XAVFSIZLIKNI AMALIY BOSHQARISH.
![XAVFSIZLIKNI AMALIY BOSHQARISH.
Reja :
1. Axborotlarga nisbatan xavfsizlik muammosi
2. Axborot xavfsizligini ta minlashdagi fakt va raqamlar ‟
3. Axborot xavfsizligini ta'minlash yo nalishlari
ʻ
4. Xafvsizlikni ta minlashga doir amaliy tavsiyalar
‟
5. Himoya qilishning brandmauerli tizimlari
6. Windows 8 OT brandmauer dasturi orqali OT havfsizligini
ta minlash
‟](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_1.png)
![Axborotlarga nisbatan xavfsizlik muammosi
Internet texnologiyalarining yaratilishi turli manbalardan tez va oson yo lʻ
bilan axborot olish imkoniyatlarini hamma uchun-oddiy fuqarodan tortib yirik
tashkilotlargacha misli ko rilmagan darajada oshirib yubordi. Davlat
ʻ muassasalari ,
fan-ta'lim muassasalari, tijorat korxonalari va alohida shaxslar axborotni elektron
shaklda yaratib-saqlay boshladilar. Bu muhit avvalgi fizikaviy saqlashga nisbatan
katta qulayliklar tug’diradi: saqlash juda ixcham, uzatish esa bir onda yuz beradi
va tarmoq orqali katta ma'lumotlar bazalariga murojaat qilish imkoniyatlari juda
keng. Axborotdan samarali foydalanish imkoniyatlari axborot miqdorining tez
ko payishiga olib keldi. Biznes qator tijorat sohalarida bugun axborotni o zining
ʻ ʻ
eng qimmatli mulki deb biladi. Bu albatta ommaviy axborot va hamma bilishi
mumkin bo lgan axborot haqida gap borganda o ta ijobiy hodisa. Lekin
ʻ ʻ
pinhona(konfidensial) va maxfiy axborot oqimlari uchun Internet texnologiyalari
qulayliklar bilan bir qatorda yangi muammolar keltirib chiqardi. Internet muhitida
axborot xavfsizligiga tahdid keskin oshdi:
- Axborot o g’irlash
ʻ
- Axborot mazmunini buzib qo yish, egasidan iznsiz o zgartirib qo yish
ʻ ʻ ʻ
- Tarmoqqa va serverlarga o g’rincha suqulib kirish
ʻ
Tarmoqqa tajovuz qilish: avval qo lga kiritilgan tranzaksiya(amallarning
ʻ
yaxlit ketma-ketligi)larni qayta yuborish, "xizmatdan yo axborotga daxldorlikdan
bo yin tovlash" , jo natmalarni ruxsat berilmagan yo l orqali yo naltirish.
ʻ ʻ ʻ ʻ
Axborot xavfsizligini ta'minlash quyidagi uch asosiy muammoni yechishni
nazarda tutadi. Bular:
- Pinhonalik(Confidentiality)
- Butunlik(Integrity)
- Qobillik(Availability)
Axborot xavfsizligini ta minlashdagi fakt va raqamlar
‟
AQSH dagi kompyuter xavfsizligi instituti va FBR tomonidan kompyuter
jinoyatlari bo yicha 1999 yilda o tkazilgan so rov natijalariga ko ra so rovda
ʻ ʻ ʻ ʻ ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_2.png)
![qatnashgan tashkilotlarning 57 foizi Internet bilan ulanish joyi "ko pinchaʻ
tajovuzlar tashkil etiladigan joy" deb, 30 foyizi ularning tarmog’iga suqulib kirish
yuz berganini, 26 foyizi esa tajovuz vaqtida pinhona axborotni o g’irlash sodir
ʻ
bo lganini ma'lum qilishgan. AQSH kompyuter jinoyatlariga qarshi kurash Federal
ʻ
markazi - FedCIRC ma'lumotlariga ko ra 1998 yilda 1100000 kompyuterli 130000
ʻ
ga yaqin davlat tarmoqlari tajovuzga duchor bo lgan.
ʻ
"Kompyuter tajovuzi" deganda kishilar tomonidan kompyuterga ruxsatsiz
kirish uchun maxsus dasturni ishga tushirishni nazarda tutiladi. Bunday
tajovuzlarni tashkil etish shakllari har xil. Ular quyidagi turlarga bo linadi
ʻ
-Kompyuterga masofadan kirish: Internet yoki intranetga kimligini bildirmay
kirishga imkon beruvchi dasturlar
-O zi ishlab turgan kompyuterga kirish: kompyuterga kimligini bildirmay
ʻ
kirish dasturlari asosida.
-Kompyuterni masofadan turib ishlatmay qo yish: Internet (yo tarmoq) orqali
ʻ
olisdan kompyuterga ulanib, uning yoki uni ayrim dasturlarining ishlashini
to xtatib qo yuvchi dasturlar asosida(ishlatib yuborish uchun kompyuterni qayta
ʻ ʻ
ishga solish yetarli).
-O zi ishlab turgan kompyuterni ishlatmay qo yish: ishlatmay qo yuvchi
ʻ ʻ ʻ
dasturlar vositasida. Tarmoq skanerlari: tarmoqda ishlayotgan kompyuter va
dasturlardan qay biri tajovuzga chidamsizligini aniqlash maqsadida tarmoq
haqiqatda axborot yig’uvchi dasturlar vositasida.
-Dasturlarning tajovuzga bo sh joylarini topish: Internetdagi
ʻ
kompyuterlarning katta guruhlari orasidan tajovuzga bardoshsizlarini izlab qarab
chiquvchi dasturlar vositasida.
-Parol ochish: parollar fayllaridan oson topiladigan parollarni izlovchi
dasturlar vositasida.
-Tarmoq tahlilchilari (snifferlar): tarmoq trafikini tinglovchi dasturlar
vositasida. Ularda foydalanuvchilarning nomlarini, parollarini, kredit kartalari
nomerlarini trafikdan avtomatik tarzda ajratib olish imkoniyati mavjud.
Eng ko p yuz beradigan tajovuzlar quyidagi statistikaga ega:
ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_3.png)
![1998 yili NIST tomonidan o tkazilgan 237 kompyuter tajovuzining tahliliʻ
Internetda e'lon qilingan:
29 % tajovuzlar Windows muhitida yuz bergan. Lekin Faqat Unixgina xatarli
emas ekan.
20% tajovuzlarda tajovuz qilganlar olisdan turib tarmoq
elementlari(marshrutlovchilar, kommutatorlar, xostlar, printerlari brandmauer)
gacha yetib borganlar. Lekin xostlarga olisdan turib bildirmay kirish bot-bot yuz
beradi.
5% tajovuzlar marshrutlovchilarga va brandmauerlarga qarshi muvaffaqiyatli
bo lgan. Lekin Internet tarmoq infrastrukturasi tashkil etuvchilarining kompyuter
ʻ
tajovuzlariga bardoshi yetarli emas.
4% tajovuzlarda Internetda tajovuzga bardoshi bo sh xostlarni topish uchun
ʻ
uyushtirilgan. LekinTizim administratorlarining o zlari o z xostlarini muntazam
ʻ ʻ
skanerlab turganlari ma'qul.
3% tajovuzlar web-saytlar tomonidan o z foydalanuvchilariga qarshi
ʻ
uyushtirilgan. Lekin WWWda axborot izlash xavfsiz emas.
Internetda 1999 y. mart oyida eng ommaviy bo lgan kompyuter tajovuzlari .
ʻ
Sendmail(eng eski dastur), ICQ(murakkab "Sizni izlayman"dasturi, undan 26
millionga yaqin kishi foydalanadi), Smurf(ping- paketlar bilan ishlaydigan dastur),
Teardrop(xatolarga sezgir dastur), IMAP(pochta dasturi), Back Orifice(troyan ot,
Windows 95/98ni olisdan boshqarish uchun), Netbus( Back Orifice ga o xshash),
ʻ
WinNuke (Windows 95ni to la to xtatib qo yaoladi )i Nmap(skanerlovchi dastur)
ʻ ʻ ʻ
bilan bo lgan.
ʻ
WinNuke, Papa Smurf i Teardrop dasturlari vositasida niyati buzuq kimsalar
sizning kompyuteringizga tajovuz qilib ziyon yetkazishlari mumkin.
Axborot xavfsizligini ta'minlash yo nalishlari
ʻ
NIST 7498-2 xalqaro standarti asosiy xavfsizlik xizmatlarini belgilaydi.
Uning vazifasiga ochiq tizimlar aloqasi modelining xavfsizlik yo nalishlarini
ʻ
aniqlash kiradi. Bular:](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_4.png)
![- Autentifikatsiya. Kompyuter yo tarmoq foydalanuvchisining shaxsini
tekshirish;
- Kirishni boshqarish(Access control). Kompyuter tarmog’idan
foydalanuvchining ruxsat etilgan kirishini tekshirish va ta‘minlash;
- Ma lumotlar butunligi‟ . Ma‘lumotlar massivi mazmunini tasodifiy yo
qasddan beruxsat usullar bilan o zgartirishlarga nisbatan tekshirish;
ʻ
- Axborot pinhonaligi. Axborot mazmunini iznsiz oshkor bo lishdan
ʻ
himoyalash ;
- Inkor eta olinmaslik . Ma‘lumotlar massivini jo natuvchi tomonidan uni
ʻ
jo natganligini yoki oluvchi tomonidan uni olganligini tan olishdan bo yin
ʻ ʻ
tovlashining oldini olish.
Ko plab qo shimcha xizmatlar (audit, kirishni ta‘minlash) va
ʻ ʻ
qo llabquvvatlash xizmatlari (kalitlarni boshqarish, xavfsizlikni ta‘minlash,
ʻ
tarmoqni boshqarish) mazkur asosiy xavfsizlik tizimini to ldirishga xizmat qiladi.
ʻ
Web tugunining to la xavfsizlik tizimi barcha yuqorida keltirilgan xavfsizlik
ʻ
yo nalishlarini qamrab olgan bo lishi shart. Bunda tegishli xavfsizlik vositalari
ʻ ʻ
(mexanizmlari) dasturiy mahsulotlar tarkibiga kiritilgan bo lishi lozim.
ʻ
Autentifikatsiyalashni takomillashtirish qayta ishlatiladigan parollarga xos
kamchiliklarni bartaraf etishni, shu maqsadda bir martagina ishlatiladigan parol
tizimidan tortib identifikatsiyalashning yuqori texnologik biometrik tizimlarigacha
qo llashni nazarda tutadi. Foydalanuvchilar o zlari bilan olib yuradigan predmetlar,
ʻ ʻ
masalan, maxsus kartochkalar, maxsus jeton yoki disketa ancha arzon ham xavfsiz.
Noyob, modul kodi himoyalangan dastur moduli ham bu maqsadlarda qulay.
Oshkor kalitlar infratuzilmasi ham Web – tugun xavfsizligining ajralmas
qismi. Autentifikatsiya, ma‘lumot butunligi va axborot
pinhonaligi(konfidentsialligi)ni ta‘minlash uchun ishlatiladigan taqsimlashga n
tizim(odamlar, kompyuterlar), Ochiq kalit infrastrukturali (sertifikat nashrchisi)
elektron sertifikatni e‘lon qiladi.
Unda foydalanuvchi identifikatori, uning ochiq kaliti, xavfsizlik tizimi uchun
qandaydir qo shimcha axborot va sertifikat nashr etuvchisining raqamli imzosi bor.
ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_5.png)
![Ideal variantda bu tizim Yer yuzining har qanday ikki nuqtasidagi
foydalanuvchi uchun sertifikatlar zanjirini tuzib beradi. Bu zanjircha kimgadir
maxfiy xatni imzolash, hisob bo yicha pul o tkazish yoki elektron kontrakt tuzishʻ ʻ
uchun, boshqa kishi uchun – hujjat manbaini va imzolovchi shaxsning aslini
tekshirib bilish imkonini beradi. NIST bir necha boshqa tashkilotlar bilan bu
yo nalishda ish olib bormoqda.
ʻ
Internetga ulangan tarmoqlar xakerlarning tajovuzi tufayli ochiq muloqotga
xalal bersa xam brandmauerlar o rnatib oldilar.
ʻ
PGP ga o xshash mukammal dasturlar bo lmaganda ochiq tarmoq bo lishi
ʻ ʻ ʻ
ham mumkin bo lmas edi.
ʻ
Xafvsizlikni ta minlashga doir amaliy tavsiyalar
‟
Tarmoqni kompyuter tajovuzlaridan himoyalash doimiy va o z-o zidan
ʻ ʻ
yechilmaydigan masaladir. Lekin qator oddiy himoya vositalari yordamida
tarmoqqa suqulib kirishlarning ko pchiligini oldini olish mumkin. Masalan yaxshi
ʻ
konfiguratsiyalangan tarmoqlararo ekran va harbir ish
stantsiyalari(kompyuterlar)da o rnatilgan virusga qarshi dasturlar ko pchilik
ʻ ʻ
kompyuter tajovuzlarini barbod etadi.
Quyida Intranetni himoyalash bo yicha 14 amaliy tavsiya bayon etilgan.
ʻ
Xavfsizlik siyosati lo nda va aniq qo yilishi lozim. Intranet tarmog’i xavfsizligi
ʻ ʻ
bo yicha yorqin va sobit qadamlik bilan qo yilisini ta'minlaydigan qoidalar va
ʻ ʻ
amallar bo lishi lozim.
ʻ
Tarmoq xavfsizligi tizimi uning eng bo sh joyi qanchalik kuchli
ʻ
himoyalangan bo lsa shu qadar kuchlidir. Agar bir tashkilot doirasida turli
ʻ
xavfsizlik siyosatlariga ega bo lgan bir necha tarmoq mavjud bo lsa bir tarmoq
ʻ ʻ
boshqa tarmoqning yomon xavfsizligi tufayli obro sini yo qotishi mumkin.
ʻ ʻ
Tashkilotlar shunday xavfsizlik siyosatini qabul qilishlari lozimki, kutilgan himoya
darajasi hamma yerda bir xil amalga oshsin. Siyosatning eng ahamiyatli tomoni
brandmauerlar orqali o tkaziladigan trafiklarga yagona talab ishlab chiqilishidir.
ʻ
Shuningdek siyosat tarmoqda qaysi himoya vositalari (masalan, tajovuzlarni](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_6.png)
![payqash vositalarimi yoki qaltis joylar skanerlarimi)va ular qanaqa ishlatilishi
lozimligini belgilashi, yagona xavfsizlik darajasiga erishish uchun
kompyuterlarning har xil turlari uchun standart xavfsiz konfiguratsiyalar
belgilanishi shart.
Brandmauer (Tarmoqlararo ekran, inglizcha-firewalls,) qo llash lozim. Buʻ
tashkilotning eng asosiy himoya vositasidir. Tarmoqqa kiruvchi, undan chiquvchi
trafik(axborot oqimi)ni nazorat qiladi. U trafikning biror turini to sib qo yishi yo
ʻ ʻ
tekshirib turishi mumkin. Yaxshi konfiguratsiyalangan bradmauer kompyuter
tajovuzlarining ko pchiligini qaytarishi mumkin. brandmauerlar, intellektual
ʻ
kartalar va boshqa texnikaviy-dasturiy himoya vositalaridan oqilona foydalanish
lozim.
Brandmauer va WWW-serverlarni ularning ishini to xtatib qo yish
ʻ ʻ
tahdidlariga qarshi bardoshliligini testdan o tkazib turish lozim. Internetda
ʻ
kompyuterning ishini to xtatib qo yishga yo naltirilgan tajovuzlar tarqalgan.
ʻ ʻ ʻ
Tajovuzkorlar doimo WWW-saytlarni ishdan chiqaradilar, kompyuterlarni ortiq
vazifalar bilan yuklab qo yadilar yoki tarmoqlarni ma'nosiz paketlar bilan to ldirib
ʻ ʻ
tashlaydilar. Bu turdagi tajovuzlar juda jiddiy bo lishi mumkin, ayniqsa tajovuzkor
ʻ
davomli tajovuzlarni uyushtirish darajasida aqlli bo lsa. Chunki buning manbaini
ʻ
topib bo lmaydi. Xavfsizligi haqida qayg’iruvchi tarmoqlar bunday tajovuzlardan
ʻ
ko riladigan zararni chamalab ko rish uchun o zlariga o zlari tajovuzlarni
ʻ ʻ ʻ ʻ
uyushtirishlari mumkin. Bunday tahlillarni faqat katta tajribaga ega tizim
administratorlari yoki maxsus maslahatchilar o tkazishi maqsadga muvofiq.
ʻ
Kriptotizimlardan keng foydalanish lozim. Tajovuzkorlar ko pincha tarmoqqa
ʻ
uning ahamiyatga molik joylaridan o tuvchi trafigini tinglash orqali trafikdan
ʻ
foydalanuvchilarni va ularning parollarini ajratib olish yordamida suqulib kiradilar.
Shuning uchun olisdagi mashinalar bilan bog’lanishlar parol bilan himoyalanganda
shifrlanishi shart. Bu ayniqsa, bog’lanish Internet kanallari orqali amalga
oshirilganda yoki ahamiyatli server bilan bog’lanilganda zarur. TCP/IP (eng
mashhuri SSH) trafigini shifrlash uchun tijoratli va bepul dasturlar mavjud.
Bulardan foydalanish tajovuzlarning oldini oladi. Internet muhit bilan birlashgan](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_7.png)
![Intranetda axborot oqimini va resurslarni eng ishonchli himoyalash vositasi–
nosimmetrik va simmetrik kriptotizimlardan birgalikda foydalanishdir.
Kompyuterlarni xavfsizlik nuqtai-nazaridan savodxonlarcha
konfiguratsiyalash kerak. Kompyuterda amal tizimlari yangitdan o rnatilgandaʻ
ko pincha tajovuzlarga qaltis bo ladilar.Buning sababi amal tizimi dastlab
ʻ ʻ
o rnatilganda barcha tarmoq vositalaridan foydalanishga ruhsat beriladi va ulardan
ʻ
to g’ri foydalaniladi deb bo lmaydi. Bu tajovuzkor uchun mashinaga tajovuz
ʻ ʻ
uyushtirishda ko p usullardan foydalanishga yo l ochadi. Shuning uchun barcha
ʻ ʻ
zarur bo lmagan tarmoq vositalari kompyuterdan uzib qo yilishi lozim.
ʻ ʻ
Dasturiy ta'minotga tuzatishlarni operativ kiritishni tartibga solish(Patching).
Kompaniyalar doimiy ravishda o z dasturlarida topilgan xatolarni yo qotish uchun
ʻ ʻ
tuzatishlar kiritib boradilar. Agar bu xatolar tuzatilmasa tajovuzkor undan
foydalanib dasturingizga va u orqali kompyuteringizga tajovuz uyushtirishi
mumkin. Tizim administratorlari avvalo o zlarining eng zarur tizimlaridagi
ʻ
dasturlarga tuzatishlarni o rnatib zarur xostlarni himoyalashlari zarur. Chunki
ʻ
tuzatishlar tez-tez yuzaga kelib turadi va ularni barcha kompyuterlarda o rnatib
ʻ
chiqishga ulgurmay qolish mumkin. Odatda tuzatishlar faqat dastur ishlab
chiqargan korxonadangina olinishi shart.
Internet-tarmoq xavfsizligida uchratilgan defektlarni albatta tuzatish. Shuning
bilan birga quyida keltirilgan boshqa himoya vositalaridan ham foydalanishlari
zarur.
Tajovuzni payqash vositalari (Intrusion Detection)dan foydalanish lozim.
Tajovuzni payqash tizimlari tajovuzlarni operativ payqab aniqlaydilar. Tarmoq
ichkarisidan bo ladigan tajovuzlarni payqash uchun ular brandmauer orqasiga
ʻ
qo yiladi, branmauerga bo ladigan tajovuzlarni aniqlash uchun esa- uning oldiga
ʻ ʻ
o rnatiladi. Bunday vositalar turli imkoniyatlarga ega. Quyidagi saytdan bu haqda
ʻ
qo shimcha ma'lumotlar olish mumkin:
ʻ
http://www.icsa.net/services/consortia/intrusion/educational_material.html
Viruslar va "troyan ot" dasturlarini o z vaqtida payqashga intilish kerak.
ʻ
Harqanday tarmoqning xavfsizligi uchun virusga qarshi dasturlar himoyaning](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_8.png)
![ajralmas qismidir. Ular kompyuter ishini nazorat qilib zarar keltiruvchi dasturlarni
topib beradilar. Ular tufayli yuzaga keladigan yagona muammo shundaki, himoya
maksimal samara berishi uchun ular tarmoqning barcha kompyuterlariga
o rnatilgan bo lishlari va muntazam yangilanib turilishlari shart. Buning uchunʻ ʻ
ko p vaqt ketadi, lekin aks holda vosita kutilgan samarani bermaydi.
ʻ
Kompyuterdan foydalanuvchilarga buni qanday amalga oshirishni o rgatib qo yish
ʻ ʻ
kerak, ammo faqat ularga bu ishni to la topshirib qo ymaslik zarur. Virusga qarshi
ʻ ʻ
dasturlar bilan bir qatorda pochta serverida elektron xatlarga ilovalarni skanerlash
ham lozim. Bu yo l bilan foydalanuvchilar kompyuteriga yetib borishi mumkin
ʻ
bo lgan viruslarning yo li to siladi.
ʻ ʻ ʻ
Bardoshi bo sh joylarni skanerlab turish lozim. Bunday skanerlovchi dasturlar
ʻ
aniq biror turdagi tajovuzlarga qaltis (bardoshi bo sh)kompyuterlarni topish uchun
ʻ
tarmoqni skanerlaydi. Ular qaltis joylar haqida kattagina ma'lumotlar bazasiga ega
bo lib, undan u yo boshqa kompyuterda qaltis joy bor-yo qligini topishda
ʻ ʻ
foydalaniladi. Tijoratli va bepul skanerlar mavjud. Tizim administratorlari davriy
tarzda bunday dasturlarni o zlarining tarmoqlariga nisbatan o z vaqtida bardoshi
ʻ ʻ
bo sh kompyuterlarni o zlari topib tegishli chora ko rib qo yishlari lozim.
ʻ ʻ ʻ ʻ
Alohida qurilmalarni himoyasidagi zaif bo g’inlarni payqab olish uchun
ʻ
qaltislik darajasini baholash lozim.
Tarmoq topologiyasini aniqlash va port skanerlarini ishga solib turish lozim.
Bunday dasturlar tarmoq qanday tuzilganligi, unda qanaqa kompyuterlar ishlashi,
har bir mashinada qanday xizmatlar bajarilishii haqida to la manzarani ochib
ʻ
beradi. Hujumkorlar bu dasturlarni qaltis kompyuterlar va dasturlarni aniqlash
uchun ishga soladilar. Tarmoq administratorlari ham bunday dasturdan ularning
tarmoqlarida qanday dasturlar qaysi kompyuterlarda ishlayotganini aniqlashtirish
uchun foydalanadilar. Noto g’ri konfiguratsiyalangan kompyuterlarni topib ularga
ʻ
tuzatishlar kiritish uchun bu yaxshi vositadir.
Parol ochuvchilar (Password Crackers)ni ishlatib turish lozim. Xakerlar
ko pincha parollar bilan shifrlangan fayllarni o g’irlash uchun kompyuterlarning
ʻ ʻ
bardoshi bo sh joylaridan foydalanishga intiladilar. So ngra parol ochuvchi maxsus
ʻ ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_9.png)
![dasturlarni ishga soladilar va ular orqali shu shifrlangan fayllardagi bardoshi bo shʻ
parollarni topib oladilar. Bunday parol qo lga kirishi bilan kompyuterga odatdagi
ʻ
foydalanuvchi kabi kompyuterga va tarmoqqa bildirmay kirishning turli
usullaridan foydalanadilar. Garchi bu vosita niyati buzuq kimsalar tomonidan
ishlatilsa ham bu tizim administratori uchun ham foydalidir. Tizim
administratorlari davriy tarzda bunday dasturlarni o zlarining shifrlangan fayllariga
ʻ
nisbatan o z vaqtida bardoshi bo sh parollarni o zlari topib tegishli chora ko rib
ʻ ʻ ʻ ʻ
qo yishlari lozim.
ʻ
Jangovor muloqot o rnatuvchilar(war dialer)ga nisbatan ziyrak bo lish lozim.
ʻ ʻ
Foydalanuvchilar ko pincha tashkilot tarmog’i himoyasi vositalarini chetlab o tib
ʻ ʻ
o z kompyuterlariga keladigan telefon qo ng’iroqlari qabul qilib olishga ruxsat
ʻ ʻ
beradilar. Ular ba'zan Ishdan qaytish oldidan modemni ulab kompyuterni uydan
turib modem orqali unga ulanib tarmoqdan foydalanishni ko zlab o z dasturlarini
ʻ ʻ
shunga sozlab ketadilar. Tajovuzkorlar jangovar muloqot o rnatuvchi dasturlardan
ʻ
foydalanib ko plab telefon nomerlariga qo ng’iroq qilib ko radilar va shu tariqa
ʻ ʻ ʻ
chetdan modem orqali kirishga yo l qoldirgan bunday tarmoqlarga suqulib kirib
ʻ
tajovuz uyushtiradilar. Foydalanuvchilar ko pincha o z kompyuterlarini o zlari
ʻ ʻ ʻ
konfiguratsiyalashlari tufayli bunday kompyuterlar tajovuzlardan yomon
himoyalangan bo ladilar va tarmoqqa tajovuz qilishga yana bitta imkoniyat
ʻ
tug’diradilar. Tizim administratorlari jangovor muloqot o rnatuvchilardan
ʻ
muntazam suratda foydalanib o z foydalanuvchilarining telefon raqamlarini
ʻ
tekshirib turishlari va unga mos qilib konfiguratsiyalangan kompyuterlarni o z
ʻ
vaqtida topib chorasini ko rishlari lozim. Tijoratli va bepul tarqaltiladigan jangovor
ʻ
muloqot o rnatuvchi dasturlar mavjud.
ʻ
Xavfsizlikka oid tavsiyalar (security advisories)dan o z vaqtida xabordor
ʻ
bo lib, ularga amal qilish lozim. Xavfsizlikka oid tavsiyalar – kompyuter
ʻ
jinoyatlariga qarshi kurash guruhlari va dastur ishlab chiqaruvchilar tomonidan
yaqin orada payqalgan dasturning qaltis joylari haqida e'lon qilinadigan
ogohlantirishlar. Tavsiyalar juda foydali bo lib, o qish uchun juda kam vaqt oladi
ʻ ʻ
va payqab qolingan qaltis joylar tufayli yuzaga kelishi mumkin bo lgan eng jiddiy
ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_10.png)
![xavf-xatarlardan ogoh etadi. Ular xavf-xatarni ifodalab uning oldini olish uchun
maslahatlar beradi. Ularni qator joylardan olish mumkin. Ikkita eng foydali
bo lgan tavsiyalar kompyuter jinoyatlariga qarshi kurash guruhi e'lon qilibʻ
turadigan tavsiyalar bo lib CIAC va CERT saytlaridan olish mumkin.
ʻ
Xavfsizlik bilan bog’liq hodisalarni tekshirish guruhi muntazam faoliyat olib
borishi lozim. Har qanday tarmoqda ham xavfsizlik billan bog’liq hodisalar sodir
bo lib turadi(yolg’on trevoga bo lsa ham). Tashkilot xizmatchilari avvaldan u yo
ʻ ʻ
bu holda nima qilishni bilishlari shart. Qaysi hollarda huquqiy-himoya organlariga
murojaat qilish kerak, qaysi hollarda kompyuter jinoyatlariga qarshi kurash
guruhini chaqirish va qaysi hollarda tarmoqni Internetdan uzib qo yish kerak va
ʻ
ahamiyatli serverning qulfi buzilganda nima qilish kerak. CERT AQSH doirasida
bu borada maslahatlar beradi. FedCIRC AQSH jamoat va davlat tashkilotlariga
maslahatlar berish uchun mas'uldir. Harbir davlatda bunday maslahat olish joylari
bo lishi maqsadga muvofiqdir.
ʻ
Kompyuter tajovuzlariga oid qo shimcha ma'lumotlar tajovuz uyushtirish
ʻ
mo ljallangan ayrim dasturlarga bag’ishlangan quyidagi maqola dan topilishi
ʻ
mumkin.
Kompyuter xavfsizligi bo yicha umumiy axborot quyidagi manzillardan
ʻ
olinishi mumkin:
NIST Computer Security Resource Clearinghouse
Federal Computer Incident Response Capability
Center for Education and Research in Information Assurance and Security
Carnegie Mellon Emergency Response Team
Bugungi kunda axborot xavfsizligini ta'minlashda an'anaviy qo llanilib
ʻ
kelingan yondoshuvlar va vositalar yetarli bo lmay qoldi. Bunday sharoitda
ʻ
axborot himoyasining eng ishonchli va sinalgan usuli bo lgan kriptografiyaning
ʻ
ahamiyati yanada oshdi.](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_11.png)
![Himoya qilishning brandmauerli tizimlari
Bradmauer – bu ishonchli tarmoq bilan ishonchli bo lmagan tarmoqniʻ
ximoyalovchi vositadir. Brandmauer bu bitta komponenta emas, balki Internetdan
olish mumkin bo lgan resurslarni ximoyalovchi dastur yoki apparat qurilmadir.
ʻ
Brandmauer Internet bilan tarmoq o rtasidagi ishonchli xavfsizlikni ta'minlovchi
ʻ
vositadir.
3.5.1-rasm. Himoyalshning branmauerli tizimi.
Umumiy foydalanadigan tarmoqqa chiqishda xavfsizlikni ta'minlashning eng
samarali usullaridan biri sifatida Windows brandmauer tizimini o rnatishni aytish
ʻ
mumkin. Ushbu majmua berilgan qoidalar asosida o tuvchi tarmoq paketlarini
ʻ
filtrlovchi va nazorat qiluvchi apparat yoki dasturiy vositalardir. Windows
brandmauer ning asosiy vazifasi kompyuter tarmoqlari yoki ayrim uzellarni
ruxsat etilmagan foydalanishlardan himoyalash hisoblanadi. Dasturiy Windows
brandmauer ga quyidagilarni misol qilishimiz mumkin: Agnitum Outpost,
Symantec Firewall, Zone Alarm.
3.5.2-rasm. Lokal va mintaqaviy tarmoqlar uchun brandmauer tizimi.](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_12.png)
![Brandmauerning asosiy funksiyasi markazlashgan boshqarishni amalga
oshirish. Agar masofadagi foydalanuvchilar ichki tarmoqga brandmauerni chetlab
o tib kirish imkoniyatini topishsa, u holda uning effekt darajasi nolga yaqindir. ʻ
Brandmauerlar bir necha tur ximoyani ta'minlaydi:
- Ular kerak bo lmagan trafikni bloklashlari mumkin
ʻ
- Ular kiruvchi trafikni ishonchli ichki tarmoqlarga yo naltirishlari mumkin
ʻ
- Ular xavfsiz qilib bo lmaydigan tizimlarni boshqa usul bilan xavfsizligini
ʻ
ta'minlay olinmasa, ularni yashirishlari mumkin.
- Ular ichki va tashqi trafikni protokollashtirishlari mumkin
- Ular Internetdan quyidagi ma'lumotlarni yashirishlari mumkin:
tizim nomlarini, tarmoq topologiyasini, tarmoq qurilmalari turlarini, ichki
foydalanuvchilar identifikatorini
- Ular autentifikatsiyaning ishonchli usullarini sizga havola qilishlari mumkin.
Brandmauer hujum qiluvchining birinchi himoya chizig’idir.
Brandmauerga to g’ridan to g’ri hujum qilishning foydasi kamroqdir, chunki
ʻ ʻ
hujum qiluvchi brandmauer administratorining maxfiy so zini kiritishga harakat
ʻ
qiladi, bu esa to g’ridan to g’ri hujumning foydasiz yakunlanishiga olib keladi.
ʻ ʻ
Administrator nomi va maxfiy so zi qattiq ximoya qilingan bo lishi zarurdir.
ʻ ʻ
Bunda hujumdan eng yaxshi himoya vositasi bu haqiqiy jismoniy xavfsizlikni
ta'minlash va brandmauerni lokal terminaldan administratorlashdir. Lekin oxirgi
paytlarda brandmauerlarni ko p xollarda masofadan turib sozlashlarga to g’ri
ʻ ʻ
kelayapti. Shuning uchun ularning autentifikatsiya jarayonini qattiq muxofaza
qilish kerak.
FireWall - so zi inglizchadan olingan bo lib ―Olovli devor ma'nosini
ʻ ʻ ‖
anglatadi. Uning asosiy maqsadi shuki, ichki tarmoqni tashqi hujumlardan ximoya
qilish va ichki tarmoq strukturasini yashirishdan iboratdir. Masalan, Internetdan
kelayotgan IP adresni ichki tarmoqga, ichki tarmoq adresini Internetga havola
qilmaydi.
Bugun ko pgina kompaniyalar int
ʻ е rn е tga lokal tarmoqga taqiqlangan
murojaat qilishga to sqinlik qiladigan maxsus dastur ta'minoti bilan ta'minlangan
ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_13.png)
![kompyut е rlar - brandmauerlar (tarmoqlararo ekranlar yoki fire Wall) orqali
ulanmoqdalar.
Lokal tarmoqda brandmauerli o rnatilishni asosiy sababi uning har doimʻ
chaqirilmagan m е hmonlardan himoya qilinishidir. Yomon niyatli kishi tomonidan
olingan axborot korxonaning raqobatbardoshligini va uning mijozlarini ishonchini
jiddiy buzib qo yishi mumkin. Ichki tarmoqlar uchun eng ehtimolli xavflarni
ʻ
bartaraf etish bo yicha bir qator masalalarni brandmauerlar xal qilish qobiliyatiga
ʻ
egadirlar. Kompyut е r muhitidan tashqarida yonmaydigan mat е riallardan va
yong’inni tarqalishiga to sqinlik qiladigan d
ʻ е vorni brandmauer (yoki fire will) d е b
ataladi. Kompyut е r tarmog’i muhitida tarmoqlararo ekran figurali yong’indan-
yomon niyatli kishilarni ichki tarmoqqa, axborotni nusxalash,o zgartirish yoki
ʻ
o chirish uchun yoki bu tarmoqda ishlayotgan kompyut
ʻ е rlarning xotirasidan yoki
hisoblash quvvatidan foydalanish uchun kirib olishga intilishi tushuniladi.
3.5.3-rasm. El е ktron raqamli imzoni yaratish va t е kshirish sx е masi.
Tarmoqlararo ekran (TE) - bu tarmoqlararo himoya qilish tizimi bo lib, u
ʻ
umumiy tarmoqni ikki va undan ortiq qismlarga ajratishga va ma'lumotlar
pak е tlarini ch е gara orqali umumiy tarmoqning bir qismidan boshqa qismiga o tish
ʻ
shartlarini aniq-laydigan qoidalar to plamini amalga oshirishga imkon yaratadi.
ʻ
Qoidaga ko ra, bu ch
ʻ е garani korxonaning korporativ (lokal) tarmo g’i va](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_14.png)
![Int е rn е t global tarmog’i o rtasida o tkaziladi, biroq uni korxonaning korporativʻ ʻ
tarmog’i ichida ham o tkazish mumkin. TE o zi orqali har bir o tayotgan pak
ʻ ʻ ʻ е t
uchun qarorni - uni o tkazish k
ʻ е rakmi yoki tashlab yuborish k е rakmi - qabul qilgan
holda butun trafikni o tkazadi. TE buni amalga oshira olish uchun u filtrlashning
ʻ
qoidalar to plamini aniqlab olishi k
ʻ е rak. Tarmoqlararo ekranlarning asosiy tashkil
etuvchilari. Tarmoqlararo ekranlarning ko pchilik tashkil etuvchilarini quyidagi
ʻ
uchta toifadan bittasiga kiritish mumkin:
- filtrlovchi marshrutizatorlar;
- tarmoq darajasidagi shlyuzlar; - amaliy darajadagi shlyuzlar.
Filtrlovchi marshrutizator marshrutizator yoki sеrvеrda ishlaydigan dastur
ko rinishiga ega bo lib, u kiruvchi va chiquvchi pakеtlarni filtrlaydigan qilib
ʻ ʻ
tayyorlangan bo ladi. Pakеtlarni filtrlash pakеtlarning TSR va IP sarlavxalarida
ʻ
mavjud bo lgan axborot asosida amalga oshiriladi.
ʻ
Filtrlash aniq bir xost-kompyutеrlar bilan ishonchsiz yoki rakib dеb
hisoblangan tarmoqlarning va xost-kompyutеrlarning aniq manzillari aloqalarini
blokirovkalash uchun turli ko rinishda amalga oshirilishi mumkin. Masalan, ichki
ʻ
tarmoq ba'zi-bir tizimlardan tashqari barcha xost-kompyutеrlar bilan barcha ichki
ulanishlarni blokirovkalashi mumkin. Bu tizimlar uchun faqatgina ma'lum bir
s е rvislargina ruxsat etilishi mumkin. (SMTP bitta tizim uchun, TELNET yoki
FTR-boshqa tizim uchun) ( 3.5.4-rasm ).
3.5.5-rasm. SMTP va TELNET trafikni filtrlash sx е masi.
EH
M
3.5.4 - rasm
Tarmoqlararo ekranni o‟rnatish](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_15.png)
![Filtrlovchi marshrutizatorlarning ijobiy sifatlariga quyidagilarni kiritish
mumkin:
- nisbatan yuqori bo lmagan narxi; ʻ
- filtrlash qoidalarini aniqlashdagi moslashuvchanlik;
- pak е tlarni o tishida unchalik katta bo lmagan ushlanib qolishlar.
ʻ ʻ Filtrlovchi
marshrutizatorlarning kamchiliklari quyidagilar:
- ichki tarmoq Int е rn е t tarmog’idan ko rinib turadi (marshrutlanadi);
ʻ
- pak е tlarni filtrlash qoidalarini yozib chiqish pak е tlarini qiyin va TSR va
UDP t е xnologiyalarini juda yaxshi bilish talab etiladi;
- pak е tlarni filtrlashda tarmoqlararo ekranni ishlash qobi-liyati buzilganda
barcha kompyut е rlar undan k е yin to liq himoya qilinmagan yoki murojaat qilib
ʻ
bo lmaydigan bo lib qoladi.
ʻ ʻ
- hujum qiladigan tizim IP-manzilni ishlatib o zini boshqa tizim kabi
ʻ
ko rsatadi.
ʻ
Tarmoq darajasidagi shlyuzni ba'zida tarmoq manzillarini namoyish qilish
tizimi yoki OSI mod е lining s е ansli darajasi shlyuzi d е b ataladi. Bunday shlyuz
mualliflashtirilgan mijoz va tashqi xost-kompyut е r o rtasidagi to g’ridan-to g’ri
ʻ ʻ ʻ
o zaro ta'sirni inkor etadi.
ʻ
Tarmoq darajasidagi shlyuz ishonchga kirgan mijozni aniq bir xizmatlarga
so rovini qabul qiladi va so roqlangan s
ʻ ʻ е ansni mumkin ekanligini t е kshirgandan
k е yin tashqi xost-kompyut е r bilan ulanishni o rnatadi. Bundan k
ʻ е yin shlyuz
pak е tlarni filtrlashni amalga oshirmasdan ularni ikkala yo nalishlarda nusxalaydi.
ʻ
Pak е tlarni nusxalash va qayta yo naltirish uchun tarmoq darajasidagi
ʻ
shlyuzlarda tarmoq dallollari d е b ataladigan maxsus ilovalar qo llaniladi, chunki
ʻ
ular ikki tarmoq o rtasida virtual zanjirni yoki kanalni o rnatadilar, k
ʻ ʻ е yin esa
TSP/IP ilovalari bilan hosil qilinayotgan pak е tlarga bu kanal bo yicha o tishga
ʻ ʻ
ruxsat b е radi. Aslida esa tarmoq darajasidagi ko pchilik shlyuzlar mustaqil
ʻ
mahsulotlar hisoblanmaydi, balki amaliy darajadagi shlyuzlar bilan birgalikda
е tkazib b е riladi. Trusted Information System kompaniyasining Gauntlet Internet](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_16.png)
![Fire Wall shlyuzi, Dec kompaniyasining Alta Viste Fire Wall shlyuzi, ANS
Interlock shlyuzi shunday shlyuzlarga misol bo la oladi. ʻ
Tarmoq darajasidagi shlyuz yana himoya qilishning bitta muhim funksiyasini
bajaradi u s е rv е r-dallol sifatida ishlatiladi. Bu s е rv е r-dallol ichki IP-manzillarni
bitta ―ishonchli IP-manzilga o zgartirilishi bo lib utadigan manzillarni
‖ ʻ ʻ
translyatsiyalash jarayonini bajaradi.
Amaliy darajadagi shlyuz. Filtrlovchi marshrutizatorlarga xos bo lgan bir
ʻ
qator kamchiliklarni bartaraf etish uchun tarmoqlararo ekranlar TELNET va
FTP turidagi qo shimcha dastur vositalarini ishlatishi k
ʻ е rak. Bunday dastur
vositalari vakolatli s е rv е r (s е rv е r-dallollar), ular bajariladigan xost-kompyut е rlar
esa amaliy darajasidagi shlyuz d е b ataladi.
Amaliy darajadagi shlyuz mualliflashtirilgan mijoz va tashqi xostkompyut е r
o rtasidagi to g’ridan-to g’ri o zaro ta'sirni inkor etadi. Shlyuz barcha kiruvchi va
ʻ ʻ ʻ ʻ
chiquvchi pak е tlarni amaliy darajada filtrlaydi. Xavfsizlikni va
moslashuvchanlikning yanada yuqoriroq darajasiga erishish uchun amaliy
darajadagi shlyuzlar va filtrlovchi marshrutizatorlar bitta tarmoqlararo ekranda
birlashtirilishi mumkin. Amaliy darajadagi shlyuzlar amaliy trafik b е vosita ichki
xost-kompyut е rlarga o tkazib yuboriladigan oddiy r
ʻ е jimga nisbatan bir qator jiddiy
afzalliklarga ega:
- Int е rn е t global tarmog’idan himoya qilinayotgan tarmoq tarkibini
ko rinmasligi;
ʻ
- ishonchli qayd qilinish;
- narx va samaradorlik o rtasida optimal nisbat; -
ʻ filtrlashning oddiy qoidalari;
- ko p sonli t
ʻ е kshiruvlarni tashkil etish imkoniyati.
Amaliy darajadagi shlyuzlarning kamchiliklariga quyidagilar t е gishlidir:
- filtrlovchi marshrutizatorlarga nisbatan birmuncha past unumdorlik;
- filtrlovchi marshrutizatorlarga nisbatan birmuncha yuqori narx.
Afsuski, magnit l е ntalarga brandmauerli himoya qilish tarqatilmaydi
(qo llanilmaydi).
ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_17.png)
![Windows 8 OT brandmauer dasturi orqali OT havfsizligini ta minlash ‟
Windows 8 xavfsizlik devori ham hayratlanarli darajada yaxshi. Har holda
hafsizlikni taminlovchi dasturlar kam emas ularni o rnatishga extiyoj yo q. Albatta
ʻ ʻ
dasturlarni yaxshisi bor, lekin Windows 8 da ishlaydigani kam.
Bu mavzu Windows 8 boshqaruviga bag’ishlangan bo lib, sodda qilib
ʻ
aytganda, (ish stantsiyalari uchun) hujumlar, qurtlarni va boshqa zararkunandalar
kompyuteringizda xavfsizlik devori ( брандмауэр ) himoya paketi filterdur.
(xavfsizlik devori ( брандмауэр ) nima uchun kerak?), Xavfsizlik devori bilan, siz
kiruvchi ulanishlarni to xtatishingiz mumkin va har xil hujumlardan o zingizni
ʻ ʻ
himoya qilishingiz mumkin. Bundan tashqari, biror dastur yoki dasturlar butun
sinfga kirishi rad qilish mumkin.
Ko p hollarda, xavfsizlik devori barcha foydalanuvchilar uchun ishlaydi.
ʻ
Yangi dasturini ishga tushirganizda qanday faoliyat uchun ishga tushirish kerak
deb tarmoqni ko rsatadi, (
ʻ 3.5.6-rasm ) dasturi birinchi marta boshlanganda shunday
oyna chiqadi, va xavfsizlik devori nima qilishni so raydi.
ʻ
3.5.6-rasm. Brandmauerning interfeys oynasi.
Boshqarish paneli oching va xavfsizlik devori брандмауэр Windows ni
tanlang. (3.5.7-rasm ) kompyuter faqat shaxsiy tarmoqqa ulangan. yoqish yoki
o chirish uchun tarmoq tanlashingiz mumkin. xavfsizlik devori
ʻ
( брандмауэр )(3.5.8-rasm), xususiy va ijtimoiy tarmoqlari uchun yoqiladi.](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_18.png)
![3.5.7-rasm.Windowsda brandmauer intefeysi.
3.5.8-rasm. parametrlarni sozlash oynasi.
Xavfsizlik devori o chirmang! xavfsizlik devori o rnatish uchun amalgaʻ ʻ
oshirilishi mumkin. Lekin Windows 8 uchun xavfsizlik devorlari hali yaratilgan
emas deb belgilangan, bu muntazam o chirish uchun emas
ʻ
Дополнительные параметры ga kiring (3.5.7-rasm) chap panelda
joylashgan. (3.5.8-rasm) - Siz qo shimcha imkoniyatlari ko rasiz.
ʻ ʻ](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_19.png)
![3.5.9-rasm. Tanlangan parametrlarni sozlash oynasi.
Xavfsizlik devori ilg’or sozlash uchun eng muhim narsa - to g’ri qoidalarʻ
kiruvchi va chiquvchi ulanishlar uchun ham, tuzilishi mumkin. Sukut, ruxsat,
qoidalar mos bo lmagan barcha kiruvchi ulanishlarni boshqarish mumkin. Lekin
ʻ
chiquvchi ulanishlar bilan vaziyat farq qiladi - ularning blok qoidalar yaratilgan
bo ladi, ularga ruxsat beriladi. Chiqish qoidalari o tsak alohida yaratilgan dasturlar
ʻ ʻ
(3.5.9-rasm) uchun chiqish, ulanishlar uchun umumiy va qoidalar - mavjud.
Правила для исходящих подключений tugmasini bosing. (3.5.10-rasm )
SkyDrive oynasi chiqadi. Siz SkyDrive-ni tanlab Blok ulanishini o chirib
ʻ
qo yishingiz mumkin.
ʻ
3.5.10-rasm. SkyDrive dasturi parametrlari oynasi.
Yangi qoida yaratish - Endi bir kichik misol ko rib chiqaylik. Biz veb kirishni
ʻ
oldini olishni ko raylik. Bu hech qanday brauzer veb sahifani ko rish mumkin
ʻ ʻ
emas, deb, lekin e-mail, Skype va boshqa Internet dasturlari ishlaydi. Bu faqat bir
yo l bilan erishish mumkin - (aniqrog’i port 80 chiquvchi aloqani) port 80 to sip
ʻ ʻ
qo yamiz.
ʻ
( Действия справа o ngdagi bo linmada joylashgan) qoidani yaratishni
ʻ ʻ
bosing. Agar qoidalar turini tanlash kerak (3.5.10-rasm) qarang. Bu bitta qoida
tanlash. Agar barcha brauzerlarni oldini olish uchun, bir port uchun bitta qoida
yaratish kerak.](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_20.png)
![3.5.11-rasm. Yangi bog„lanish uchun yaratish oynasi.
Keyingi ish, maxsus port tanlash va port 80 (3.5.11-rasm) belgilang. Keyin siz
bu holatda, bir ish tanlash kerak, Blok aloqa (3.5.12-rasm). Keyin siz rejimlarni
odatda ishlashini aniqlash kerak bo ladi (3.5.13-rasm). ʻ
3.5.12-rasm. Port pratakolini tanlash oynasi.
3.5.13-rasm. bog„lanishni bloklash oynasi.](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_21.png)
![3.5.14-rasm. Profilni sozlash oynasi.
Yangi qoida yaratildi finish tugmasini ( 3.5.15-rasm ) bosing. Yangi qoida
yaratilgan shakli( 3.5.16-rasm ).
3.5.15-rasm. Nom berish oynasi.
3.5.16-rasm. Brandmauer parametrlarini tanlash oynasi.
Endi qoidani tekshiring. Har qanday brauzerini oching va har qanday sayt
kirish uchun harakat qiling. Siz (3.5.17-rasm qarang) xato xabari ko rasiz. Ilg’orʻ
sozlash qaytish va qoidani (3.5.18-rasm) o chirib qo ying. Keyin brauzerda
ʻ ʻ
sahifani yangilash ochiladi (3.5.19-rasm).](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_22.png)
![3.5.17-rasm. Brandmauer orqali brouzerni ochish oynasi.
3.5.18-rasm. Brandmauer parametrlarini o zgartirish oynasi.‟](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_23.png)
![3.5.1-jadval. Bazi bir portlar
Port raqami,
protokol Vazifasi va ishlatilishi.
20, TCP FTP (File Transfer Protocol), ma'lumotlar
21, TCP FTP (File Transfer Protocol), buyruqlar
22, TCP SSH (Secure Shell)
23, TCP Telnet
25, TCP/UDP Протокол SMTP (Simple Mail Transfer
Protocol), yuborish mail
37, TCP/UDP Протокол синхронизации времени
53, TCP/UDP DNS (Domain Name System), система
доменных имен
80, TCP/UDP HTTP (Hyper Text Transfer Protocol)
109, 110, TCP/UDP Протоколы POP2 и POP3, Pochta qabul qilish
uchun ishlatiladi
143, TCP/UDP Jo natma qabul qilish va boshqaruv protokoliʻ
IMAP
220, TCP/UDP Протокол IMAP (Interactive Mail Access
Protocol), версия 3
443, TCP Xavfsizlik HTTP (HTTPS)
465, TCP/UDP Xavfsizlik SMTP
989, 990, TCP/UDP Xavfsizlik FTP
992, TCP/UDP Xavfsizlik Telnet (поверх SSL/TLS)
1194, TCP/UDP OpenVPN
1234, TCP/UDP VLC Media Player, потоковое видео, IPTV
1214, TCP Kazaa (клиент файлообменной сети)
5190, TCP ICQ и AOL Instant Messenger
6881–6887,
TCP/UDP Порты Torrent-клиентов](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_24.png)
![6889–6890,
TCP/UDP Portlarga yana bir to siq Torrent-ʻ клиентов
Bazi bir portlar 3.5.1 - jadvalda ko rasatilgan. Ularning ba'zilari rasmiy
ʻ
ba'zilari norasmiy. Rasmiylari bilan aniq ya‘ni aniq harakatlari uchun faqat
foydalanish mumkin. Norasmiy oddiy emas. Bugungi kunda, ulardan ba‘zi
dasturlarda foydalanishingiz mumkin.](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_25.png)
![FOYDALANILGAN ADABIYOTLAR RO YXATI ʻ
1. G’aniyev S.K., Karimov M.M., Toshev K.A. Axborot xavfsizligi. Darslik.
Toshkent. - 2016.
2. Sh.A.Abduraxmonova Axborot xavfsizligi. O quv qo llanm. –
ʻ ʻ
Toshkent, ―Navro z nashriyoti. - 2018.
ʻ ‖
3. S.K.G’aniev, M.M. Karimov, K.A. Toshev «Axborot xavfsizligi. Axborot -
kommunikatsion tizimlari xavfsizligi», «Aloqachi» 2008 yil 4. Richard E.Smith.
Elementary information security. 2nd Edition. USA, 2014.
5. Kamilov Sh.M., Masharipov A.K., Zakirova T.A., Ermatov Sh.T., Musayeva
M.A. Kompyuter tizimlarida axborotni ximoyalash. O quv qo llanma. –T.: TDIU,
ʻ ʻ
2005.
6. Paul van Oorschot, Computer Security and the Internet: Tools and
Jewels (2020, Springer). Personal use copy freely available on author's web site.
7. Wenliang Du, Computer Security: A Hands-on Approach (2017, self-
published). Updated May 2019 .
8. Stallings and Brown, Computer Security: Principles and Practice, 3/e (2014,
Prentice Hall).](/data/documents/5a63e6c0-bd18-4722-8938-72dc522b837a/page_26.png)
XAVFSIZLIKNI AMALIY BOSHQARISH. Reja : 1. Axborotlarga nisbatan xavfsizlik muammosi 2. Axborot xavfsizligini ta minlashdagi fakt va raqamlar ‟ 3. Axborot xavfsizligini ta'minlash yo nalishlari ʻ 4. Xafvsizlikni ta minlashga doir amaliy tavsiyalar ‟ 5. Himoya qilishning brandmauerli tizimlari 6. Windows 8 OT brandmauer dasturi orqali OT havfsizligini ta minlash ‟
Axborotlarga nisbatan xavfsizlik muammosi Internet texnologiyalarining yaratilishi turli manbalardan tez va oson yo lʻ bilan axborot olish imkoniyatlarini hamma uchun-oddiy fuqarodan tortib yirik tashkilotlargacha misli ko rilmagan darajada oshirib yubordi. Davlat ʻ muassasalari , fan-ta'lim muassasalari, tijorat korxonalari va alohida shaxslar axborotni elektron shaklda yaratib-saqlay boshladilar. Bu muhit avvalgi fizikaviy saqlashga nisbatan katta qulayliklar tug’diradi: saqlash juda ixcham, uzatish esa bir onda yuz beradi va tarmoq orqali katta ma'lumotlar bazalariga murojaat qilish imkoniyatlari juda keng. Axborotdan samarali foydalanish imkoniyatlari axborot miqdorining tez ko payishiga olib keldi. Biznes qator tijorat sohalarida bugun axborotni o zining ʻ ʻ eng qimmatli mulki deb biladi. Bu albatta ommaviy axborot va hamma bilishi mumkin bo lgan axborot haqida gap borganda o ta ijobiy hodisa. Lekin ʻ ʻ pinhona(konfidensial) va maxfiy axborot oqimlari uchun Internet texnologiyalari qulayliklar bilan bir qatorda yangi muammolar keltirib chiqardi. Internet muhitida axborot xavfsizligiga tahdid keskin oshdi: - Axborot o g’irlash ʻ - Axborot mazmunini buzib qo yish, egasidan iznsiz o zgartirib qo yish ʻ ʻ ʻ - Tarmoqqa va serverlarga o g’rincha suqulib kirish ʻ Tarmoqqa tajovuz qilish: avval qo lga kiritilgan tranzaksiya(amallarning ʻ yaxlit ketma-ketligi)larni qayta yuborish, "xizmatdan yo axborotga daxldorlikdan bo yin tovlash" , jo natmalarni ruxsat berilmagan yo l orqali yo naltirish. ʻ ʻ ʻ ʻ Axborot xavfsizligini ta'minlash quyidagi uch asosiy muammoni yechishni nazarda tutadi. Bular: - Pinhonalik(Confidentiality) - Butunlik(Integrity) - Qobillik(Availability) Axborot xavfsizligini ta minlashdagi fakt va raqamlar ‟ AQSH dagi kompyuter xavfsizligi instituti va FBR tomonidan kompyuter jinoyatlari bo yicha 1999 yilda o tkazilgan so rov natijalariga ko ra so rovda ʻ ʻ ʻ ʻ ʻ
qatnashgan tashkilotlarning 57 foizi Internet bilan ulanish joyi "ko pinchaʻ tajovuzlar tashkil etiladigan joy" deb, 30 foyizi ularning tarmog’iga suqulib kirish yuz berganini, 26 foyizi esa tajovuz vaqtida pinhona axborotni o g’irlash sodir ʻ bo lganini ma'lum qilishgan. AQSH kompyuter jinoyatlariga qarshi kurash Federal ʻ markazi - FedCIRC ma'lumotlariga ko ra 1998 yilda 1100000 kompyuterli 130000 ʻ ga yaqin davlat tarmoqlari tajovuzga duchor bo lgan. ʻ "Kompyuter tajovuzi" deganda kishilar tomonidan kompyuterga ruxsatsiz kirish uchun maxsus dasturni ishga tushirishni nazarda tutiladi. Bunday tajovuzlarni tashkil etish shakllari har xil. Ular quyidagi turlarga bo linadi ʻ -Kompyuterga masofadan kirish: Internet yoki intranetga kimligini bildirmay kirishga imkon beruvchi dasturlar -O zi ishlab turgan kompyuterga kirish: kompyuterga kimligini bildirmay ʻ kirish dasturlari asosida. -Kompyuterni masofadan turib ishlatmay qo yish: Internet (yo tarmoq) orqali ʻ olisdan kompyuterga ulanib, uning yoki uni ayrim dasturlarining ishlashini to xtatib qo yuvchi dasturlar asosida(ishlatib yuborish uchun kompyuterni qayta ʻ ʻ ishga solish yetarli). -O zi ishlab turgan kompyuterni ishlatmay qo yish: ishlatmay qo yuvchi ʻ ʻ ʻ dasturlar vositasida. Tarmoq skanerlari: tarmoqda ishlayotgan kompyuter va dasturlardan qay biri tajovuzga chidamsizligini aniqlash maqsadida tarmoq haqiqatda axborot yig’uvchi dasturlar vositasida. -Dasturlarning tajovuzga bo sh joylarini topish: Internetdagi ʻ kompyuterlarning katta guruhlari orasidan tajovuzga bardoshsizlarini izlab qarab chiquvchi dasturlar vositasida. -Parol ochish: parollar fayllaridan oson topiladigan parollarni izlovchi dasturlar vositasida. -Tarmoq tahlilchilari (snifferlar): tarmoq trafikini tinglovchi dasturlar vositasida. Ularda foydalanuvchilarning nomlarini, parollarini, kredit kartalari nomerlarini trafikdan avtomatik tarzda ajratib olish imkoniyati mavjud. Eng ko p yuz beradigan tajovuzlar quyidagi statistikaga ega: ʻ
1998 yili NIST tomonidan o tkazilgan 237 kompyuter tajovuzining tahliliʻ Internetda e'lon qilingan: 29 % tajovuzlar Windows muhitida yuz bergan. Lekin Faqat Unixgina xatarli emas ekan. 20% tajovuzlarda tajovuz qilganlar olisdan turib tarmoq elementlari(marshrutlovchilar, kommutatorlar, xostlar, printerlari brandmauer) gacha yetib borganlar. Lekin xostlarga olisdan turib bildirmay kirish bot-bot yuz beradi. 5% tajovuzlar marshrutlovchilarga va brandmauerlarga qarshi muvaffaqiyatli bo lgan. Lekin Internet tarmoq infrastrukturasi tashkil etuvchilarining kompyuter ʻ tajovuzlariga bardoshi yetarli emas. 4% tajovuzlarda Internetda tajovuzga bardoshi bo sh xostlarni topish uchun ʻ uyushtirilgan. LekinTizim administratorlarining o zlari o z xostlarini muntazam ʻ ʻ skanerlab turganlari ma'qul. 3% tajovuzlar web-saytlar tomonidan o z foydalanuvchilariga qarshi ʻ uyushtirilgan. Lekin WWWda axborot izlash xavfsiz emas. Internetda 1999 y. mart oyida eng ommaviy bo lgan kompyuter tajovuzlari . ʻ Sendmail(eng eski dastur), ICQ(murakkab "Sizni izlayman"dasturi, undan 26 millionga yaqin kishi foydalanadi), Smurf(ping- paketlar bilan ishlaydigan dastur), Teardrop(xatolarga sezgir dastur), IMAP(pochta dasturi), Back Orifice(troyan ot, Windows 95/98ni olisdan boshqarish uchun), Netbus( Back Orifice ga o xshash), ʻ WinNuke (Windows 95ni to la to xtatib qo yaoladi )i Nmap(skanerlovchi dastur) ʻ ʻ ʻ bilan bo lgan. ʻ WinNuke, Papa Smurf i Teardrop dasturlari vositasida niyati buzuq kimsalar sizning kompyuteringizga tajovuz qilib ziyon yetkazishlari mumkin. Axborot xavfsizligini ta'minlash yo nalishlari ʻ NIST 7498-2 xalqaro standarti asosiy xavfsizlik xizmatlarini belgilaydi. Uning vazifasiga ochiq tizimlar aloqasi modelining xavfsizlik yo nalishlarini ʻ aniqlash kiradi. Bular:
- Autentifikatsiya. Kompyuter yo tarmoq foydalanuvchisining shaxsini tekshirish; - Kirishni boshqarish(Access control). Kompyuter tarmog’idan foydalanuvchining ruxsat etilgan kirishini tekshirish va ta‘minlash; - Ma lumotlar butunligi‟ . Ma‘lumotlar massivi mazmunini tasodifiy yo qasddan beruxsat usullar bilan o zgartirishlarga nisbatan tekshirish; ʻ - Axborot pinhonaligi. Axborot mazmunini iznsiz oshkor bo lishdan ʻ himoyalash ; - Inkor eta olinmaslik . Ma‘lumotlar massivini jo natuvchi tomonidan uni ʻ jo natganligini yoki oluvchi tomonidan uni olganligini tan olishdan bo yin ʻ ʻ tovlashining oldini olish. Ko plab qo shimcha xizmatlar (audit, kirishni ta‘minlash) va ʻ ʻ qo llabquvvatlash xizmatlari (kalitlarni boshqarish, xavfsizlikni ta‘minlash, ʻ tarmoqni boshqarish) mazkur asosiy xavfsizlik tizimini to ldirishga xizmat qiladi. ʻ Web tugunining to la xavfsizlik tizimi barcha yuqorida keltirilgan xavfsizlik ʻ yo nalishlarini qamrab olgan bo lishi shart. Bunda tegishli xavfsizlik vositalari ʻ ʻ (mexanizmlari) dasturiy mahsulotlar tarkibiga kiritilgan bo lishi lozim. ʻ Autentifikatsiyalashni takomillashtirish qayta ishlatiladigan parollarga xos kamchiliklarni bartaraf etishni, shu maqsadda bir martagina ishlatiladigan parol tizimidan tortib identifikatsiyalashning yuqori texnologik biometrik tizimlarigacha qo llashni nazarda tutadi. Foydalanuvchilar o zlari bilan olib yuradigan predmetlar, ʻ ʻ masalan, maxsus kartochkalar, maxsus jeton yoki disketa ancha arzon ham xavfsiz. Noyob, modul kodi himoyalangan dastur moduli ham bu maqsadlarda qulay. Oshkor kalitlar infratuzilmasi ham Web – tugun xavfsizligining ajralmas qismi. Autentifikatsiya, ma‘lumot butunligi va axborot pinhonaligi(konfidentsialligi)ni ta‘minlash uchun ishlatiladigan taqsimlashga n tizim(odamlar, kompyuterlar), Ochiq kalit infrastrukturali (sertifikat nashrchisi) elektron sertifikatni e‘lon qiladi. Unda foydalanuvchi identifikatori, uning ochiq kaliti, xavfsizlik tizimi uchun qandaydir qo shimcha axborot va sertifikat nashr etuvchisining raqamli imzosi bor. ʻ