Педагогические науки/2. Информатика
Магистрант, Г.Қ.Көбеева
Абай атындағы ҚазҰПУ, Қазақстан
Ақпаратты қорғау әдістеріне
оқытудың мәселелері
Тәуелсіз
еліміздің мерейін асырып, ұлт болашағының кемелді
келешегі үшін қызмет етер білімді, білікті мамандарды дайындау
бағытында білім мен ғылым саласында оңтайлы игілікті
бастамалар атқарылуда. Ұлттық құндылықтар
мұратын негізгі темірқазық ретінде ұстана отырып
отаншыл, адамгершілік қасиеттерді жоғары қоя білетін,
қазіргі жаһандану кезеңінің талаптары туғызып отырған
білімді ұрпақ тәрбиелеу ісі еліміздегі әрбір оқу
орындарының күн тәртібінде тұрған өзекті
мәселелердің бірі. Аталмыш мәселені оңтайландыру
мақсатындағы жасалып жатқан бағдарламалардың
көздеген мақсаты да біреу. Ол – Тәуелсіз еліміздің
негізгі әлеуетінің бірі білім-ғылым саласы арқылы ел
болашағын ойлар ертеңгі азаматын тәрбиелеп шығару.
Қазіргі
жаһандау дәуіріндегі ақпараттық қызметтің
даму деңгейі көз ілеспес жылдамдықпен қарқынды
даму үстінде екендігі кім-кімге болса да аян. Ақпарат
саласындағы бұл артықшылықтар аталмыш сала бойынша
қызмет ететін мамандарға, тұтынушыларға игі
әсерлерін тигізетіні сөзсіз. Әртүрлі
қажеттіліктерге байланысты жылдам ақпарат алу, ақпарат алмасу
тәрізді мәселелер қолжетімді деңгейдегі
оңтайландырылған өзгерістердің жемісі. Бұл
жемісті жетістіктермен қатар ақпаратты тұтынушыларға,
олардың бағдарламаларына да төнер қауіп жоқ емес.
Жылдам дамыған ақпараттық технология бағдарламаларымен қатар
аталмыш бағыттарға төнетін қауіптің де
«оңтайладырылған» бағдарламаларының да күн сайын
жаңа қарқынмен дамып отыратыны белгілі.
Компьютер,
ғаламтор арқылы хабарлар тасымалданатын байланыс арналары
көбінесе қорғалмаған болып келеді және осы
арнаға қатынас құру құқығы бар
кез келген адам хабарларды қолға түсіре алады.
Сондықтан тораптарда ақпаратқа біраз шабуылдар жасау
мүмкіндігі бар. Әртүрлі
бағдарламаларды бұзушылар – тиым
салынған операцияларды қателескендіктен, білместіктен
орындауға әрекет жасаған немесе ол үшін саналы
түрде әртүрлі мүмкіншіліктерді, әдістерді
және құралдарды қолданатын тұлға. Бұзушының
мақсаттарын зерттегенде төмедегі мәселелер анықталынды:
а) Қатарларында бұзушы болуы мүмкін
тұлғалардың санаттары жайында жорамалдар; ә) Бұзушы
әрекетінің себептері туралы жорамалдар; б) Бұзушының
біліктілігі және оның техникалық жабдықтанғандығы
жөнінде жорамалдар; в) Бұзушының ықтимал
әрекеттерінің сипаты туралы жорамалдар. [1, 43-б.].
Ақпаратты қорғау құралдары – мемлекеттік құпия болып табылатын мәліметтерді
қорғауға арналған техникалық,
криптографиялық, программалық және басқа да
құралдар, олар жүзеге асырылған құралдар,
сондай-ақ, ақпарат қорғаудың тиімділігін
бақылау құралдары.
Ақпараттық
қорғау жүйесі жобалау әр түрлі жағдайда
жүргізілуі мүмкін және бұл жағдайларға
негізгі екі праметр әсер етеді: ақпарат қорғау
жүйесіне арнап әзірленіп жатқан деректерді
өңдеудің автоматтандырылған жүйесінің
қазіргі күй-жағдайы және ақпаратты
қорғау жүйесін жасауға кететін қаржы
мөлшері.
Ақпаратты
қорғау жүйесін жобалау мен әзірлеу төмендегі
тәртіп бойынша жүзеге асырылады:
– қорғанылуы көзделген деректердің
тізбесін және бағасын анықтау үшін деректер
өңдеу жүйесін қойылған талдау жасау;
– ықтимал бұзушының үлгісін
таңдау;
– ықтимал
бұзушының таңдап алынған үлгісіне сәйкес
ақпаратқа заңсыз қол жеткізу арналарының барынша
көбін іздеп табу;
– пайдаланылатын қорғаныш
құралдарының әрқайсысының беріктілігін
сапасы мен саны жағынан бағалау;
– орталықтанған бақылау мен
басқару құралдарын әзірлеу;
– ақпарат қорғау
жүйесінің беріктілігінің сапасын бағалау.
Ақпараттық қауіпсіздік дегеніміз
белгілі бір ақпараттық ресурстардың, сондай-ақ
ақпарат саласында жеке адамның құқықтары
мен қоғам мүдделері қорғалуының
жай-күйі. Ақпаратты
қорғау – ақпараттық
қауіпсіздікті қамтамасыз етуге бағытталған шаралар
кешені. Тәжірибе жүзінде ақпаратты қорғау деп
деректерді енгізу, сақтау, өңдеу және тасымалдау
үшін қолданылатын ақпарат пен қорлардың
тұтастығын, қол жеткізулік оңтайлығын және
керек болса, жасырындылығын қолдауды түсінеді. Сонымен,
ақпаратты қорғау –
ақпараттың сыртқа кетуінің, оны ұрлаудың,
жоғалтудың, рұқсатсыз жоюдың,
өзгертудің, маңызына тимей түрлендірудің,
рұқсатсыз көшірмесін жасаудың,
бұғаттаудың алдын алу үшін жүргізілетін шаралар
кешені. Қауіпсіздікті қамтамасыз ету кезін қойылатын
шектеулерді қанағаттандыруға бағытталған
ұйымдастырушылық, программалық және техникалық
әдістер мен құралдардан тұрады. Ақпараттық
қауіпсіздік режимін қалыптастыру кешендік мәселе болып
табылады. [2, 113-б.].
Оны шешу
үшін заңнамалық, ұйымдастырушылық,
программалық, техникалық шаралар қажет.
Ақпараттық
қауіпсіздіктің өте маңызды 3 жайын атап кетуге болады:
қол жеткізерлік (оңтайлық), тұтастық және
жасырындылық. Қол жетерлік (оңтайлық) – саналы уақыт ішінде керекті ақпараттық қызмет
алуға болатын мүмкіндік. Ақпараттың қол
жеткізерлігі – ақпараттың, техникалық
құралдардың және өңдеу технологияларының
ақпаратқа кедергісіз (бөгетсіз) қол жеткізуге тиісті
өкілеттілігі бар субъектілердің оған қол жеткізуін
қамтамасыз ететін қабілетімен сипатталатын қасиеті. Тұтастық
– ақпараттың бұзудан және
заңсыз өзгертуден қорғанылуы. Ақпарат
тұтастығы деп ақпарат кездейсоқ немесе әдейі
бұрмаланған (бұзылған) кезде есептеу техника
құралдарының немесе автоматтандырылған
жүйелердің осы ақпараттың өзгермейтіндігін
қамтамасыз ететін қабілетін айтады. Жасырындылық – заңсыз қол жеткізуден немесе оқудан қорғау.
Қауіпсіз
жүйе – белгілі бір тұлғалар немесе
олардың атынан әрекет жасайтын үрдістер ғана
ақпаратты оқу, жазу, құрастыру және жою
құқығына ие бола алатындай етіп ақпаратқа
қол жеткізуді тиісті құралдар арқылы басқаратын
жүйе. [2, 147-б.]. Сенімді жүйе – әр түрлі
құпиялық дәрежелі ақпаратты қатынас
құру құқығын бұзбай пайдаланушылар
тобының бір уақытта өңдеуін қамтамасыз ету
үшін жеткілікті ақпараттық және программалық
құралдарды қолданатын жүйе.
Жүйенің
сенімділігі (немесе сенім дәрежесі) екі негізгі өлшемі бойынша
бағаланады: қауіпсіздік саясаты және кепілділік.
Ақпараттық қауіпсіздік саясаты – мекеменің
ақпаратты қалайша өңдейтінін, қорғайтынын
және тарататынын анықтайтын заңдар, ережелер және
тәртіп нормаларының жиыны. Бұл ережелер пайдаланушының
қайсы кезде белгілі бір деректер жинағымен жұмыс істей
алатынын көрсетеді. Қауіпсіздік саясатын құрамына
мүмкін болатын қауіптерге талдау жасайтын және оларға
қарсы әрекет шаралары кіретін қорғаныштың
белсенді сыңары деп санауға болады. Қауіпсіздік
саясатының құрамына ең кемінде мына элементтер кіруі
керек: қатынас құруды ерікті басқару, объектілерді
қайтадан пайдаланудың қауіпсіздігі, қауіпсіздік
тамғасы және қатынас құруды мәжбүрлі
басқару.
Кепілдік – жүйенің
сәлетіне және жүзеге асырылуына көрсетілетін сенім
өлшемі. Ол қауіпсіздік саясатын іске асыруға жауапты
тетіктердің дұрыстығын көрсетеді. Оны
қорғаныштың, қорғаушылар жұмысын
қадағалауға арналған, белсенсіз сынары деп
сипаттауға болады. Кепілдіктің екі түрі болады:
операциялық және технологиялық. Біріншісі жүйенің
сәулеті және жүзеге асырылу жағына, ал екіншісі – құрастыру және сүйемелдеу әдістеріне
қатысты болады. Осы орайда ақпаратты қорғаудың
тағы бір жанама қажеттіліктері туындайды. Жанама болса да аталмыш
қажеттіліктердің ақпаратты қорғау барысында атқаратын
рөлі зор. Рөлі зор қажетті талаптар ретін төмендегіше
тұжыра аламыз. Есепберушілік (немесе
хаттамалау тетігі) қауіпсіздікті қамтамасыз
етудің маңызды құралы болып табылады. Сенімді
жүйе қауіпсіздікке байланысты барлық оқиғаларды
тіркеп отыруы керек, ал хаттаманы жазу-жүргізу тексерумен (аудитпен – тіркелу ақпаратына талдау жасаумен) толықтырылады. Сенімді есептеу базасы (СЕБ) – компьютерлік жүйенің қауіпсіздік саясаты жүзеге
асыруға жауапты қорғаныш тектерінің жиынтығы.
Компьтерлік жүйенің сенімділігіне баға беру үшін тек
оның есептеу базасын қарастырып шықса жеткілікті болады. СЕБ
негізгі міндеті – қатынасым мониторының міндетін
орындау, яғни, объектілермен белгілі бір операциялар орындау
болатындығын бақылау. Қатынасым
мониторы –
пайдалынушының программаларға немесе деректерге әрбір
қатынасының мүмкін болатын іс-әрекеттер тізімімен
келісімдігі екендігін тексеретін монитор. Қатынасым мониторынан үш
қасиеттің орындалуы талап етіледі:
I. Оңашаландық.
Монитор өзінің жұмысы кезінде аңдудан
қорғалуға тиісті;
II. Толықтық.
Монитор әрбір қатынасу кезінде шақырылады. Бұл кезде
оны орай өтуге мүмкіндік болмау керек;
III. Иландырылатындық.
Мониторды талдауға және тестілеуге мүмкін болу үшін ол
жинақы болуы керек.
Қатынасым
мониторының жүзеге асырылуын қамтамасыз ететін негізгі
қажеттілік – қауіпсіздік өзегі болып табылады.
Қауіпсіздік өзегі барлық қорғаныш
тетіктерінің құрылу негізі құрайды. Қатынасым
мониторының аталған қасиеттерінен басқа
қауіпсіздік өзегі өзінің өзгерместігіне кепілдік
беруі керек.
Сыртқы
және ішкі әлемдер арасындағы байланыс ретқақпа
арқылы жүзеге асырылады. Оған жауап беретін негізгі
нәрсе – қауіпсіздік периметрі. Ол сенімді есептеу базасының шекарасы.
Оның ішіндегі сенімді, ал сыртындағы сенімсіз деп саналады. Бұл
ретқақпа сенімсіз немесе дұшпандық қоршауға
қарсы тұра алуға қабілетті бар деп саналады. [2, 77-б.]. Объектінің
ақпараттық қауіпсіздігін қамтаммасыз етуге
арналған жұмыстар бірнеше кезеңге бөлінеді:
даярлық кезеңі, ақпараттық қорларды
түгендеу, қатерді талдау, қорғаныш жоспарын жүзеге
асыру. Осы аталған кезеңдер аяқталған соң
эксплуатациялау кезеңі басталады.
Қорғаныш
жоспарын құру ақпарат қорғау жүйесінің
функционалдық сұлбасын әзірлеуден басталады. Ол үшін
қорғаныш жүйесінің атқаратын міндеттері
анықталады және нақты объектінің ерекшеліктерін ескере
отырып жүйеге қойылатын талаптар талқыланады. Жоспарға
мынадай құжаттар қосылады: қауіпсіздік саясаты;
ақпаратты қорғау құралдарының объектіде
орналасуы; қорғаныш жүйесін жұмысқа қосу
үшін қажет шығындардың сметасы; ақпарат
қорғаудың ұйымдастырушылық және
техникалық шараларын жүзеге асырудың күнтізбелік
жоспары.
Қауіпсіздік
саясаты (ұйымдастыру тұрғысынан қарағанда)
есептеу және қатынас қорларын пайдалану тәсілін, сондай-ақ,
қауіпсіздік режимін бұзудың алдын алу және мән
беру процедураларын дұрыс анықтайды.
Қауіпсіздік
саясаты ақпарат қорғау жүйесінің
қауіп-қатерлерге қарсы әрекет жасауға
бағатталған құқықтық
нормалардың, ұйымдастырушылық
(құқықтық) шаралардың,
программалық-техникалық құралдар және
процедуралық шешімдер кешенінің жиынтығын анықтайды.
Ұйымдастырушылық
және ұйымдастыру-техникалық шаралар жүргізу
ақпараттың сыртқа кететін жаңа арналарын дер кезінде
табуға, оларды бейтараптандыру шараларын қолдануға, қорғаныш
жүйелерін толық жетілдіруге және қауіпсіздік режимін
бұзу әрекеттеріне жедел қарсы шара қолдануға
мүмкіндік береді. Қатерге талдау жүргізу қауіпсіздік
саясатын қалыптастырудың негізгі кезеңі болып табылады.
Ұйымдастыру
мәселелерін шешілгеннен кейін программалық-техникалық
проблемалардың кезегі келеді –
таңдалған қауіпсіздік саясатын іске асыру үшін не істеу
керек? Қазіргі уақытта құны атқаратын міндеті
және сапасы жағынан әртүрлі болатын ақпарат
қорғау құралдарының көптеген түрі
бар. Олардың ішінен нақты объектінің ерекшелігіне сай
келетінін таңдап алу күрделі мәселелердің бірі болып
саналады.
Қауіпсіздік
саясаты мынадай элементтерден тұрады: қатынас құруды
ерікті басқару, объектілерді қайтадан пайдаланудың
қауіпсіздігі, қауіпсіздік тамғасы және қатынас
құрудың мәжбүрлі басқару. Қатынас құрудың
ерікті басқару – жеке субъект
немесе құрамына осы субъект кіретін топтың
тұлғасын ескеру негізінде жасалған объектілерге қатынас
құруды шектеу. Ерікті басқару – белгілі бір
тұлға (әдетте, объектінің иесі) өзінің
қарауынша басқа субъектілерге өзінің шешімі бойынша
объектігі қатынас құру құқығын бере
алады. Қатынас құрудың ағымдағы
жағдайы ерікті басқару кезінде матрица түрінде
көрсетіледі. Қатарларында – субектілер,
бағандарында – объектілер, ал матрицаның
түйіндерінде қатынас құру
құқығының (оқу, жазу, орындау және
т.б.) кодасы көрсетіледі. [2, 54-б.]. Ақпарат
қауіпсіздігінің жоғарғы дәрежесіне қол
жеткізу тек тиісті ұйымдастыру шараларын қолдану негізінде
ғана мүмкін болады. Ұйымдастырушылық шаралар
кешенінің құрамына ақпараттық қауіпсіздік
қызметін құру, жасақтау және оның
іс-әрекеттерін қолдау, ұйымдастыра-өкімгерлік
құжаттар жүйесін дайындау жұмыстары, [3, 82-б.] сонай-ақ,
қорғаныш жүйесін құруға және
оның жұмысын сүйемелдеуге арналған бірқатар
ұйымдастырушылық және ұйымдастыру-техникалық
шаралар кіреді.
Біз бұл
шағын мақаламызда ақпаратты қорғау
мәселелері жөнінде барлық жайттарды қамтыдық
деген ойдан аулақпыз. Ақпаратты қорғау мәселесі
бір мекеменің ғана мәселесі емес бүкіл дүиежүзілік
ауқымды қажеттілікке айалып отырған қазіргі
кезеңнің негізгі әрі басты мәселелерінің бірі.
Пайдаланылған
әдебиеттер тізімі:
1.
Байжұманов М. Қ., Жапсарбаева Л. Қ. Информатика. – Алматы: Эверо, 2004. – 232 бет.
2. Байшоланова
Қ. С. Ақпараттық жүйелер теориясы. – Алматы: Экономика, 2002. – 184 б.
3. Ермеков Н., Ермеков М.,
Ноғайбаланова С. Информатика. – Алматы: Жазушы, 2006. – 184 б.