logo
  1. Bosh sahifa
  2. Referatlar
  3. Umumiy
  4. RUXSATLARNI NAZORATLASH. IDENTIFIKATSIYA. AUTENTIFIKATSIYA. AVTORIYAZATSIYA.

RUXSATLARNI NAZORATLASH. IDENTIFIKATSIYA. AUTENTIFIKATSIYA. AVTORIYAZATSIYA.

Yuklangan vaqt:

08.08.2023

Ko'chirishlar soni:

0

Hajmi:

158.5732421875 KB
Ko'chirib olish
RUXSATLARNI NAZORATLASH. IDENTIFIKATSIYA. AUTENTIFIKATSIYA. AVTORIYAZATSIYA. Reja: 1. Autentifikatsiya va identifikatsiya usullari 2. Ruxsatlarni nazoratlash 3. Hujumlarni aniqlash tizimlari Autentifikatsiya va identifikatsiya usullari Identifikatsiya - jarayoni foydalanuvchini tizimga tanitish jarayoni bo lib,ʻ unda odatda foydalanuvchi o z ismidan (login), smart kartalardan va biometrik ʻ xususiyatlaridan foydalanishi mumkin. Autentifikatsiya jarayoni - foydalanuvchi yoki ma‘lumotni haqiqatda to g’ri ʻ ekanligini tekshirish jarayoni bo lib, odatda 3 turga bo linadi: ʻ ʻ - Biror narsani bilish asosida. Masalan:parol, PIN, savol-javob va h.k. - Biror narsaga egalik qilish asosida. Masalan: ID karta, xavfsizliktokenlari va h.k. - Mavjud o ziga xos faktorlar asosida. Masalan: barmoq izi, yuz tuzilish, ʻ DNK, ovoz, harakat va h.k. Parollar asosida autentifikatsiyalash . Parol asosida autentifikatsiyalash usuli keng tarqalgan usullardan biri sanalib qolmasdan, eng zaif usuldir. Parol asosida autentifikatsiyalash usulini zaiflikka olib keluvchi omillar: - murakkab parollarni esga qolishi qiyin bo lganligi sababli ʻ foydalanuvchitomonidan sodda parollardan foydalanish; - parolni unutib qo yish muammosi; ʻ - ko p tizimlarda foydalanuvchi tomonidan aynan bir xil paroldan ʻ - foydalanilishi; - parol o qib oluvchi har xil dasturlar mavjudligi va h.k. ʻ Parol – autentifikatsiyalashda keng foydalanilayotgan kattalik bo lib, ʻ foydalanishda katta qulaylik tug’diradi. Ammo, bardoshligi juda past. Kriptografik kalit – autentifikatsiyalashda foydalanilib, bardoshligi jixatidan parolga qaraganda bardoshli. Parollarga asoslangan autentifikatsiyalash tizimlarida parol 3 marta noto g’ri ʻ kiritilgan taqdirda tizim qulflanishi shart. Parollar odatda fayllarda xeshlangan holda saqlanadi. Autentifikatsiya jarayoni xeshlangan parol orqali amalga oshiriladi. Bu holda buzg’unchi faylni qo lga kiritgan taqdirda ham parolga emas ʻ balki uning xesh qiymatiga ega bo ladi. ʻ Lug„atga asoslangan tahdid . Bu tahdid turi parolga asoslangan autentifikatsiyalash tizimlari uchun mos bo lib, zaif parollardan yoki umumiyʻ bo lgan parollardan foydalanilgan taqdirda katta foyda beradi. Buning uchun ʻ buzg’unchi internet tarmog’idan keng foydalanilgan parollar ro yxatini (lug’atini) ʻ ko chirib oladi va ularni tizimga birin-ketin qo yish orqali tekshirib ko radi. ʻ ʻ ʻ Parollar xeshlangan taqdirda ham lug’atga asoslangan tahdid o rinli bo lib, ʻ ʻ zaif parol foydalanilgan vaqtda katta samara beradi. Parollarni saqlashda odatda - tuz (solt), funsiyasidan keng foydalanadi. Buning uchun foydalanuvchi tasodifiy kattalik - tuzni tanlaydi va parolga qo shib, ʻ uning y=h(p,s) xesh qiymatini hisoblaydi va parollar fayliga (y, s) shaklida yozib qo yadi. Bu erda - tuz maxfiy sanalmaydi ammo, buzg’unchi har bir foydalanuvchi ʻ uchun uni alohida hisoblashi talab etiladi. Parollarni aniqlash: matematik hisoblash. Faraz qilaylik parol 8 ta belgidan iborat bo lib, u 128 belgidan iborat bo lgan alifbodan olingan. Bunda mavjud ʻ ʻ parollar soni 128 8 =2 56 . Parollar fayliga jami bo lib, 2 ʻ 10 ta paroldan iborat bo lib, ʻ tahdidchi 2 20 ta keng tarqalgan paroldan iborat bo lgan lug’atdan foydalanadi. Agar ʻ parolni lug’atda bo lish ehtimolligi ¼ ga teng deb olinsa: ʻ - Lug’atdan foydalanilmagan holda, kamida 2 56 /2=2 55 urinishni amalga oshirishi shart; - tuzdan foydalanilgan holda esa ¼ (2 19 )+3/4 (2 55 ) =2 54.6 ga teng bo ladi; ʻ - tuzdan foydalanilmagan holda, 2 20 ga teng bo ladi. ʻ Amalda parollarni buzishga Password Cracker, Password Portal, L0phtCrack and LC4(Windows), John the Ripper(Unix) vositalardan foydalanilmoqda. ID kartalar asosida autentifikatsiyalash usuli parollar asosida autentifikatsiyalash usuliga qaraganda bardoshli sanalib, foydalanuvchi tomonidan yo qotilib qo yish muammosi mavjud. Bu usulda asosan mashinaning pultini, parol ʻ ʻ generatori, smart karta va h.k. Kalit generatorlariga asoslangan autentifikatsiyalash tizimi quyidagicha: 1. 3.2 – rasm. Kalit generatori orqali autentifikatsiyalash Mavjud o ziga xos xususiyatlarʻ yoki biometrik parametrlar asosida autentifikatsiyalash usuli bardoshli sanalib, yuqoridagi usullarda mavjud kamchiliklar bartaraf etilgan. Kamchilik sifatida esa foydalanilgan qurilma narxi yoki jarayon vaqtini uzoqligini keltirish mumkin. Ananaviy autentifikatsiyalash usullari (parol asosida va nimagadir egalik qilish asosida) foydalanishda qulay bo lishiga qaramasdan qator kamchiliklarga ʻ ega: – foydalanuvchi paroli odatda sodda va foydalanuvchi xotirasida saqlanishi oson bo lish uchun qisqa frazalardan foydalanadi, bu esa ushbu tizimning zaifligini ʻ anglatadi; – parollarni esdan chiqarib qo yish muammosi; ʻ – autentifikatsiyalash tokenlarini (smart kartalar va h.k) yo qotib qo yish ʻ ʻ muammosi va h.k Ushbu muammolarni bartaraf etish uchun uchinchi yo nalish, ʻ biometrik parametrlarga asoslangan autentifikatsiyalash usullaridan foydalaniladi. Biometrik parametrlarga asoslangan autentifikatsiyalash usullari o zining ʻ ishonchlilik, o g’irlab bo lmaslik, ko chirib bo lmaslik, foydalanishda qulaylik va ʻ ʻ ʻ ʻ xususiyatlari bilan ajralib turadi (1.3.2-rasm). 1.3.3-rasm А utentifikatsiyalash usullari Ruxsatlarni nazoratlash Avtorizatsiya jarayoni bu – foydalanuvchiga tizim tomonidan berilgan foydalanish darajasi. Kompyuter tizimlari xavfsizligini aniqlash kriteriyalari (Trusted Computer System Evaluation Criteria yoki Orange book) 1983 yilda chop etilgan bo lib,ʻ hozirgi kungi, 2005 yilda qabul qilingan ISO/IEC 15408 ning analogidir. Ushbu kriteriya zarur yoki maxfiy axborotlarni saqlash, qidirish, kompyuter tizimlarini tanlash va klassifikatsiyalash uchun foydalaniladi. Asosiy maqsadi va vositasi. Xavfsizlik siyosati kompyuter tizimi uchun batafsil bo lishi, yuqori darajada aniqlanganligi va tegishli bo lishi shart. Ikki ʻ ʻ asosiy xavfsizlik siyosati mavjud: mandatga asoslangan xavfsizlik siyosati va diskretsion xavfsizlik siyosati. Mandatga asoslangan xavfsizlik siyosatida maxfiy ma‘lumotlardan foydalanishda individual yondoshishga asoslanadi. Har bir foydalanuvchiga berilgan ruxsatlar tashkilotdani xavfsizlik siyosatidan kelib chiqadi. Diskretsion xavfsizlik siyosatida esa ruxsatni cheklashda va boshqarishda qoidalar to plamidan foydalaniladi. Bu qoidalar faqat biror kerakli bo lgan ʻ ʻ ma‘lumotni olishga qaratilgan bo ladi. Boshqa so z bilan aytganda har bir ʻ ʻ ma‘lumot uchun foydalanuvchining ruxsatlari turlicha bo lishi mumkin. ʻ Xavfsizlik siyosatidan bo lak, individual javobgarlik mavjud bo lib, ular ʻ ʻ asosan uchta talabdan iborat: – autentifikatsiy a; – avtorizatsiya; – audit. To q sariq kitob xavfsiz tizim, ishonchli tizim, xavfsizlik siyosati,ʻ kafolatlanganlik darajasi, hisobdorlik, ishnochli hisoblash bazalari, muloqot monitoringi, xavfsizlik yadrosi, xavfsizlik peremetri kabi terminlardan iborat. Ushbu kriteriya 4 ta: D, C, B va A bo limlardan iborat bo lib, xavfsizlik ʻ ʻ darajasi A da eng yuqori. C, B va A bo limlar qism bo limlardan iborat. ʻ ʻ D – Eng kichik xavfsizlik talabiga ega bo lim. ʻ C – Diskretsion himoya. C1 – maxfiylikni diskretsion ta‘minoti bo lib, ʻ foydalanuvchi, ma‘lumotlarni bo limga ajratish va diskretsion ruxsatlarni ʻ boshqarishdan iborat bo ladi. C2 – ruxsatlarni boshqarish. Diskretsion ruxsatlarni ʻ boshqarishning yuqori aniq bo lishi, individual foydalanuvchi qayd yozuvi, ʻ tizimga ruxsatlarni boshqarish jurnali, resurslarni izotsiyalash. B – Mandatga asoslangan himoya. B1 – metaxavfsizlikdan foydalanilgan holda himoya. B2 – Tizimlashgan himoya. B3 – Xavfsizlik domeni. A – sinalgan himoya. A1 – sinalgan dizayn va yuqori A1 qismlaridan iborat. Umumiy kriteriyalar ( Common Criteria for Information Technology Security Evaluation, Common Criteria ). Kompyuter xavfsizligi bo yicha xalqaro standart. ʻ Ushbu standart asosiy ikki talabdan iborat: funksional va ishonch talablaridan iborat. Funksional talablar xavfsizlik maqsadiga ko ra guruhlanadi. Ummumiy holda ʻ 11 ta funksional sinf (3 guruhda), 66 oila va 135 ta komponentdan iborat. 1. Birinchi guruh xavfsizlikning elementar xizmatlarini aniqlaydi. 1.1. FAU – audit, xavfsizlik. 1.2. FIA – identifikatsiya, autentifikatsiya. 1.3. FRU – resurslardan iborat. 2. Elementar xavfsizlik xizmatlaridan xizmatlarni ishlab chiqish. 2.1. FCO – aloqa (junatuvchi-qabul qiluvchi orasidagi xavfsiz aloqa). 2.2. FRP – g’ayirilik. 2.3. FDP – foydalanuvchi ma‘lumotlarini himoyalash. 2.4. FPT – ob‘ektni xavfsizligini baholash funksiyasi himoyasi. 3. Uchinchi guruh ob‘ektni baholash infratuzilmalari bilan aloqador. 3.1. FCS – kriptografik himoya. 3.2. FMT – xavfsizlikni boshqarish. 3.3. FTA – ob‘ektni baholashga ruxsat. 3.4. FTP – ishonchli kanal. Xavfsizlik kafolati talablari 10 ta sinf, 44 ta oila va 93 ta komponentdan iborat. 1. Birinchi guruh talablardan tashkil topgan. 1.1. APE – himoya profilini baholash. 1.2. AES – xavfsizlik vazifalarini baholash. 2. Ikkinchi guruh ob‘ektni attestatsiyalashning hayotiy siklidan iborat. 2.1. ADV – ob‘ektni loyixalash va qurish. 2.2. ALC – hayotiy siklni qo llab quvvatlash. ʻ 2.3. ACM – konfguratsiyani boshqarish. 2.4. AGD – foydalanuvchi va administratorga. 2.5. ATE – testlash. 2.6. AVA – zaifliklarni baholash. 2.7. ADO – ekspluatatsiya va etkazib berishga talablar. 2.8. AMA – ishonch-talablarini qo llab quvvatlash. ʻ Avtorizatsiyalash texnologiyalari. Avtorizatsiyalashda qator texnologiyalardan foydalanilib, ularning asosiylari quyidagilar. Mandatga asoslangan ruxsatlarni boshqarish (Mandatory Access Control (MAC)). Bu texnologiyaga asosan ob‘ekt yoki sub‘ektning xavfsizlik bayrog’iga asosan boshqariladi. Xavfsizlik bayrog’i xavfsizlik darajasini belgilaydi. Quyidagi 1.3.1 (a,b)-jadvalda xavfsizlikni harbiy va savdo sohasida darajalanishi keltirilgan. 1.3.1 (a)-jadval.Xavfsizlikni harbiy sohasi Klassifikatsiya Izoh Klassifikaysiyalanmagan. Axborot maxfiy yoki klassisifikatsiyalangan emas. Maxfiy ammo klassifikatsiyalanmagan. Axborot ochiq bo lsa, unga ziyon ʻ etishi mumkin. Konfidensial Faqat ichki foydalanish uchun ochiq Maxfiy Axborot milliy xavfsizlikka jiddiy ta‘sir etishi Mumkin Top maxfiy Axborot milliy xavfsizlikga o ta ʻ jiddiy ta‘sir etishi mumkin. 1.3.1 (b)-jadval. Xavfsizlikni savdo sohasi Klassifikatsiya Izoh Ochiq Hamma uchun ochiq ma‘lumot Maxfiy Ma‘lumot biznesga ta‘sir etishi mumkin. Shaxsiy Bir shaxsga tegishli ma‘lumotlar. Konfidensial Bu turdagi ma‘lumotlar ochilsa tashkilotga jiddiy ta‘sir etadi. Bu texnologiyaga asoslangan xavfsizlikni boshqarish modeli bu – Bella-La-Padula modelidir. Diskretsion ruxsatlarni boshqarish. Mandatga asoslangan ruxsatlarni boshqarish tizimi harbiy sohada keng foydalanilsada, diskretsion ruxsatlarni boshqarish tizimi o zining sodda foydalanilishi bilan ajralib turadi. Bunga ko ra ʻ ʻ ob‘ekt egasi qaysi sub‘ektni nima ish qilishini belgilab beradi. Bu usul mandatga asoslangan usulga qaraganda juda xavfsizi sanalmasada, operatsion tizimlarda keng foydalaniladi. Bunda asosan boshqarish matritsasidan foydalaniladi. 1.3.2-jadval.Ruxsatlar matritsasi Rollarga asoslangan ruxsatlarni boshqarish . Bu usulga ko ra ruxsatlarʻ sub‘ektlarning rollariga asoslanib beriladi. Bu bir ko rinishda guruhlarga ajratishga ʻ o xshashi mumkin ammo undan farqli ravishda bir foydalanuvchi bir nechta ʻ guruhlarga tegishli bo lishi mumkin. Ammo umumiy holda, foydalanuvchi yagona ʻ rolga ega bo ladi. ʻ Kapcha. Kapcha (inglizcha: CAPTCHA — Completely Automated Public Turing test to tell Computers and Humans Apart) - kompyuter yoki inson ekanligini aniqlashning ochiq avtomatlashgan Turing testi deb atalib, masofadagi foydalanuvchini inson yoki kompyuter ekanligini aniqlashda foydalaniladi. Bu termin 2000 yilda paydo bo lgan bo lib, 2013 yilga kelib kuniga o rtacha 320 mln. ʻ ʻ ʻ kapcha kiritilgan (1.3.4-rasm). 1.3.4-rasm. Kapcha Ushbu tizimning asosiy kamchiligi bu har doim ham kapcha yorqin ifodalanmaydi. Gohida uni hattoki inson ham aniqlay olmaydi. Tarmoqlararo ekran (TE) - brandmauer yoki firewall sistemasi deb xam ataluvchi tarmoqlararo himoyaning ixtisoslashtirilgan kompleksi. Tarmoqlararo ekran umumiy tarmoqni ikki yoki undan ko p qismlarga ajratish va ma‘lumot ʻ paketlarini chegara orqali umumiy tarmoqning bir qismidan ikkinchisiga o tish ʻ shartlarini belgilovchi qoidalar to plamini amalga oshirish imkonini beradi. ʻ Odatda, bu chegara korxonaning korporativ (lokal) tarmogi va internet global tarmoq orasida o tkaziladi. Tarmoqlararo ekranlar garchi korxona lokal tarmogiʻ ulangan korporativ intratarmog’idan qilinuvchi hujumlardan himoyalashda ishlatilishlari mumkin bo lsada, odatda ular korxona ichki tarmog’ini internet ʻ global tarmoqdan suqilib kirishdan himoyalaydi. Aksariyat tijorat tashkilotlari uchun tarmoqlararo ekranlarning o rnatilishi ichki tarmoq xavfsizligini ʻ ta‘minlashning zaruriy sharti hisoblanadi. Ruxsat etilmagan tarmoqlararo foydalanishga qarshi ta‘sir ko rsatish uchun ʻ tarmoqlararo ekran ichki tarmoq hisoblanuvchi tashkilotning himoyalanuvchi tarmog’i va tashqi g’anim tarmoq orasida joylanishi lozim (1.3.5-rasm). Bunda bu tarmoqlar orasidagi barcha aloqa faqat tarmoqlararo ekran orqali amalga oshirilishi lozim. Tashkiliy nuqtai nazaridan tarmoqlararo ekran himoyalanuvchi tarmoq tarkibiga kiradi. Ichki tarmoqning ko pgina uzellarini birdaniga himoyalovchi tarmoqlararo ʻ ekran quyidagi ikkita vazifani bajarishi kerak: – tashqi (himoyalanuvchi tarmoqqa nisbatan) foydalanuvchilarning korporativ tarmoqning ichki resurslaridan foydalanishini chegaralash. Bunday foydalanuvchilar qatoriga tarmoqlararo ekran himoyalovchi ma‘lumotlar bazasining serveridan foydalanishga urinuvchi sheriklar, masofadagi foydalanuvchilar, xakkerlar, hatto kompaniyaning xodimlari kiritilishi mumkin; – himoyalanuvchi tarmoqdan foydalanuvchilarning tashqi resurslardan foydalanishlarini chegaralash. Bu masalaning yechilishi, masalan, serverdan xizmat vazifalari talab etmaydigan foydalanishni tartibga solishga imkon beradi. 1.3.5 – rasm. Tarmoqlararo ekranni ulash sxemasi Tarmoqlararo ekranni klassifikatsiyalashda standart mavjud emas. Shunga qaramasdan, ularni OSI modelining qaysi sathiga ishlashiga qarab quyidagi turlarga ajratish mumkin: – paket filtrlari – tarmoq sathida ishlaydi; – ekspert paketi filtrlari – transport sahida ishlaydi; – ilova proksilari – ilova sathida. Paket filterlari. Bu turdagi tarmoqlararo ekran tarmoq sathida paketlarni tahlillashga asoslangan bo lib, bunda kalit ma‘lumotlar sifatida: manba IP manzili,ʻ masofadigi IP manzil, manba porti, masofadagi port, TCP bayroq bitlari (SYN, ACK, RST va h.k.) parametrlar asosida amalga oshiriladi. Bu turdagi tarmoqlararo ekran asosan yuqoridagi parametrlar asosida kiruvchi va chiquvchi trafikni tahlillaydi. Bu turdagi tarmoqlararo ekran samarali bo lib, faqat tarmoq sathida ishlaydi ʻ va sarlavha ma‘lumotlarni tahlillashda katta tezlik beradi. Ammo, bu turdagi tarmoqlararo ekran qator kamchiliklarga ega: – holatning turg’unligi mavjud emas, ya‘ni har bir paket turlicha bo ladi; – bu ʻ turdagi tarmoqlararo ekran TCP aloqani tekshirmaydi; – ilova sathi ma‘lumotlarni, zararli dasturlarni va h.k. tekshirmaydi. Bu turdagi tarmoqlararo ekran ―Ruxsatlarni nazoratlash ro yxati (ACL)ʻ yordamida sozlanadi (1.3.6 – rasm, 1.3.3-jadval . ). Ilova sathi Transport sathi Tarmoq sathi Kanal sathi Fizik sathi 1.3.6-rasm. Paket filteri 1.3.3-jadval. Ruxsatlarni nazoratlash ro yxatiga misol ʻ Harakat Manba IP Masofadagi IP Manba port Masofadagi port Protokol Bayroq Ruxsat Ichki Tashqi Ixtiyoriy 80 HTTP Ixtiyoriy Ruxsat Tashqi Ichki 80 >1023 HTTP ACK Taqiq Barcha Barcha Barcha Barcha Barcha Barcha Yuqoridagi qoidaga asosan faqat Web uchun kirish va chiqish mavjud bo lib, ʻ qolgan hollarda harakatlar cheklangan. Bu sozlanmadan buzg ’ unchi qanday qilib foydalanishi mumkin ? Buning uchun dastlab buzg ’ unchi tarmoqlararo ekranning qaysi porti ochiq ekanligi aniqlash kerak . Boshqa so ʻ z bilan aytganda portlarni skanerlashni amalga oshirishi kerak . Ochiq port aniqlangandan so ʻ ng , u port orqali zararli ma ‘ lumot yuborilishi mumkin . Buni oldini olish uchun odatda , tarmoqlararo ekran mavjud TCP bog ’ lanishlarni xotirasida saqlashi kerak va natijada qabul qilingan bog ’ lanish oldingi bog ’ lanish bilan bir xil ekanligini aniqlaydi . Ekspert paketi filtrlari . Bu turdagi tarmoqlararo ekran paketni filterlash vazifasini bajaruvchi tarmoqlararo ekranga mavjud kamchiliklarni bartaraf etadi . Bu turga asosan tekshiruv tarmoq va transport sathida amalga oshiriladi. Kamchiligi esa, tekshirish vaqtining ko pligi va ilova sathi ma‘lumotlariniʻ tekshirish imkoni yo qligidir (1.3.7-rasm.). ʻ Ilova sathi Transport sathi Tarmoq sathi Kanal sathi Fizik sathi 1.3.7-rasm. Ekspert paketi filtri Ilova proksilari. Bu turdagi tarmoqlararo ekran oldingi ikki turga mavjud kamchiliklarni o zida bartaraf etadi va ilova sathida ʻ Ilova sathi Transport sathi Tarmoq sathi Kanal sathi Fizik sathi 1.3.8-rasm. Ilova proksilari Bu toifadagi tarmoqlararo ekranda paketlar tarmoq, transport va ilova sathlarida tekshiriladi. Ilova sathi uchun paket buzilib qaytadan quriladi. Shaxsiy tarmoqlararo ekran. Bu dasturiy vositalar yuqoridagi uch turdan biriga tegishli bo lib, odatda bir hostni himoyalash uchun foydalaniladi. Bu ʻ dasturiy vositalar sodda interfeysga ega bo lib, oson sozlanadi. ʻ FOYDALANILGAN ADABIYOTLAR RO YXATI ʻ 1. G’aniyev S.K., Karimov M.M., Toshev K.A. Axborot xavfsizligi. Darslik. Toshkent. - 2016. 2. Sh.A.Abduraxmonova Axborot xavfsizligi. O quv qo llanm. – ʻ ʻ Toshkent, ―Navro z nashriyoti. - 2018. ʻ ‖ 3. S.K.G’aniev, M.M. Karimov, K.A. Toshev «Axborot xavfsizligi. Axborot - kommunikatsion tizimlari xavfsizligi», «Aloqachi» 2008 yil 4. Richard E.Smith. Elementary information security. 2nd Edition. USA, 2014. 5. Kamilov Sh.M., Masharipov A.K., Zakirova T.A., Ermatov Sh.T., Musayeva M.A. Kompyuter tizimlarida axborotni ximoyalash. O quv qo llanma. –T.: TDIU, ʻ ʻ 2005. 6. Paul van Oorschot, Computer Security and the Internet: Tools and Jewels (2020, Springer). Personal use copy freely available on author's web site. 7. Wenliang Du, Computer Security: A Hands-on Approach (2017, self- published). Updated May 2019 . 8. Stallings and Brown, Computer Security: Principles and Practice, 3/e (2014, Prentice Hall).

RUXSATLARNI NAZORATLASH. IDENTIFIKATSIYA. AUTENTIFIKATSIYA. AVTORIYAZATSIYA. Reja: 1. Autentifikatsiya va identifikatsiya usullari 2. Ruxsatlarni nazoratlash 3. Hujumlarni aniqlash tizimlari

Autentifikatsiya va identifikatsiya usullari Identifikatsiya - jarayoni foydalanuvchini tizimga tanitish jarayoni bo lib,ʻ unda odatda foydalanuvchi o z ismidan (login), smart kartalardan va biometrik ʻ xususiyatlaridan foydalanishi mumkin. Autentifikatsiya jarayoni - foydalanuvchi yoki ma‘lumotni haqiqatda to g’ri ʻ ekanligini tekshirish jarayoni bo lib, odatda 3 turga bo linadi: ʻ ʻ - Biror narsani bilish asosida. Masalan:parol, PIN, savol-javob va h.k. - Biror narsaga egalik qilish asosida. Masalan: ID karta, xavfsizliktokenlari va h.k. - Mavjud o ziga xos faktorlar asosida. Masalan: barmoq izi, yuz tuzilish, ʻ DNK, ovoz, harakat va h.k. Parollar asosida autentifikatsiyalash . Parol asosida autentifikatsiyalash usuli keng tarqalgan usullardan biri sanalib qolmasdan, eng zaif usuldir. Parol asosida autentifikatsiyalash usulini zaiflikka olib keluvchi omillar: - murakkab parollarni esga qolishi qiyin bo lganligi sababli ʻ foydalanuvchitomonidan sodda parollardan foydalanish; - parolni unutib qo yish muammosi; ʻ - ko p tizimlarda foydalanuvchi tomonidan aynan bir xil paroldan ʻ - foydalanilishi; - parol o qib oluvchi har xil dasturlar mavjudligi va h.k. ʻ Parol – autentifikatsiyalashda keng foydalanilayotgan kattalik bo lib, ʻ foydalanishda katta qulaylik tug’diradi. Ammo, bardoshligi juda past. Kriptografik kalit – autentifikatsiyalashda foydalanilib, bardoshligi jixatidan parolga qaraganda bardoshli. Parollarga asoslangan autentifikatsiyalash tizimlarida parol 3 marta noto g’ri ʻ kiritilgan taqdirda tizim qulflanishi shart. Parollar odatda fayllarda xeshlangan holda saqlanadi. Autentifikatsiya jarayoni xeshlangan parol orqali amalga oshiriladi. Bu holda buzg’unchi faylni qo lga kiritgan taqdirda ham parolga emas ʻ balki uning xesh qiymatiga ega bo ladi. ʻ

Lug„atga asoslangan tahdid . Bu tahdid turi parolga asoslangan autentifikatsiyalash tizimlari uchun mos bo lib, zaif parollardan yoki umumiyʻ bo lgan parollardan foydalanilgan taqdirda katta foyda beradi. Buning uchun ʻ buzg’unchi internet tarmog’idan keng foydalanilgan parollar ro yxatini (lug’atini) ʻ ko chirib oladi va ularni tizimga birin-ketin qo yish orqali tekshirib ko radi. ʻ ʻ ʻ Parollar xeshlangan taqdirda ham lug’atga asoslangan tahdid o rinli bo lib, ʻ ʻ zaif parol foydalanilgan vaqtda katta samara beradi. Parollarni saqlashda odatda - tuz (solt), funsiyasidan keng foydalanadi. Buning uchun foydalanuvchi tasodifiy kattalik - tuzni tanlaydi va parolga qo shib, ʻ uning y=h(p,s) xesh qiymatini hisoblaydi va parollar fayliga (y, s) shaklida yozib qo yadi. Bu erda - tuz maxfiy sanalmaydi ammo, buzg’unchi har bir foydalanuvchi ʻ uchun uni alohida hisoblashi talab etiladi. Parollarni aniqlash: matematik hisoblash. Faraz qilaylik parol 8 ta belgidan iborat bo lib, u 128 belgidan iborat bo lgan alifbodan olingan. Bunda mavjud ʻ ʻ parollar soni 128 8 =2 56 . Parollar fayliga jami bo lib, 2 ʻ 10 ta paroldan iborat bo lib, ʻ tahdidchi 2 20 ta keng tarqalgan paroldan iborat bo lgan lug’atdan foydalanadi. Agar ʻ parolni lug’atda bo lish ehtimolligi ¼ ga teng deb olinsa: ʻ - Lug’atdan foydalanilmagan holda, kamida 2 56 /2=2 55 urinishni amalga oshirishi shart; - tuzdan foydalanilgan holda esa ¼ (2 19 )+3/4 (2 55 ) =2 54.6 ga teng bo ladi; ʻ - tuzdan foydalanilmagan holda, 2 20 ga teng bo ladi. ʻ Amalda parollarni buzishga Password Cracker, Password Portal, L0phtCrack and LC4(Windows), John the Ripper(Unix) vositalardan foydalanilmoqda. ID kartalar asosida autentifikatsiyalash usuli parollar asosida autentifikatsiyalash usuliga qaraganda bardoshli sanalib, foydalanuvchi tomonidan yo qotilib qo yish muammosi mavjud. Bu usulda asosan mashinaning pultini, parol ʻ ʻ generatori, smart karta va h.k. Kalit generatorlariga asoslangan autentifikatsiyalash tizimi quyidagicha:

1. 3.2 – rasm. Kalit generatori orqali autentifikatsiyalash Mavjud o ziga xos xususiyatlarʻ yoki biometrik parametrlar asosida autentifikatsiyalash usuli bardoshli sanalib, yuqoridagi usullarda mavjud kamchiliklar bartaraf etilgan. Kamchilik sifatida esa foydalanilgan qurilma narxi yoki jarayon vaqtini uzoqligini keltirish mumkin. Ananaviy autentifikatsiyalash usullari (parol asosida va nimagadir egalik qilish asosida) foydalanishda qulay bo lishiga qaramasdan qator kamchiliklarga ʻ ega: – foydalanuvchi paroli odatda sodda va foydalanuvchi xotirasida saqlanishi oson bo lish uchun qisqa frazalardan foydalanadi, bu esa ushbu tizimning zaifligini ʻ anglatadi; – parollarni esdan chiqarib qo yish muammosi; ʻ – autentifikatsiyalash tokenlarini (smart kartalar va h.k) yo qotib qo yish ʻ ʻ muammosi va h.k Ushbu muammolarni bartaraf etish uchun uchinchi yo nalish, ʻ biometrik parametrlarga asoslangan autentifikatsiyalash usullaridan foydalaniladi. Biometrik parametrlarga asoslangan autentifikatsiyalash usullari o zining ʻ ishonchlilik, o g’irlab bo lmaslik, ko chirib bo lmaslik, foydalanishda qulaylik va ʻ ʻ ʻ ʻ xususiyatlari bilan ajralib turadi (1.3.2-rasm).

1.3.3-rasm А utentifikatsiyalash usullari Ruxsatlarni nazoratlash Avtorizatsiya jarayoni bu – foydalanuvchiga tizim tomonidan berilgan foydalanish darajasi. Kompyuter tizimlari xavfsizligini aniqlash kriteriyalari (Trusted Computer System Evaluation Criteria yoki Orange book) 1983 yilda chop etilgan bo lib,ʻ hozirgi kungi, 2005 yilda qabul qilingan ISO/IEC 15408 ning analogidir. Ushbu kriteriya zarur yoki maxfiy axborotlarni saqlash, qidirish, kompyuter tizimlarini tanlash va klassifikatsiyalash uchun foydalaniladi. Asosiy maqsadi va vositasi. Xavfsizlik siyosati kompyuter tizimi uchun batafsil bo lishi, yuqori darajada aniqlanganligi va tegishli bo lishi shart. Ikki ʻ ʻ asosiy xavfsizlik siyosati mavjud: mandatga asoslangan xavfsizlik siyosati va diskretsion xavfsizlik siyosati. Mandatga asoslangan xavfsizlik siyosatida maxfiy ma‘lumotlardan foydalanishda individual yondoshishga asoslanadi. Har bir foydalanuvchiga berilgan ruxsatlar tashkilotdani xavfsizlik siyosatidan kelib chiqadi. Diskretsion xavfsizlik siyosatida esa ruxsatni cheklashda va boshqarishda qoidalar to plamidan foydalaniladi. Bu qoidalar faqat biror kerakli bo lgan ʻ ʻ ma‘lumotni olishga qaratilgan bo ladi. Boshqa so z bilan aytganda har bir ʻ ʻ ma‘lumot uchun foydalanuvchining ruxsatlari turlicha bo lishi mumkin. ʻ Xavfsizlik siyosatidan bo lak, individual javobgarlik mavjud bo lib, ular ʻ ʻ asosan uchta talabdan iborat:

O'xshashlar

Axborot xavfsizligi va axborotlarni himoyalash usullari . Axborotlarni himoyalashning texnik va dasturiy vositalari. Axborotlarni himoyalash usullari. Identifikatsiya va autentifikatsiya masalalari.
Maʼlumotlar bazasini boshqarish tizimining turlari va ularni yaxlitligini taʼminlash
AXBOROT XAVFSIZLIGI SIYOSATI. HIMOYA TIZIMINI LOYIHALASH VA AMALGA OSHIRISH BOSQICHLARI.
DASTURIY MAHSULOTLAR XAVFSIZLIGI
Lokal tarmoqda masofadan kompyuterlarni nazorat qilish (Radmi va LitaManager) dasturlari.