялайды. Каналды ұстап алушы берілетін хабарды ашу және ұстап алу мақсатында бақылайды. Ұстап алушы М хабарының мазмұнын біліп алмау үшін, жіберуші оны Е_к алмастыру көмегімен шифрлейді, және қабылдаушыға жіберілетін шифртекстті С=Е_к(М) алады.

Қабылдаушы С шифрді кері алмастыру көмегімен ашады Е_к^-1=D_k(C) және бастапқы хабарды алады.

D_k(C)=E^-1_k(E_k(M))=M

Е_к алмастыру криптоалгоритмі деп аталатын криптографиялық алмастыру түрлерінен таңдалады.

Жеке қолданылатын алмастыру таңдалатын параметр криптографиялық кілт К деп аталады.

Криптографиялық жүйе – бұл Е_к:түрге келтіретін ашық тексті хабарды кеңістіктен шифрленген текстті кеңістікке көшірілетін бір параметрлік (E_k) түрі.

К(кілт) параметрі кілттер кеңістігі деп аталатын ақырлы К жиынынан таңдап алынады.

Криптожүйенің класын екіге бөлеміз:

1. симметриялық (біркілтті) криптожүйе;

2. асимметриялы (екікілтті) криптожүйе (ашық кілтпен).

1-ші кластың жүйелерінде шифрлеу және шифрді ашу кезінде бір ғана құпия кіл қолданылады.

Асимметриялық жүйеде шифрлеу және шифрді ашу үшін К1 және К2 әр түрлі екі кілтті қолданады.

Асимметриялық криптожүйеде қорғалмаған канал бойынша тек қана ашық кілтті, ал құпия кілтті оның генерациясының орнында сақтайды.

Симметриялы криптожүйенің құрия кілтін жіберушіге және қабыладушыға беру керек.

Ұстап алушының кез-келген шифрленген мәтінді ашу С ашылған тексті алу үшін М немесе өзіңнің мәтініңді қайта шифрлеу М’ ал осыған сәйкес шифрленген мәтін алу үшін C’, және де жалған кілтсіз ұмтылыс криптоанаитикалық шабуыл деп аталады.

Егер криптоаналитикалық шабуыл, қойылған міндетті орындай алмаса және криптоаналитик жалған кілтсіз С дан М және М’ тан C’ шығара алмаса, онда мұндай криптожүйе криптотұрақты деп аталады.

Негізгі әдебиеттер: [2] – 12- 36 б.

Бақылау сұрақтары:

1. «Маскарад» деген не?

2. «Троянский конь» деген не?

3. Криптография мәліметтерді қорғаудың қандай мәселелерін шеше алады?

4. Шифрдың беріктілігі немен анықталуы керек?