Ақпараттық қауіпсіздік

Негізгі және резервтік орталықтардың өзара әрекет етуі 1Гбит/с-тен аса жоғары өткізу мүмкіндігі бар оптикалық-талшықты байланыстарды пайдаланыла отырып, ұйымдастырылған.

Серверлік платформа:

Төлем жүйесінің негізгі орталығының  бағдарламалық-техникалық кешені жоғары өнімді HP AlphaServer GS1280 серверлерінде негізделеді. Кешен сәулетінің кластерлік технологиясы мен сенімді жұмыстың қамтамасыз етілуіне арналған тоқтауға берік және резервтеу механизмдерінен тұратын бүгінгі заманғы құрал-жабдықтары бар.

Кешенде тәуекелдік және тығырықтық жағдайларды талдау жүргізуге мүмкіндік беретін мониторингтік құрал-жабдықтар болады.

Резервтік орталықта HP AlphaServer GS140 негізіндегі  есептеу кешені қондырылған. Кешен  де осындай технологиядан құрылған және соған ұқсас бағдарламалық  қамтамасыз етумен жабдықталған. Негізгі орталықтан шығатын деректер нақты уақыт ережесінде резервтік орталыққа бағытталады. Бұл жаңылысулар кезінде жоғалулардың төмен болуын қамтамасыз етеді.

Деректерді сақтау

Деректерді ұзақ мерзімде сақтау үшін деректерді архивтеудің бейімді стратегиялары мен келбеттерін ұйымдастыруға мүмкіндік беретін, процесстер мен қателердің тексерілуі толықтай автоматтандырылған таспалы кітапханалар қолданылады. Кітапханалардың өткізу мүмкіндіктері 1 Гбит/с-ке дейінгі деректермен алмасуға арналған әртүрлі интерфейстері бар.

 

Дәріс №14

14 Желіаралық  экрандар

14.1 Желіде рұқсатсыз  қатынас құру және деректер  алмасу жолдары

14.2 Тораптық  барлау және сенімді теріс  пайдаланушылық

 

Ішкі тораптың қауіпсіздігін  қамтамасыз ету үшін ретқақпаларда (gataway)  дейтаграммалар белгілі бір түрін жебермейтін сүзгілер қойылады. Дейтаграммалар жүргізушінің немесе қабылдаушының -мекендері, хаттама ( IP-дейтаграмманы Protocol  өрісі ) , TCP немесе UDP және  порттының нөмірі және т.б бойынша сүзгіленуі мүмкін.

Мысалы үшін туннелдеу операциясын (шабуылын) қарастырайық. Қаскөй өзінің Х түйінінен осы тораптығ сырттында орнаасқан А түйініне деректер жібермекші болсын делік. Бірақ бағдарғылаушының сүзгілеу тәртібі бойынша А түйінге дейтаграмма жіберуге болмайды, ал қорғалған тораптың тысқары орналасқан В түйінге жіьеру рұқсат етілген. Онда қаскүнем Х түйінінен В тұйініне бағытталған мынандайф дейтаграмма қарастырылады: хаттама (Protocol) өрісіне 4 («IP»=4), ал деректер (Data) өрісіне Х-тен А-ға жібермекшідейтаграмманы орналастырады. Қабылдаушы жақта (В түйініде) келген дейтаграммадан оның ішіне салынған дейтаграмма жазылады және ішкі дейтаграмма А түйініне арналған болғандықтан ол А-ға  жіберіледі. Тунелдеуден қорғану үшін бағдарғылауышқа Protocol-4 өрісі бар дейтаграмманы сыртқы торапқа жіберуге тиым салуы керек.

Рұқсатсыз қатынас құрумен  күрес тәсілдері қарапайым болып  келеді. Заңды түрде рұқсат етілмеген  хаттама арқылы жүйеге қатынас құру мүмкіншіліктерін қысқарту немесе толық  жою осяындағы басты мәселе болып  табылады.торапаралық экранның ең басты міндетті рұқсатсыз қатынас құрудың ең қарапайым әрекеттерінің алдын алу болып табылады.

Деректерді жолдан ұстап  алуға арналған жабдықтарды жергілікті тораптарға заңсыз қол сұғу үшін қолдануға  болады. Мәселен, жүйеге кіру командаларын, жұмыс бекттері мен құпиясөзднрдің жеке белгілерін анықтау мақсатты мен жодан ұстап алынған ақпаратқа талдау жүргізіледі. Егер осы әрекетің арқасында тораптың әкімшінің қорғанылмаған жұмыс бекетінен жүйеге кіру сценарийі қолға түскен болса,онда бұл апатты салдарға әкеледі.

Осындай деңгейдегі ақпартқа ие болған жағдайда пайдаланушылар тіпті  торпқа тікелей қатынас құрмай-ақ жасырын деректерге қол жеткізе  алады. Содан соң, егер құпия сөздер мен жійеге  кіру сценарийлары торапқа  қашықтычқтан домалық (анонимдік) қатынас құру үшін қолданылса, онда қаскүнем өзіне керек мәліметті оңай ала алады, торапқа зақым келтіреді, торапты болашақттақолдануға арналған жүйеге кірудуң заңсыз сценарйлерін жасайды немесе оның жұмысына (мәселен, торапқа вирустар енгізу арқылы) іріткі салады.

Ең кем дегенде, есептеу  қорларын ұрлауды немесе бағдарламалық  қамтаманы көшірмелеуге күтуге болады. Жасырын ақпараттың мазмұнын рұқсатсыз  өзгерттілуі белгісіз қалу мүмкін, ал бұл болса қаржылар немесе әскери барлау сияқты салаларды аатты салдарға ұшыратуы мүмкін.

Көбінесе зиян «жауыздық  ниетпен»  келтірілмейді, тек пайдаланушылардың  қарапайым қателерінің салдарынын өте маңызды  деректер кездейсоқ  бұзылады немесе жойылады.сондықтан, қатынас  құруды бақылаудан басқа, пайдаланушылардың  өкілеттіктеріне шек қойған арттық болмайды.

Қорғаныш ұйымдастыру  жүйесінің осал жері бар: ұатынас  құру деңгейі және жүйеге кіру мүмкіншіліктері  құпия сөзбени анықталады. Құпия  сөзді астыртын қарап немесе іріктеп  алуға болатындығы белгілі. Соңғы  кезде компьютерлік торапқа авторландырмаған кіру мүмкіншіліктерін блдырмау үшін қисындастырылған келіс қолданылады: құпиясөз+пайдаланушының дербес «кілтті» бойынша ұқсастыру анықтау. «Кілт» ретінде мыналар қолданылуы мүмкін: пластикалық карта ,(магниттік немесе құрамдас шағынсұлбалы- смарткарта) немесе биометриялық ақпарат (көздің сыртқы мөлдір сыртқы қабығы, саусақтардың іздері, қолдың қолқасының өлшемі жәнет.б) бойынша тұлғаны ұқсастыру анықтау ға арналған әртүрлі құрылғылар. Компьютерге қатынас құру пайдаланушы оқу құрылғысына смарт-картаны және өзінің дербес қолдасын енгізу керек. Бұл келіс құпия сөздерді қолданғанға қарағанда біраз сенімдірек, себебі, егер құпия сөз байқалым қалса, онда пайдаланушы ол туралы білмеей қалуы мүмкін, ал егер кәртішке жоғалып қалса, онда бірден шара қолдануға болады.

Қатынас құруды басқаратын смарт-карталар кіруді бақылау, дербес компьютердің құрылғыларына , бағдарламаларға , файлдарға және командаларға қатынас  құру сияқты функцияларды іске асыру  мүмкіндік береді.

Ашық жүйелерде қатынас  құруды бақылауға арналған мәселені (қорғаныштың программалық және апараттық құралдар негізінде)кешендік шешімін жасаудың сәтті мысалдарының біреуі реттінде  Kerberos жүйесін атауға болады. Осыған ұқсас басқа кешендік сұлбалардың арасында Компьютерлер Өңдеушілердің Еуропалық қауымдастығыт (ЕСМА) жасаған және ірі гетерогендік тораптарда қолдануға арналған Sesame (Secure European System for Application in Multivendor Environment )  айтуға болады.

Тораптық барлау және сенімді теріс пайдаланушылық

Жалпы қолжетерлік деректердің  және қолданбалардың арқасында торап туралы хабар жинауды тораптық барлау деп атайды.Қандай да болмасын торапқа қарсы шабуыл жасарда,әдетте ,хакер ол туралы көбірек  хабар жинап алуға тырысады.Тораптық  барлау DNS сұратым ,жаңғырық -тестілеу ing sweep)  және порттарды  сканерлеу арқылы жүргізіледі. DNS сұратым доменнің иесі кім болады және  осы доменнің мекенжайы қандай деген сұрақтарға  жауап беруге  көмектеседі. DNS сұратым арқылы ашылған  мекенжайларды  жаңғырық-тестілеу осы ортада қандай хосттардың нақты жұмыс істейтінін анықтауға мүмкіндік береді. Хосттар тізімін алғаннан кейін хакер порттарды сканерлеу құралдарын  осы хосттар қолдайтын қызметтердің  толық тізімін құрастыру үшін пайдаланады. Одан кейін хакер хоста жұмыс істейтін қолданбалардың  сипаттамаларын талдайды. Осылардың  нәтижесінде бұзып-кіру  үшін қолдануға болатын ақпарат алуға болады.

Тораптық барлаудан  толық құтылу мүмкін емес.Егер, мысалы, ICMP жаңғырығын  және шеткері  бағдарғылардағы  жаңғырық-жауапты алып тастаса, онда жаңғырық-тестілеуден  құтылуға болады, бірақ тораптық шатасуларды айқындауға қажетті деректерден айырылып қаласыз. Одан басқа,порттарды алдын-ала жаңғырық-тестілеусіз де сканерлеуге болады.Бірақ та, жоқ IP мекендерді сканерлеу керек болғандықтан бұл тәсіл көбірек уақыт алады.

Торап және хосттар болғандықтан IDSжүйелері,әдетте,жүргізіліп  жатқан  тораптық барлау туралы әкімшіні хабардар ету міндетін  жақсы атқарады.

Бұл  болашақ шауылға  жақсырақ  дайындалуға және торабына шамадан тыс құмарлық көрсетуші  жүйе орнатылған провайдерді( ISP) хабардар етуге мүмкіндік береді.

Сенімді теріс пайдаланушылық –торапта қалыптасқан сенім қатынасын жаман ниетпен пайдаланады. Бұл қауіп-қатердің өз торабының шегінде сенім деңгейін қатты бақылау негізінде төмендетуге болады.Торапаралық экрканы сырттқы жағында орналасқан жүйелер ешуақытта экранмен сыртқы жағында орналасқан жүйелер ещуақытта экранмен жүйелер жағынан толық сенімге ие болмау керек.        

 Порттарды қайтадан мекендету - сенімді теріс пайдаланудың бірі түрі, бұл кезде бұзып –кірілген хост торапаралық экран арқылы (басқа жағдайда әрі қарайжіберілмейтін) трафиктік тасымаодау ұшін қолданылады. Порттарды қайтадан мекендетуге кұрестің негізгі тәсілі – сенімді сенім ұлгілерін ұолдану. Хакерге өзінің бағдарламалық құралдардың хоста орнатуға IDS хост жүйесі де кедергі жасай алады.

 

Дәріс №15

 

15 Электрондық есеп  айрылысу жүйелеріндегі ақпараттарды  қорғау 

15.1 Ашық кілтті жүйе

15.2 Криптографиялық қызмет  көрсету түрлері

15.3 Сандық берілу

15.4 Қисық эллиптикалық  криптография

15.5 Қатені түзету коды және электрондық төлемдер

 

15.1 Ашық кілтті жүйе

Криптографиялық жүйелер қаншалықты күрделі және сенімді болғанымен у кемшілігі тәжірибеде тарату барысында  – кілттерді бөлу мәселесі. ункці  жүйесі екі субъектасы аралығында құпия  ункці алмасу мүмкін болу үшін кілт бір субъектімен генерацияланып сосын қандайда болмасын жолмен құпия тәртіппен келесісіне жолданады, яғни кілтті әрі қарай беру үшін қайтадан қандайда болмасын криптожүйені пайдалануды талап ункц.

Бұл мәселені шешу үшін классикалық  және қазіргі алгебрадан алынған ашық кілтті жүйе ұсынылды. Ашық кілтті жүйенің мәні (АЖ) ункці жүйесінің әрбір иесіне белгіленген ережеге сай өзара байланысты 2 кілттен бекітіледі, бір кілт ашық екіншісі жабық унк жарияланады. Ашық ункц кез-келген мәлімет жіберуші қол жеткізе алады. Құпия кілт жасырын сақталады. Шығатын мәтін адресаттың ашық ункціян шифрленеді және ункц жіберіледі. Шифрленген мәтін ашық кілтпен ашылмайды. Мәліметті кері шифрлеу тек қана адресаттың өзіне белгілі жабық кілтті пайдалану арқылы жүзеге асады.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Сур.1 – Ашық кілтпен шифрлеуді жүзеге ункц

 

Ашық кілтті криптографиялық  жүйеде қайтымсыз немесе бір жақты  ункція унк аталатын келесі қасиеттерден тұратын ункція пайдаланылады: берілген X мәніне салыстырмалы f(x) мәнін есептеу қажет, бірақ егер y=f(x) болса, онда x мәнін есептеудің қарапайым жолы жоқ.

Қайтымсыз функциялардың  көптеген кластары ашық кілтті жүйелердің әр түрін туғызады. Бірақ барлық қайтымсыз функциялар нақты ақпарат  жүйесіне пайдалануға келе бермейді. Қайтымсыздың анықтамасы белгісіздіктен тұрады. Қайтымсыздың түсінігіне теориялық қайтымсыздық емес қазіргі есептеу құралдарының көз жетерлік шолу уақыты аралығында кері мәнді есептей алмауы. Сондықтан, ашық кілтті жүйе ақпаратының сенімді қорғалуына кепілдік беретін екі маңызды талаптарды ұсынайық:

1. Шығатын мәтінді түрлендіру қайтымсыз процесс болуы міндетті және оны ашық кілтпен жүйелендіруді есептеп шығару керек.
2. Ашық кілтті негіздегі жабық кілт анықтамасыда жоғарыдағыдай қазіргі технологиялық деңгейде мүмкін болмауы керек.

Қазіргі ақпарат жүйесінде  ашық кілтпен шифрлеу алгоритмі  кең таралған. RSA алгоритмі де ашық жүйелер үшін әлемдік стандартқа айналып отыр. Бүгінгі ұсынылған  ашық кілтті криптожүйелердің барлығыда  келесі қайтымсыз түрлендіру типтеріне сүйенеді:

1. Ең үлкен сандарын қарапайым көбейткішке қою;
2. Логарифмді ақырғы өрісте есептеу;
3. Алгебралық формулалардың теңдеулер түбірін есептеу.

Осы жерде айта кететін  жәй, ашық кілтті криптожүйенің алгоритмдері 3 мақсатта пайдаланылады:

1. Сақталатын, берілетін деректерді өздігінен қорғау құралдары  түрінде пайдалану.
2. Кілттерді бөлу құралы түрінде пайдалану. Ашық кілтті криптожүйе алгоритмі өте көп жұмысты қажет етеді. Тәжірибеде ашық кілтті криптожүйе көмегімен кілтті үнемді бөледі, кілт көлемі ақпарат сияқты өте үлкен емес. Сосын кәдімгі алгоритм көмегімен үлкен ақпарат ағымын алмастырады.
3. Пайдаланушылардың аутентификациялық құралдары.

Ашық кілтті криптожүйенің (АКК) ең көп таралған түрі қарастырайық: ол 1977-жылы Рона Ривеста, Ади Шамир, Леонард Эйдельман дайындаған RSA криптожүйесі. RSA алгоритмінің кепілді қорғау мүмкіндігінің болуы ашық кілтті жүйенің танымал балуына себеп болды.  Сондықтан банкілік компьютерлік желілерде, әсіресе несие карточкасымен қызмет көрсетуге қолайлы. Қазіргі уақытта RSA алгоритмі SSL, SHHTP, SMIME, S/WAN, STT және  PCT стандарттарымен жұмыс істейді.

15.2 Криптографиялық қызмет көрсету түрлері

Қауіпсіздік шешімдері  бес криптографиялық қызмет көрсету  түрлерінің комбинациясын пайдаланады. Ол мына қызметтер:

• пайдаланушыны тексеру - жедел транзакция енгізу арқылы пайдаланушы өзінің кім екенін танытады;
• деректер координатының басын түрлендіру – мәлімет көзін жасау;
• деректердің тұтастығы - деректердің құқықсыз жақтардан сақталуын қамтамасыз ету;
• қарсылық білдірмеу-транзакцияны алушы бейтарап үшінші тұлғаға талап етілген таратқыштың шын мәнінде транзакция жібергенің демонстрациялау қабілеті.

Криптографияның 2 басты  түрі: кілтті-симметриялық және кілтпен  басқарылатын кешенді математикалық  алгоритмге негізделген ашық кілтпен  шифрлеу әдісі. Криптографияның кілтті-симметриялық сұлбасы жалпы құпия кілтті бөлу үшін сенімге кіргісі келетіндерден екі жақты талап етеді. Әрбір пайдаланушы жалпы кілтті үшінші тұлғаға жария етпеу үшін 1-ші пайдаланушы 2-не сенім артады. Бұл жүйе үлкен көлемді деректерді тиімді шифрлейді, өзекті мәселелерін мәнді баяндайды және шифрлеу орнына кілтті пайдаланады.