Ақпарат жүйелеріндегі ақпарат қауіпсіздігінің негізгі түсініктемелері

Автор работы: Пользователь скрыл имя, 29 Июля 2013 в 19:28, курсовая работа

Краткое описание

Қазіргі замандағы ақпарат – оған рұқсаты жоқ бекітілмеген адамнан қорғауды қажет ететін өмірдегі өте қымбат заттардың бірі.
Жиырмасыншы жылдардың ортасында бірінші электронды-есептеуіш машиналардың шығуы, компьютерлердің өмірімізге енуі, олардың әр түрлі сфераларға кіруі жаңа бір саланың – ақпараттық индустрияның пайда болуына әкелді.Нәтижесінде ақпараттың барлығы дерліктей электрондық мәліметтер қорында сақталатын болды.

Вложенные файлы: 1 файл

Дипломдық жұмыс.docx

— 1.05 Мб (Скачать файл)

Кіріспе

 

Қазіргі замандағы ақпарат  – оған рұқсаты жоқ бекітілмеген адамнан қорғауды қажет ететін өмірдегі өте қымбат заттардың бірі.

Жиырмасыншы жылдардың ортасында  бірінші электронды-есептеуіш машиналардың шығуы, компьютерлердің өмірімізге енуі, олардың әр түрлі сфераларға кіруі жаңа бір саланың – ақпараттық индустрияның пайда болуына әкелді. Нәтижесінде ақпараттың барлығы дерліктей электрондық мәліметтер қорында сақталатын болды.

Есептегіш техникада қауіпсіздік  ұғымы өте кең мағынада қолданылады. Ол компьютер жұмысының сенімділігін де, құнды мәлеметтердің сақталуын  да, ақпаратқа өкілеттілігі жоқ адамдардың өзгеріс енгізуінен қорғауын да, электронды байланыспен хат жазысу құпиясын сақтаудыда меңзейді. Ақпарат қауіпсіздігінің қаупі ретінде жүйенің қалыпты процессіне, оның функциялануына абайсызда немесе әдейі кедергі келтіретін іс-әрекеттердің жиыны жатады.

Ақпаратты қорғау құралдарымен керекті дәрежеге дейін қамтамасыз ету өте қиын болып табылды. Ол ғылыми, ғылыми-техникалық жиынтықтарды, ұйымдастырылған амалдар қолдануды және амалдар мен тәсілдерді жүзеге асыруды талап етеді.

Ақпарат дерекнамасы электрондық  жүйелермен қорғалатын қол жетімсіз ғимаратта орналасқан болса да, оған қол жеткізу мүмкіндігі әрқашанда  табылады. Сол себептен ақпаратты  қорғау тәсілдерінің жаңа түрлерін ойлап табу өте өзекті мәселе.

Дипломдық жұмыстың мақсаты: Казмунайгаз АҚ-ның Өзенмұнайгаз өндірістік филиалының (ӨФ)  компьютер жүйелеріндегі ақпаратты рұқсатсыз қол жетуден қорғау амалдарын іске асыру.

Жұмыста қойылған мақсатқа жету үшін келесі есептер қарастырылды:

  • рұқсатсыз қол жету амалдарына шолу жүргізу;
  • рұқсатсыз қол жетуден қорғау құралдарына шолу жүргізу;
  • операциялық жүйенің өзіндік құралдары көмегімен ақпаратты қорғау алгоритмін құрастыру;
  • виртуалды дискті шифрлеу бағдарламалары көмегімен ақпа-ратты қорғау мәселесінің шешімін табу;
  • таңдалған бағдарламалық қамтамасыздандыруды жетілдіру жолдарын айқындап алу және де тәжірибе жүзінде іске асыру;
  • эконимаклық бөлімінде бағдарламалық қосымшаны және қорғау жүйесін құруға кететін шығындарды есептеу;
  • өміртіршілік қауіпсіздігі бөлімінде оператор бөлмесіндегі жарықтандыруды есептеу, еңбек жағдайларының талдауын жасау.

 

 

1 Ақпарат жүйелеріндегі ақпарат қауіпсіздігінің негізгі түсініктемелері

 

Басқару мақсаттарына жету үшін ақпаратты  сақтауға, өңдеуге және беруге қолданылатын құралдары, әдістері мен қызметтерінің өзара байланысқан жиынтығы ақпараттық жүйе деп аталады.

АЖ-нің жұмысына арнайы немесе кездейсоқ араласудан, оның компоненттерін бұзудан, өзгертуден  немесе ұрланудан қорғанылуы ақпараттық жүйенің қауіпсіздігі деп аталады. Ал АЖ-нің қауіпсіздігіне тікелей немесе жанама зиян келтіретін әсерлер қауіп-қатерлер деп аталады.

Ақпараттық үрдістің кәдімгідей жұмысын бұзу мақсатымен оған әсерлер жасайтын субъект қаскүнем болып келеді. Қауіп-қатерлердің пайда болуына және іске асырылуына мүмкіндік беретін жүйенің қасиеті АЖ-нің осалдылығы болып табылады.

АҮ-тің дұрыс жүріс-тұрысын бұзуға бағытталған қаскүнемнің талаптары ақпараттық жүйеге шабуыл деп аталады. Демек, шабуыл – қауіп-қатерді іске асыру, жүйенің осалдылығын іздеу мақсатымен қаскүнемнің жасайтын әрекеттері.

Қауіп-қатерлерге ойдағыдай және тиімді қарсы тұра алатын қорғау құралдары бар жүйе қауіпсіз немесе қорғалған жүйе болады.

Ақпарат қорғау деңгейлерін 3-ке бөледі: аппаратуралық, бағдарламалық қамтамасыз ету, мәліметтік.

Дипломдық жұмыста бағдарламалық қамтамасыз ету және де мәліметтік АҚ деңгейлері қарастырылады.

 

    1. Қауіп-қатерлерден  қорғалудың негізгі түсініктемелері

 

Ақпараттық жүйені қорғау – деп жүйенің қалыпты процессіне, оның функциялануына абайсызда немесе әдейі кедергі келтіруден, ақпаратты ұрлауға әрекет жасаудан (жасырылған ақпаратты алу) және компоненттерін физикалық бүлдіруден қорғауды айтады.

АҚ көзқарасы жағынан компьютерлік жүйе функционалдық қызметтер жиыны ретінде қарастырылады. Әр қызмет белгілі қауіп-қатерлерге қарсы тұра алатын функциялар жиыны болып табылады. АЖ-нің қауіпсіздігіне қауіп төндіретін қауіп-қатерлер әсерлер мақсаты жағынан 3 типке бөлінеді: ақпараттың құпиялылығын бұзу қауіп қатері, ақпараттың бүтіндігін бұзу қауіп қатері, жүйенің жұмыс қабілеттілігін бұзу қауіп қатері.

Қауіп-қатерлердің келесідей  түрлерін қарастыруға болады:

  • табиғи қауіп-қатерлер: стихиялық апаттар (тасқын, дауыл, жер сілкіну, өрт т.б.);
  • техникалық қауіп-қатерлер: авариялар, жабдықтардың, компьютер-лердің байланыс құралдарының істен шығуы және жұмыс жасамауы;
  • адам факторы: пайдаланушылардың, операторлардың және де қызмет жасау персоналының қателері, пайдаланушылар мен қызмет жасайтын персоналдың абайсыз әрекеттері, бұзушылардың әдейі әрекеттері.

Ал ақпарат қорғанысының негізгі қауіптеріне және АЖ-нің қарапайым функциялануына келесілер жатады:

    • құпия ақпараттың ағып кетуі;
    • ақпаратты компрометациялау;
    • ақпараттық ресурстарды бекітілмеген жолмен қолдану;
    • ақпараттық ресурстарды қателесіп қолдану;
    • абоненттердің арасында бекітілмеген ақпарат алмасу;
    • ақпараттан бас тарту.

Қауіпсіздік моделі келесі талаптардың орындалуын талап етеді: қорғау жүйесіне қойылатын талаптарды анықтау, қорғау құралдары мен олардың сипаттамаларын таңдау, таңдалынған қорғау құралдарын, әдістерін енгізу, қорғау жүйесін басқару мен бүтіндікті бақылауды орындау.

АЖ-нің қауіпсіздігі процесс болып табылады, оны төмендегі 1.1 суретіндегі сұлбамен көрсетуге болады [2].

 


АҚЖ-нің күйін талқылау және оған қойылатын талаптарды дәлелдеу

  1. Қорғалатын ақпарат-ты таңдау

2. Мүмкін болатын қа-уіп-қатерлер жиыны мен ақпараттың жойы-латын каналдарын анықтау

3. Қауіп-қатерлер атал-ған каналдардың бар болатын жиындарын есепке ала отырып ақ-параттың осалдылығын бағалау

7. АҚЖ-н басқару және бүтіндігін бақылау

6. АҚ-дың таңдалынған шараларын, әдістерін және құралдарын қол-дануды ұйымдастыру

4. АҚЖ-не талап-тарды анықтау

5. АҚ құралдары мен олардың сипаттама-ларын анықтау


 



 

 

 

 

 

 


 

 

 

 

 

 

 

 

 

 

1.1 сурет – Ақпараттық жүйе қауіпсіздігін қамтамасыздандыру процесінің сұлбасы

 

    1. Ақпаратты компьютер жүйелерінде қорғаудың мәселелері

Ақпаратты қорғау құралдарымен керекті дәрежеге дейін қамтамасыз ету өте қиын болып табылды (бұл теориялық зерттеулермен бекітілгендей, тәжірибелі іс-тәжірибе шешімі арқылы бекітілді). Ол ғылыми, ғылыми-техникалық жиынтықтарды, ұйымдастырылған амалдар қолдануды және амалдар мен тәсілдерді жүзеге асыруды талап етті.

Шабуыл – қауіп-қатерді іске асыру, жүйенің осалдылығын іздеу  мақсатымен қаскүнемнің жасайтын әрекеттері. Шабуылдар түрлерін келесідей классификациялауға болады:

  • жететін мақсаты бойынша: жабдықтар мен қызметтердің жұмысын бұзу, ақиқат пайдаланушылардың қызметтерге құжатқа қол жеткізулерін шектеу, ақпаратпен танысу, ақпаратты жою, алмастыру;
  • іске асыру әдістері бойынша: активті, пассивті;
  • күрделілігі бойынша: қарапайым, кешенді;
  • іске асыру деңгейі бойынша: физикалық, каналдық, транспорттық, қолданбалы, деңгейлері;
  • шабуыл объектісі бойынша: аппараттық платформасы, бағдарламалық платформасы, мәліметтерді тасымалдау каналдары;
  • қолданылатын осалдықтары бойынша: технологияның осалдығы, іске асырудың осалдығы конфигурациялау және қолданудың осалдылығы, адам факторы;
  • іске асыру орны бойынша: ішкі, сыртқы.

Компьютерлік бұзылулардың неғұрлым кең тараған және әр алуан түрі рұқсат етілмеген қол жеткізу болып табылады [1] (1.1 кестеcіне қараңыз).

 

1.1 кесте – Ақпараттық қауіпсіздікті бұзу түрлері

Ақпараттық қауіпсіздікті бұзу түрлері

Тіркелген

оқиғалар, %

Байланысты шығындар, %

Рұқсатсыз қол жету

97

62

Қызмет көрсетуден бас тарту

32

28

Мәліметтерді жіберу кезінде ауыстыру

17

18

Белсенді тың тыңдау

2

1


 

Рұқсатсыз қол жетудің негізгі каналдарын атап өтетін болсақ:

  • ақпаратқа рұқсат берудің штаттық каналдарын (қолданушылар, операторлар, жүйе админстраторлары терминалдары, байланыс каналдары) қаскүнем қолданғанда, сонымен қатар заңды қолданушының өзінің өкілеттілігінен тыс қолданғанда;
  • басқарудың технологиялық пульттары;
  • автоматтандыру жүйесінің аппараттық құрылғыларының арасындағы байланыс линиялары;
  • аппаратуралардан, байланыс линияларынан және т.б. бөлінетін жанама электромагниттік сәуле шығаруы.

Қаскүнемде дербес компьютердің пернетақтасына рұқсаты болуы арқылы

ақпараттың көшірмесін алу, рұқсат етілмеген ақпаратты қосу, сонымен бірге

ақпаратты ұрлау және өзгерту мүмкіндігін иеленеді.

Дербес компьютерде сақталатын ақпаратқа туындайтын қауіп-қатерлер мен РҚЖ каналдарының байланысы 1.2 суретінде көрсетілген [3].

Қалдық ақпаратты оқу


Қатты дискті жөндеу

Рұқсат етілмеген бағдарламаларды  енгізу

Дербес компьютер сұлбасын өзгертіп, сыртқы құрылғыларды орнату

Ақпаратты арнайы құрылғылар арқылы қабылдау

Бағдарламалық қамтамасыздандыру

Ішкі монтаждау

Жанама электромагниттік сәулелендіру

Ақпаратты рұқсатсыз бақылау

Мүмкін болатын  қауіп-қатерлер

Рұқсатсыз қол  жетудің мүмкін каналдары

Басқа қолданушының ақпаратына рұқсатсыз қол жету

Ескерілмеген көшірмесін алу

Дербес компьютерге рұқсатсыз  кіру

Usb-сақтаушыларды, диске-таларды, лазерлік дисктерді, стриммерлерді ұрлау

Кіріктірме ақпарат сақтаушылары (магниттік қатты дисктер (винчестерлер))

Сыртқы usb-сақтаушылар, дискеталар, стриммерлер

Дисководтар

Пернетақта, сканер, тышқан, цифрлы суреттер, бейнекамера

Дисплей, принтер, плоттер


 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.2 сурет – Қауіп-қатерлер мен рұқсатсыз қол жету каналдарының байланысы

Физикалық принциптері бойынша  ақпаратты ұрлау, жою, өзгерту каналдарын келесі топтарға классификациялауға болады: акустикалық, визуалды-оптикалық, электромагниттік, заттық. РҚЖ амалдары мен ақпарат жойылуы мен жоғалуының техникалық каналдары арасындағы өзара байланыс нұсқасы 1.2 кестеде көрсетілген [4].

 

1.2 кесте – Рұқсатсыз қол жетудің амалдары мен техникалық каналдар арасындағы байланыс

 

 

 

Ақпарат жойылуының/ жоғалуының техникалық каналдары

Рұқсатсыз қол жетудің амалдары

Тың тыңдау

Визуалды бақылау

Ұрлау

Көшіріп алу

Подделка

Заңсыз қосылу

Перехват

Суретке түсіру

Канал б/ша қор-ды

Визуалды-оптикалық

 

+

         

+

2

Акустикалық

+

       

+

+

 

3

Электромагниттік

+

 

+

+

+

+

+

 

6

Заттық

   

+

+

+

     

3


 

Кестеден байқағандай, ақпарат  жоғалуының, жойылуының, ұрлануының, өзгертілуінің ең қауіпті каналы есебі ретінде электромагниттік каналды айтсақ болады. Өйткені, рұқсатсыз қол жету амалдарының алты түрін қамтып тұр.

Коммуникациялық жабдықтар мен  байланыс каналдарын қорғау келесілерден тұрады: желі периметрін қорғау, көпшілік желілер арқылы қауіпсіз байланыстыруларды қамтамасыздандыру, жергілікті желілердің қауіпсіздігін қамтамасыздандыру, байланыстың сымсыз желілерінің қауіпсіздігін қамтамасыздандыру.

Информация о работе Ақпарат жүйелеріндегі ақпарат қауіпсіздігінің негізгі түсініктемелері