Ақпараттық қауіпсіздік

Қол қою басқа да биометриялық мінездемелер секілді адамның өзіне ғана тән  атрибуты саналады. Қол қою біз  үшін әдетті жағдай секілді, ол саусақтың таңбасы арқылы анықтаумен салыстырғанда криминалистика аймағымен ассосацияда болмайды. Әрине бұл әдісті барлық жағдайда қолдануға болмайды, бірақ банк жүйесінде немесе компьютерге кіру үшін оны қолдануға болады. Бұл жағдайларда қол қоюдың дұрыстығы анықталады және  бұл тиімді.

 

 

 

 

 

 

 

Әрбір жазуда әріпті сызу өзінің бір мағынасын береді. Графологтар  қол қою үлгісіне қарай отырып оның авторы туралы көп нәрсе айтып  бере алады. Фундементальды жұмыстар графологы  Зуев Инсаровтың классификациясында қол қоюдың мына  белгілеріне қарайды:

• басу күші;
• болдың бағыты;
• әріптің бағыты және қисаюы;
• қаламды ұстау түрі;
• әріптер мен сөздердің бірдейлігі және теңдігі;
• хатты жазудағы ритм және нақтылық;

Ал компьютер көмегімен  адам туралы қалай білуге болады? Компьютер жүйесі жазудың бірнеше параметрін ескере отырып жазу формасын, қаламның қозғалу динамикасын, басу деңгейін пайдалана отырып анықтайды.

Қол қоюды өңдеудің 2 әдісі  бар:

1. Үлгімен қарапайым салыстыру;
2. Динамикалық верификация әдісі

Динамикалық верификация әдісінде   қолданушыларды анықтау үшін LCI Computer Group (Дания) компаниясы шығарған “Интеллектуалды перо” (SmartPen) қолданылады. Ол шынымен де жазатын шарикті қаламмен жабдықталған. Ол сенсордан және кішкентай радиопередатчиктен тұрады.  Оның ең басты ерекшелігі жай қағазда да жаза алады. Мысалы, қолданушы өз қолын қояды ал қалам тек сол адамға тән биометриялық көрсеткіштерін комрьютерге енгізедді. Басты компьютерде көп қолданушылардың қол қою үлгілері сақталады.

SmartPen қаламы шынымен де қиын техникалық комплекс. Қалам датчиктермен жабдықталған микротышқаннан, мәліметтерді өңдеуге арналған сигналды процессордан тұрады.

  4.3.6 Пернелік жазу

Көптеген адамардың алдына қойған қиын тапсырмаларының бірі компьютер  кулавиатурасынан мәтінді тез  теру. Әдетте  ақпаратты клавиатураға тез енізу үшін екі қолының барлық саусақтарын қолдана отырып жазады. Осы кезде әрбір адам да тек өзіне ғана тән пернелік аз пауда болады.   Пернелік жазу –бұл клавиатурада жұмыс істеудің динамикалық мінездемелер жиынтығы. Компьютермен қарым –қатынас кезінде символдарды теру жылдамдығына  байланысты клавиатуаның негізгі және қосымша бөлігін қолдануға байланысты қолданушының тек өзіне тән белгілерін анықтауға болатынын көп адамар біле-білмейді.  Анықтаудың бұл тәсілі АҚШ-та өте танымал, онда үйдегі компьютерлер арқылы балалардың Internet –ке кіруіне жол берілмеу үшін қолданады. Егер бала ата-анасының паролін қарап алып немесе біліп алса да ол оны қолдана алмайды. Сонымен қатар бұл әдісті компьютерлік жүйелерді ұйымдастыруда қосымша қорғау әдісі ретінде пайдалануға болады.  

Биомериялық анықтаудың ең негізгі  мінездемелеріне парольдік сөздің ұзындығы жатады. Практиканың көрсетуінше  паролдік сөз 21-42 дейінгі арлықты  қамтитын тез жатталынатын сөз болуы  керек.  Сонымен қатар мұнда мазмұнына қарай сөздерді теру жылдамдығы да әр түрлі болады. Мысалы, химик «сутегі», «оттегі» деген сөздерді «экскаватор» немесе «программа» сөзеріне қарағанда тез тереді.

Пернелік жазудың белгілі бір  ерекшеліктері 2 тәсіл арқылы анықталады:

• кілттік сөзді теру арқылы;
• текст теру арқылы;

Атап өтетін жайт, бұл тәсілдерді қолданған жағдайда  қолданушыны  ғана анықтап қоймайды, ол оның жағдайын талдайды. Көрсетілген қорғау тәсілінің  мынандай артықшылықтары бар:

• Жұмысшылардың физикалық жағдайын  бақылап отырады;
• Парольдермен жұмыс кезінде қауіпсіздік ережесін бұзуды тоқтату;
• Желіге енуге қарапайым және сенімді әдісінің болуы.

4.3.7 Адамның қолы арқылы анықтау

Адамның қолы арқылы анықтаған кезде  қолдың геометриясы, көлемдік көрінісі және қан тамырларының орналасуы сияқты параметрлер қолданылады.

 Қолдың геометриясы арқылы анықтау әдісі қолдың үш өлшемдік  суретін талдау арқылы  анықтауға негізделген және бұл параметрлер бойынша  анықталатын математикалық моделі азғантай көлем алады, тек қана 9 байт. Сондықтан мұнда үлкен көлемді жазбалар сақтауға болады. Және іздеу уақыты аз. Бірақ қол формасы уақыт өткен сайын өзгеріп отыратын параметрлерге жатады, сонымен қатар үлкен көлемді сканерлерді талап етеді, ал бұл жүйенің қымбаттауына әкеледі.

Қазіргі уақытта қолдың геометриясы арқылы анықтау әдісі көптеген ұйымдар мен компанияларда қолданылады. Кейбір жағдайларда қолдың таңбасымен жұмыс істеген саусақ таңбасына қарағанда тиімді. Алақан таңбасын есептейтін құрылғылар көп орын алғанымен саусақ таңбасын есептейтін құрылғыларға қарағанда сенімді.

Recognition Systems компаниясының өнімі Hand Key  қолдың геометриясын өлшейтін бірден-бір қолайлы құрылғы. Орнатылған бейнекамерамен  қысу алгоритмін пайдалана отырып, ол қолдың ішкі беті мен жанын да сканерден өткізеді.  Мұндай сканерлерді 1996 жылы Атланта да олимпиядалық ауылда қолданылды және   олар өздерін жақсы көрсете білді.  Қолдың басқа параметрлерін сканерлейтін  құрылғыларды BioPartners, Palmetrics   және BTG сиқты бірнеше компаниялар құрастыруа.  Саусақтың геометриясын анықтайтын алғашқы коммерциялық құрылғы 30 жыл бұрын пайда болды. Ол саусақтың ұзындығын өлшейтін болған және ол Shearson  компаниясының табельдік есебі үшін пайдаланған.

 

 

Дәріс №5

5 Дербес электронды есептеу машиналарындағы ақпараттарды қорғау

5.1 Дербес компьютерде  ақпаратты қорғау ерекшелігі 

5.2 Ақпараттарды құқықтық  қорғау – қорғау объектісі  ретінде.

5.3 Ақпаратты тасымалдаудың қаржылық  автоматтандырылған жүйесі (АТҚАЖ)

5.1 Дербес компьютерде  ақпаратты қорғау ерекшелігі 

Ақпаратты қорғау мәселелері бірін-бірі толықтыратын 3 негізгі, өздік-салыстырмалы, толықтырушы бағыттарында қарастырылады:

• Ақпаратты өңдеу технологиясының ұйымдастыру -техникалық шаралары
• Рұқсат етілмеген қол жеткізуді бұғаттау
• Техникалық құралдар көмегімен бекітілмеген ақпарат алуды бұғаттау

Үлкен ЭЕМ-ге (электронды есептеу машинасы) арналып дайындалған  қорғау құралдары мен әдістері дербес компьютерге жарамды. Бірақ  дербес компьютерге арналған ақпаратты  қорғаудың арнайы мәселелері де бар.

Орталық процессор, оперативті жады және сыртқы құрылғылардың өзара әрекеттерінің шиналық құрылымы микропроцессорлық технологияға сәйкес келеді. Барлық сыртқы құрылғылардың  бірыңғай байланыс әдісі ОП(орталық процессор) немесе СҚ-ға (сыртқы құрылғы) қатысты барлық жұмысты орындайтын СҚ регистрі немесе жад ұяшықтарының жалпы жұмыстарын жүзеге асырады, қамтамасыз етеді. Осылайша арнайы енгізу-шығару командасы қажет етілмейді. ОЖ ұяшықтары және СҚ регистрі өзара аппараттық- бағдарламалық құралдар арқылы байланыста болады. Мұндай әдіс басқаруды бөлшектеуге негізделген. Ал бұл басқару қызметінің бір бөлігі СҚ аппараттық құралдарына берілгендігін білдіреді. Бұл тікелей қол жеткізу және жадының арнасын құрудың алғы шарты болып табылады.

Адрес қоры жалпы жүйесінің  енгізу-шығаруы төмендегідей жүзеге асады:

• Пайдаланушыға барлық есептеу ресурстарын ұсынады;
• Барлық ақпаратқа пайдаланушылар енгізу-шығару жүйесі арқылы қол жеткізуге алады;
• Басқаруды бөлшектеуге берік-сенімді қорғауды қамтамасыз етуді орталықтан бақылауға қарсылық көрсету қағидасы кіреді;
• Пайдаланушыларды түрлендіру;
• Парольдермен дұрыс жұмыс істей білу .

ОЖ-ні қорғау келесі элементтерден тұрады:

• сервистік бағдарламаны бақылау және ресурстарға қол жеткізу;
• сыну туралы ескерту және бақылау арқылы пайдаланушы құқығын бағдарламалық анықтау;
• қорғалған тіркеу журналын қалыптастырады.

Қол жеткізуді бақылаудың бағдарламалық құралдары.

Қол жеткізудің бағдарламалық  құралдары төмендегідей қасиеттерден тұруы керек:

• пайдаланушыны түрлендіру;
• парольдер түпнұсқасын бекіту;
• құралдарға қол жеткізуді бекіту;
• қорғауды жүргізудің ағымдағы бақылауы және тіркеуі.

Деректер қорын бақылау  дегеніміз хакердің барлық басқа  деңгейден өтіп, соңғы деңгейде қорғауы. Бағдарламалық жабдықтау деректерді, деректер қорын түрлендіретін, ескі-құсқыны пайдалануда шектеу және деректерді қодалау жолымен элементтер деңгейінде деректерді қорғау керек. Операциялық жүйе деректер қорын сыртынан қорғау керек, ал деректер қорын басқару жүйесі деректерді операциялық жүйе бақылайтын кез келген қол жеткізуден сақтай білуі керек.  Әкімшілік деректер қорына қызмет көрсету және әкімшілік ету, бақылау қолданбалы бағдарламалау, жобалау, зерттеу міндеттерін бөліп беруге міндетті. Деректер қорын бақылау төмендегідей жұмыс түрлерінен тұрады:

• бекітілген өзгерістердің бар-жоғын тексеру мақсатында деректер қорын мерзімімен жүктемеден босатып тұру;
• бағдарламалар ұзындығын кітапханалық көшірмемен салыстыру;
• тестілеу көмегімен бағдарламаны тексеру;

Желілік бақылау келесі талаптардан тұрады:

• құрушыны бағдарламадан айыру үшін құратын бағдарламаны айдаған кезде оны қодалау және парольдеу;
• жүктелген бағдарламаның вирусын тексеру;
• баспалық файлдар пакетін бағдарламалық құралдармен қорғау құралдары арқылы қорғау.

     Электрондық  негізде жүйені қорғауда мынадай  жұмыстарға көңіл аударылуы қажет:

• қозғалмаған, ашылмаған ресурстар болмауы керек;
• алып тасталған пакеттік өңдеу пайдаланылмайды;
• ашылған ресурстарға төменгі шектен басымдық беріледі;
• жүйеге диалогтік енуге тыйым салынады;
• кәдімгі пайдаланушыға ұсынылатын ең үлкен мөлшердегі дискіні енгізгіш (дисковод)  кеңістігін ағымдағы дискінің ең аз мөлшерінен асырмай ұсыну.

Фирманың құпия ақпараты (шифрленіп) мүмкін болатын барлық ашып алу жағдайынан қорғалуы қажет. Бәрібір маман емес хакерлерді әшекерлеуге болады. Ал шебер хакерлердің бұзықтығы тонау және талаумен аяқталады.

5.2 Ақпараттарды құқықтық  қорғау – қорғау объектісі  ретінде.

Осы Заң ақпараттандырудың құқықтық негіздерін белгілейді, электрондық ақпараттық ресурстар мен ақпараттық жүйелерді құру, пайдалану және қорғау кезінде туындайтын қоғамдық қатынастарды реттейді. 2007 жылдың 11 қантарында қабылданған.

1-бап. Осы Заңда пайдаланылатын негізгі ұғымдар

Осы Заңда мынадай негізгі ұғымдар пайдаланылады:

1) ақпараттандыру - ақпараттық технологияларды пайдаланудың негізінде электрондық ақпараттық ресурстарды, ақпараттық жүйелерді қалыптастыруға және дамытуға бағытталған ұйымдастырушылық, әлеуметтік-экономикалық және ғылыми-техникалық процесс;

2) ақпараттық жұмыстар - электрондық ақпараттық ресурстар мен ақпараттық жүйелерді құру жөніндегі қызмет;

3) ақпараттық жүйе - ақпараттық процестерді іске асыруға арналған аппараттық-бағдарламалық кешен;

4) ақпараттық жүйелердің аудиті - ақпараттық жүйенің ағымдағы жай-күйін онда болып жатқан іс-әрекеттер мен оқиғаларды бағалаудың жүйелі процесі, олардың белгілі бір өлшемдерге, техникалық регламенттерге, стандарттарға, нормативтік-техникалық құжаттамаға және (немесе) тапсырыс берушінің талаптарына сәйкестік деңгейін белгілейді;

5) ақпараттық жүйелердің, бағдарламалық өнімдердің, бағдарламалық кодтар мен нормативтік-техникалық құжаттаманың депозитарийі (бұдан әрі - депозитарий) - бағдарламалық өнімдердің, бағдарламалық кодтардың даналарын оларға ілеспе нормативтік-техникалық құжаттамалармен бірге жинақтауды, сипаттауды, сақтауды және жүйелеуді қамтамасыз етуге арналған арнаулы сақтау орны;

6) ақпараттық жүйелерді, бағдарламалық өнімдерді, бағдарламалық кодтар мен нормативтік-техникалық құжаттаманы депозитке беру (бұдан әрі - депозитке беру) - бағдарламалық өнімдердің, бағдарламалық кодтар мен нормативтік-техникалық құжаттаманың даналарын депозитарийге сақтауға беру;

7) ақпараттық-коммуникациялық желі - ақпараттық жүйелер немесе оларды құрастырушылар арасындағы өзара іс-қимылды, сондай-ақ электрондық ақпараттық ресурстарды беруді қамтамасыз ететін техникалық және аппараттық-техникалық құралдардың жиынтығы;

8) ақпараттық қызметтер көрсету - пайдаланушыларға электрондық ақпараттық ресурстарды беру жөніндегі қызмет;

9) ақпараттық процестер - электрондық ақпараттық ресурстарды ақпараттық технологияларды пайдалана отырып құру, жинау, өңдеу, жинақтау, сақтау, іздеу, беру, пайдалану және тарату процестері;

10) ақпараттандыру саласындағы уәкілетті орган (бұдан әрі - уәкілетті орган) - ақпараттандыру және «электрондық үкімет» саласындағы мемлекеттік саясатты іске асыруды және қызметті мемлекеттік реттеуді жүзеге асыратын орталық атқарушы орган;

11) ақпараттандыру саласындағы ұлттық оператор (бұдан әрі - ұлттық оператор) - Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған, өзіне мемлекет атынан меншік иесі мемлекеттік ақпараттық жүйелер мен мемлекеттік электрондық ақпараттық ресурстарды интеграциялау және олардың қауіпсіздігін қамтамасыз ету, ақпараттандыру саласындағы бірыңғай техникалық саясатты іске асыруға қатысу жөніндегі міндеттер, «электрондық үкімет» инфрақұрылымының жобалық интеграторы функциялары жүктелген заңды тұлға;