Современные информационные технологии/4. Информационная
безопастность
П.ғ.к.,
доцент Жунусова Л.Х., Көбеева Г.Қ.
(Абай атындағы Қазақ
ұлттық педагогикалық университеті, Қазақстан)
Ақпаратты қорғау әдістерін
кәсіптік-педагогикалық бағытта оқытудың ерекшеліктері
Аңдатпа. Аталған жұмыста ақпаратты
қорғау пәнін оқыту әдістемесінің кейбір
мәселелері қарастырылған. Сонымен бірге, ақпаратты
қорғау әдістері жайлы сөз етілген. Ақпаратқа
келетін қауіп түрлері де келтірілген. Қорғаныс
жүйесін құрудың негізгі кезеңдерінің
жіктелуі көрсетілген. Сол
сияқты ақпаратты қорғауда құпия
сөздерді пайдалануды да сөз етілген. Ақпаратты
қорғаудың бірден бір жолы шифрлау мәселесі еш
уақытта өзектілігін жоғалтқан еместігіне
тоқталған.
Түйінді
сөздер: ақпаратты
қорғау, шифрланған хабар, құпия сөз,
ашық және жабық кілттер, идентификация, аутентификация.
Тәуелсіз еліміздің мерейін асырып, ұлт
болашағының кемелді келешегі үшін қызмет етер білімді,
білікті мамандарды дайындау бағытында білім мен ғылым саласында
оңтайлы игілікті бастамалар атқарылуда. Ұлттық
құндылықтар мұратын негізгі темірқазық
ретінде ұстана отырып отаншыл, адамгершілік қасиеттерді
жоғары қоя білетін, қазіргі жаһандану кезеңінің
талаптары туғызып отырған білімді ұрпақ тәрбиелеу
ісі еліміздегі әрбір оқу орындарының күн
тәртібінде тұрған өзекті мәселелердің бірі.
Аталмыш мәселені оңтайландыру мақсатындағы жасалып
жатқан бағдарламалардың көздеген мақсаты да
біреу. Ол – Тәуелсіз еліміздің негізгі әлеуетінің бірі
білім-ғылым саласы арқылы ел болашағын ойлар ертеңгі
азаматын тәрбиелеп шығару.
Қазіргі жаһандау дәуіріндегі ақпараттық
қызметтің даму деңгейі көз ілеспес жылдамдықпен
қарқынды даму үстінде екендігі кім-кімге болса да аян.
Ақпарат саласындағы бұл артықшылықтар аталмыш
сала бойынша қызмет ететін мамандарға, тұтынушыларға
игі әсерлерін тигізетіні сөзсіз. Әртүрлі
қажеттіліктерге байланысты жылдам ақпарат алу, ақпарат алмасу
тәрізді мәселелер қолжетімді деңгейдегі
оңтайландырылған өзгерістердің жемісі. Бұл
жемісті жетістіктермен қатар ақпаратты тұтынушыларға,
олардың бағдарламаларына да төнер қауіп жоқ емес.
Жылдам дамыған ақпараттық технология бағдарламаларымен
қатар аталмыш бағыттарға төнетін қауіптің
де «оңтайладырылған» бағдарламаларының да күн
сайын жаңа қарқынмен дамып отыратыны белгілі.
Ақпарат
қауіпсіздігінің қаупі ретінде ақпараттың
жойылуына, тұтастығына нұсқан келуге,
құпиялық немесе ақпараттың қол жеткізуге
болатындығына әкеліп соқтыруы ықтимал
оқиға, процесснемесе құбылыс түсініледі.
Компьютерлік жүйелердегі ақпараттың қауыпсіздігіне
төнетін қатердің көпшілігі екі жікке бөлінеді:
кездейсоқ және қасақана қатер төндіру. Әлбетте,
барлық өркениетті елдерде азаматтардың қауіпсіздік
сақшысы ретінде зандар тұр., барлық есептегіш техника
саласында құқық қолданатын іс-тәжірибе
әзірге дамымаған, ал заң шығарушы процесс технология
дамуына ілесе алмайды, сондықтан компьютерлік жүйе
жұмысының сенімділігі көбіне өзін-өзі
қорғау шараларына сүйенеді.
Ақпаратты
рұқсат етілмей қол жетуден қорғау мәселесі
жергілікті, әсіресе, ғалымдық компьтерлік желінің
кеңінен таралуымен байланысты елеулі түрде шиеленісті.
Ақпаратты
қорғау иесі үшін бағалы ақпаратты жоғалту
немесе жаңғыртып, жетілдіру, тарап кету ықтималдығын
азайту үшін қажет.
Ақпарат пен оның құпиялығын немесе автономды
жұмыс режиміндегі қорғау сратегиясы сайып келгенде біреу:
ақпаратты бақылау. Сіз ақпараттың сақталу орнын,
оған қол жеткізуді шектеу мен оның тұтастығын
сақтауды бақылауыңыз керек . Негізгі стратегияларды атап
көрсетейік.
Жүйені
қорғау. Жұмыстада да, үйде де компьтеріңізге
пайдаланушылардың қолы жетуін, мүмкіндігінше,
әрқашан және қайда болмасын шектеңіз. Бұл
үшін компьютерді зааттай орналастыружәне парольмен
қорғау сияқты мүмкіндіктерді қарастыруға
болады. Бұл шығу тегі белгісіз программамен қамтамасыз ету
көмегімен жанама жетуге де қатысты, бұл вирус программасы
немесе Троян аты болуы мүмкін. Ақпаратты жасыру. Егер сіздің
ақпараттарыңыздың қайда сақталатындығын
өзіңізден басқа ешкім білмесе, ақпараттың
құпиялылығының бұзылуы немесе ақпараттың
бүліну қаупі едәуір азаяды. Бұл үшін
файлдардың жалған аттары немесе файлдар немесе каталогтардың
«көрінбейтін» аттары сияқты айла – шарғыны
қолдануға болады. Мәліметтеріңіздің барлық
іздерін өшірген жән, бұл бәрінен бұрын ашық
файлдар мәзірін және Windows құжаттарын тазалауды
меңзейді. [1, 113-б.]. Ақпараттың тұтастығын қолдау.
Бүлдіруден қорғау. Негізгі мақсат –
ақпараттарыңызды жойылудан, өзгеруден, нұқсан
келуден сақтау. Бұл үшін мәлеметтерді архивтеу,
файлдарды бұғаттау парольдерді қорғау сияқты
тактикалық әдістер қолданылады. Ақпаратты қол
жетерлік ауқымнан қашықтату. Ең осал ақпарат
жағдайында файлдарды жасыру мен бұғаттау жеткіліксіз шара
болып шығады. Мұндайда сіз жұмыс файлдарын қатқыл
дискіде сақтау тактикасына немесе тек басылып шыққан
құжат түрінде ғана сақтауға иек
артуға болады. Сонымен қатар жүйе құрған
мәліметтердің резервтік көшірмелерін жоя аласыз. Компьютеріңізді
тұзақтан алыңыз. Белгілі бір сорттағы ақпаратты
сізге жасау мен сақтау шын мінінде қажет пе, соны ойлаңыз. Іс
жасыру. Windows және кейбір қосымшалар сіздің алда болып
өткен жұмысыңыз жайлы ақпараттың іздерін
сақтауға құмар болады. Олардың көпшілігін
параметрлерді қоюмен өшіруге болады, қалғандарын
қолмен жоюға болады. Екі корреспондент үшін шифрлау
арылту программасын талап етіледі. Егер А шифрланған хабарды В – ға
жібергісі келсе, ол ең алдымен В – дан ашық кілт алуы тиіс.
Ашық кілт ашық кілттердің сервері арқылы
ұсынылады. В бұл серверге өзінің ашық кілттрін
қаншалықты қажет болса, соншалықты орналастырады. А бұл
кілтті алады, сосын оны хабарды шифрлау программасына «кірістіреді» және
В – ға жіберілетін хабарды дайындайды. В хабардың шифрдан арылту
үшін өзінің жабық кілтін қолданады. Шифрлау
программасын ашық кілтті салыстырып, тексеріп шығады. [2, 197-б.]. Бұл орайда ол жабық кілтпен
шифрдан арылту үшін хабарды қалайша шифрлау керектігін хабарлайтын
нұсқау болып табылады. Сонымен бірге мұндай хабардың
шифрын ашу үшін ашық кілтті пайдалануға болмайды. Бұл А
жолдаған хабарды оқи алатын алушының жалғыз екендігін
білдіреді. Осылайша жабық кілт шифрлау программасымен үйлесіп,
хабардың шифрын арылтуға қолданылады, ол шифрлаудың
дәл осындай программасының және алушының ашық
кілт көмегімен шифрланған болатын. Жабық кілтті білмей
тұрып шифрланған файлды қайта шифрынан арылту мүмкін
емес. Бұл тәсіл көптеген корреспонденттерден
электрондық почта арқылы берілетін, шифрланған хабарлар
қабылдауды талап ететіндер үшін қолайлы. Олардың
барлығы хабарды шифрлауға арналған шифрлау программасы мен
ашық кілтті қолдана алады, бірақ оны шифрлық алушы
ғана тек жабық кілттің көмегімен аша алады.
Ашық
кілтті жүйелер хабарларды шифрлаудан басқа алушылардан келетін
хабарлардан немесе басқадай мәлеметтерді аутектификацияландыру
құралдары ретінде қолданылуы мүмкін. Ашық кілтті
Wed – те тиісті серверлердің кез келген мөлшерінде
орналастыруға болады. Бұл сайттар ашық кілттерді тегін
сақтайды және мәлеметтер базасы түрінде
ұйымдастырылған. Мұндай серверлерді іздеу үшін іздесін
программасына public key servers түйінді сөз тіркесін енгізу
жеткілікті.
Интернеттегі
қауіпсіздік пен құпиялылық. Интернетте жұмыс
істеу кезінде Бүкіләлемдік желі ресурстары әрбір клиетке
қаншалықты ашық болса, оның компьютерлік
жүйесінің ресурстары қажетті құралдары
барлардың барлығына ашық болады.
Жеке
пайдаланушы үшін бұл факт ерекше рөл атқармайды,
бірақ аумағында Интернет серверлері орналасқан елдердің
заңнамаларын бұзатын іс – қимылдарды болдырмау үшін ол
жайлы білген жөн. Мұндай іс – қимылдарға
компьютерлікжүйенің жұмысқа қабілеттілігін ерікті
немесе еріксіз түрде бұзу әрекеттері,
қорғалған жүйелерді бұзуға әрекет
жасау, компьютерлік жүйенің жұмысқа қабілеттілігін
бұзатын бағдарламаны пайдалану мен тарату жатады. Бүкіләлемдік
жүйеде жұмыс істегенде барлық іс – қимылдар
толықтай белгіленетін және арнайы программалық
құралдармен хатталатының, заңды, заңсыз іс-әрекеттер
туралы ақпарат міндетті түрде бір жерлерде жинақталатынын
есте сақтаған жөн.
Осылайша Интернетте ақпарат алмасуға почта маркаларын
қолданатын кәдімгі хат жазысу сияқты қараған
жөн. Ақпарат екі жаққа да еркін жайылып, таралады,
бірақ ол жалпы жағдайда ақпараттық процестің
барлық қатысушылары қол жетерліктей. Бұл
көпшіліктің жаппай қолдануға ашық
Интернеттің барлық қызметтеріне қатысты. Алайда
әдеттегі почталық байланыста да ашық хаттармен қатар
почталық конверттер болады ғой. Хат жазысқанда почталық
конверттерді қолдану серіктестердің жасыры бар дегенді білдірмейді.
Оларды қолдану бұрыннан қалыптасқан тарихи
дәстүр мен моральдық – этикалық қатынас
нормаларына сай келеді. Осындай «конверттердің» қажеттілігі
ақпаратты қорғау үшін Интернетте де бар. Бүгінде
Интернет тек қатынас құралы және әмбебап анықтамалық
жүйе ғана болып қоймай, келісім шарттық және
қаржылық міндеттемелер жойылып, таралады, қарап шығудан
да, бұрмалаудан да қорғау қажеттілігі айдан анық.
1999 жылдан бастап Интернет бөлшектік сауда айналымын қамтамасыз
етудің қуатты құралын айналды, ал бұл несиелік
карталар мен басқа электронды төлем құралдарын
қорғауды талап етеді.
Интернеттегі ақпаратты қорғау принциптері мынадай
анықтамаға сүйенеді: ақпарат – мәлеметтер
жүйе арқылы берілсе, онда оларға бөгде адамдардың
кіруін, тіпті, теориялық жағынан болдырмау мүмкін емес.
Соған сәйкес қорғау жүйелері
ақпараттың екінші компонетінде – әдістерде
шоғырланған. Олардың іс-әрекеттерінің прициптері,
тым болмаса мәлеметтердің ақпаратқа айналуы үшін
барабар әдісті таңдау мүмкіндігін қиындатып, тіпті болдырмауға
негізделген. Мұндай қорғау тәсілдерінің бірі –
мәлеметтерді шифрлеу. Шифрлау – хабарды немесе басқа
құжаттың өңін айналдарып, өзгертетін
тәсіл. Шартты белгілеу – әдеттегі, түсінікті
мәтіннің шартты белгіге ауысып, өзгеруі. Мәтіннің
таңбалары мен шартты белгі – символдары расындағы өзара
мағыналы сәйкестік бар екендігі меңзеледі – шартты белгілеу
мен шифрлаудан негізгі айырмашылығын осында. Көбіне шартты белгілеу
мен шифр беруді бір нәрсе деп санайды жәнешартты белгілеуін
жоғалтқан хабарды қалпына келтіру үшін ауыстыру
ережесін білу жеткілікті екендігін естен шығарады.Шифрланған
хабарды қалпына келтіру үшін шифрлау ережелерінен басқа,
шифрға тиісті кілтті білу талап етіледі. Тек мәтінді ғана
емес, әр түрлі компьютерлік файлдарды – мәліметтер базасы
файлдарынан, мәтіндік процессорлардан бастап кескіндеу файлдарына дейін
шифрлауға болады. Шифрлау идеясы – хабардың шын мәнісіндегі
барын шифрды ашу құралдары жоқтардың қарап
шығуын болдырмауда. Файлды шифрды ашуға мүмкіндігі барлар
ғана оқи алады. Шифрды ашу – шифрлау ережелері мен шифрдың
кілтін білуге негізделген шифрланған хабардан мәлеметтер алу
процесі. [2, 193-б.]. Компьютер мәлеметтерін шифрлаудың жаңаша тәсілі –
шық және жабық кілттерді шифрлау әдісі, мұндайда
хабарды шифрлауды ашуға арналған кілт берілетін хабарда болады.
Ашық
кілт шифрлаудың компьютерлік жүйесі алушының ашық
кілтін қолданып, мәліметтерді шифрлайтын программаны
қолданады. Ашық кілт – алушы қол жетерліктей қылып
жасайтын шифр және ол хабарды шифрлау жөніндегі
нұсқаулық ретінде қызмет етеді. Ашық кілт шифрлау
программасымен жасалады және әрбір пайдаланушының
өзінікі болады. Хабар шифрланған соң оны алушы
өзінің жек, жабық, жабық кілтінің көмегімен
аша алады. Жек кілтті пайдаланушы программа орнатқанда жасайды және
оған бастапқы ақпарат ретінде беріледі. Онымен бірге кілт
жасалады.
Ақпаратты
қорғау аймағындағы практикалық
зерттемелердің өзектілігі, қорғаныс жүйесін
құрудың негізгі кезеңдері және
қорғаныс мәселесін шешудің әр түрлі
әдістемелерінің салыстырмалы талдауы.
Қорғаныс
жүйесін құрудың негізгі кезеңдері
төмендегідей болып жіктеледі (сурет 1):
Сурет
1. Қорғаныс жүйесін құру кезеңдері
1.
Мүмкін болатын қауіп-қатердің талдауы келесі
қауіп-қатерден қорғанудың негізгі түрлерін
зерттеумен айналысады:
- Ақпараттың
конфиденциалдығының бұзылуының
қауіп-қатері;
- Ақпараттың
бүтінділігінің бұзылуының қауіп-қатері.
Бұл
кезең шындығында да барлық қауіп-қатердің
жиынтығынан байсалды зиян (вирус, ұрлық) келтіретіндерін
таңдаумен аяқталады.
2.
Қорғаныс жүйесін жоспарлау кезеңі
қорғалатын құрылымдар тізімінен және оларға
мүмкін болатын қауіп-қатерден тұрады. Бұл кезде
қорғанысты қамтамасыз етудің келесі бағыттарын
назарға алу қажет:
-
құқықтық-этикалық;
-
моральды-этикалық;
-
қорғанысты қамтамасыз етудің әкімшіліктік
шаралары;
-
қорғанысты қамтамасыз етудің
аппараттық-программалық шаралары.
3.
Қорғаныс жүйесін іске асыру ақпаратты
өңдеудің жоспарланған ережелерін іске асыруға
қажетті құралдарды орнату мен баптауды қамсыздандырады.
4.
Қорғаныс жүйесін сүйемелдеу кезеңі
жүйенің жұмысын бақылау, ондағы болып
жатқан оқиғаларды тіркеу, қорғанысты бұзуды
айқындау мақсатымен оларды талдау және қажетінше
қорғаныс жүйесін түзетумен сипатталады.
Ақпаратты қорғау әдістері төмендегідей болып
жіктелінеді (сурет 2).
Сурет 2. Ақпаратты қорғау
әдістерінің жіктелуі
Қорғаныстың аппараттық әдістерін
қолдану мынадай техникалық құралдарды пайдалануды
ұсынады:
- тыңдалатын және жазылатын құрылғылардан
қорғайтын TRD-800 категориялы радиохабарлағыштар мен
магнитофондар детекторы;
- жасырын бейне бақылау құратын модульдік нөмірлер;
- ақпаратты жеткізудің дұрыстылығын
қамтамасыз ететін ақпаратты анықтылыққа тексеру
сызбалары;
- құпиялы құжаттарды жіберуге арналған
SAFE-400 категориялы факстік хабардың скремблері.
Қорғаныстың аппараттық әдістері
ресурстардың үлкен шығынын талап етеді.
Программалық әдістер есептеуіш алгоритмдер мен қатынауды
шектеуді қамтамасыз ететін программаларды және ақпаратты
рұқсатсыз пайдаланудан шығаруды ұсынады.
Программалық әдістер келесі функцияларды іске асырады:
- идентификация, аутентификация, авторизация (Pin кодтар, парольдер
жүйелері арқылы);
- резервті көшіру және қалпына келтіру процедуралары;
- антивирустық программаларды белсенді қолдану және
антивирустық қорларды жиі жаңартып отыру;
- транзакцияны өңдеу.
Ақпаратты қорғаудың криптографиялық
әдісі – бұл ақпаратты шифрлаудың, кодтаудың
немесе басқаша түрлендірудің арнайы әдісі,
мұның нәтижесінде ақпарат мазмұнына криптограмма
кілтінсіз және кері түрлендірмей шығу мүмкін болмайды. [3, 157-б.]. Криптографиялық қорғау – ең
сенімді қорғау әдісі, өйткені ақпаратқа
шығу емес, оның тікелей өзі қорғалады, (мысалы,
әуелі тасуыш ұрланған жағдайдың өзінде
ондағы шифрланған файлды оқу мүмкін емес).
Мұндай қорғау әдісі стандартты операциялар немесе
программалар дестесі түрінде жүзеге асырылады. Операциялық
жүйенің негізіндегі қорғау көбінесе қатынас
құруды басқарудың процедураларын жүзеге
асыруға мүмкіндік беретін мәліметтер қорын
басқару жүйелері деңгейіндегі қорғау
құралдарымен толықтырылуы керек.
Қазіргі кезде ақпарат қорғаудың
криптографиялық әдісінің көпшілік қаблдаған
жіктеуі жоқ. Дегенмен, жіберілетін хабарламаның әрбір символы
шифрлауға түскенде шартты түрде 4 негізгі топқа
бөлуге болады:
- ауыстыру шифрланушы мәтіннің символдары сол немесе
басқа алфавит символдарымен алдын ала белгіленген ережеге сәйкес
ауыстырылады;
- аналитикалық түрлендіруде шифрланушы мәтін
қандай да бір аналитикалық ереже бойынша түрлендіріледі;
- орын ауыстыру шифрланушы мәтіннің символдарының
орны жіберілетін мәтіннің берілген блогының шегінде
қандай да бір ереже бойынша шифрланады.
Ақпаратты шифрлаудың сенімділік дәрежесі бойынша
көптеген программалық өнімдер бар. Кең таралған
программалардың бірі болып Циммерменн құрған Pretty
Good Privacy (PGP) болып табылады. [4, 243-б.]. Оның криптографиялық қорғау құралы
өте күшті. Танымдылығы мен ақысыз таратылуы іс
жүзінде PGP-ны дүние жүзінде электрондық хат алысу
стандартына айналдырды. PGP программасына желіде көпшіліктің
шығуына мүмкіндігі бар.
Ақпаратты қорғаудың ұйымдастырушылық
әдісі келесі іс-шаралардың ұйымдастырылуы мен іске асырылуын
қарастырады:
- өртке қарсы қорғаныс;
- жанбайтын сейфтерде аса қажетті құжаттарды
сақтау;
- өту жүйесі арқылы қатынау регламенті;
- бақылау жүйесін ұйымдастыру;
- қолданушылардың әр түрлі категорияларының
қорғаныс объектілері мен олардың орындалу талаптарына
қатынауды регламентациялайтын көмекші нұсқамаларды
даярлау.
- мамандарды таңдау мен даярлау;
- қауіпсіздік мәселесі бойынша семинарларға,
конференцияларға қатысуды қамтасыз ету мен ұйымдастыру.
Пайдаланылған
әдебиеттер
1. Акин Б. Защита компьютерной информации.СПб БХВ-Петербург, 2000-384с.
2. Харев Л.Б. Методы и средства защиты
информации в компьютерных системах. М., АСАДЕМА, 2005-256с.
3. Мельников В.В. Защита
информации в компьютерных системах. – Москва,
1997. – 368с.
4. Ященко В.В. Введение в криптографию. М., МЦНМО, 2001-115с.
Аннотация. В данной работе рассмотрены некоторые проблемы
методики преподавания по предмету защиты информации. Вместе с тем, рассмотрены
и методы защиты информации. Подняты вопросы о вредноносных объектах
повреждающих информации. Рассмотрены классификация основных этапов создания систем защиты. Помимо
этого указаны способы использования поролей для защиты информации. Также был
сделан акцент на шифрование, как способа зашиты информации.
Ключевые слова:
защита информации,
зашифрованное сообщение, открытый и закрытый ключи, идентификация, аутентификация.
Abstract. This paper discusses some of the problems of
teaching methods on the subject of information security. However, the methods
reviewed and information security. Raised questions about the dangerous and
ways to protect information. The classification of the main stages of creating
protection systems. Password is protect of the information. Also, emphasis was
placed on encryption as a means of protecting information.
Key words: information security, encrypted message, public and private keys,
identification, authentication.