Желідегі ақпараттардың қауіпсіздігін қамтамасыз ету өте жоғары болып келеді, ақпаратты желіде өңдеудің артықшылықтары оның қорғалуын қамтамасыз ету көптеген қиындық әкеледі. Келесі маңызды мәселелерді қарастырайық: пайдаланылған ресурсты бөлу. Көп ресурстар санының әр түрлі байланыс пайдаланушылар күшін пайдалану, мүмкін бір – бірінен үлкен қашықтықта болуы, НСД мүмкіндігін қатты үлкейтеді – байланысты оны жеңіл және белгісіз етіп көрсетуге болады. Бақылау аймағының үлкеюі. Басқа жүйенің немесе байланыс маңының администраторы немесе операторы пайдаланушы жұмысын бақылауы керек, басқа елдегі оның ене алатын маңына байланыссыз орналасуы мүмкін. Сонымен қатар ол басқа мекемедегі өзінің әріптестерімен байланыста болуы керек. Әртүрлі бағдарлама – аппараттық құралдардың комбинациясы. Бірнеше жүйенің қосылуы, тіпті мінездемесі бірдей болса да, байланыста барлық жүйенің кемшіліктерін үлкейтеді. Жүйе өзінің қауіпсіздіктің спецификалық сұрауын орындау үшін бағытталған болады, басқа жүйеде сұралыммен келмеуі мүмкін. Әртүрлі жүйе байланысын орнату жағдайында тәуекел ету үлкейеді. Белгісіз периметр. Байланыстың жеңіл таралуы желі шекарасын анықтау сол кезде қиын болатынына алып келеді: бір және тек қана сол узел әртүрлі желі пайдаланушылар үшін байланыста болуы мүмкін. Сонымен қатар, олардың көбіне қанша пайдаланушы анықталынған узелге байланысты және оның кім екенін анықтауы әрқашан болып келмейді. Көптеген нүктелер қарсылығы. Желіде бір ғана мәліметтің терілуі немесе хабарлар бірнеше қосымша узелдер арқылы берілуі мүмкін,олардың әрбіреуі қауіптің потенциалдық бастамасы болып келеді. Сонымен бірге, бұл желінің қауіпсіздігінің үлкеюін қамтамсыз ете алмайды. Көптеген қазіргі желіге байланысты коммутирленген сыммен және модеммен қосылуға болады, олар нүктелердің берілу санын көп түрде үлкейтеді. Бұндай амал оңай болып келеді, ол жеңіл орындалады және қиын бақыланады; сол себепті ол ең бір қауіпті болып саналады. Орындалатын желі тізімі сонымен қатар байланыс сымдарын ретке келтіреді және көптеген коммуникациялық құралдардың түрлерін береді: дыбыс күшейткіш, ретрансляторлар, модемдер және т.б. Басқару қиындығы және жүйеге байланысты басқару болады. Көптеген желіге қарсылық анықталынған узелге физикалық байланысты алмай-ақ орындалуы мүмкін – ол желінің жойылған нүктесі көмегімен болады. Сол себепті бұзушы идентификациясы өте қиын болуы мүмкін. Сонымен қатар, қарсылас уақыты адекватты мөлшерді қабылдау өте аз болуы мүмкін. Желіні қорғау мәселесі екілік қасиетімен қамтамасыз етілген: бұл туралы біз жоғарыда айтып кеттік. Бір жағынан, желі ақпаратты өңдеудің бірегей ережелерін беретін бірегей жүйе болып табылады, екінші жағынан – жүйенің біртектілігі, әрбіреуінде ақпаратты өңдеудің өзіндік ережелері бар. Жеке түрде, бұл екілік қасиет қорғаудың мәселесіне байланысты болады. Желідегі қарсылық екі деңгейде болуы мүмкін (олардың комбинациясы болуы мүмкін): 1. Жоғарғы – қасақана пайдаланушы желінің қасиетін басқа узелге кіру үшін пайдалана алады және берілген санкцияланбаған іс - әрекеттің орындалуы бар. Қорғаудың ақылдасқан мөлшері қасақана пайдаланушының потенциалды мүмкіндіктерімен анықталады және басқа узелдің қорғауының тиімділігімен болады. 2. Төменгі – қасақана пайдаланушы желі протоколының қасиетін пайдаланады және конфиденциалды немесе тұтастық бірегей хабарлама немесе тұтастай ағын болады. Хабар ағынының бұзылуы ақпараттың істен шығуына әкелуі мүмкін және тіпті желіні бақылаудың жойылуына да. Пайдаланылған протоколдар хабардың қорғалуын және олардың тұтастай ағынын қамтамасыз етуі керек. Желіні қорғау, бөлек жүйе қорғалуы сияқты үш мақсат қояды: желідегі берілген ақпараттың және өңделген ақпараттың конфиденциалдылығы, желінің ресурстық тұтастығы және рұқсат етілуі(компоненттер). Бұл мақсаттар мекеменің қорғалуын жоғарғы деңгеймен қарсыласу әрекетін анықтайды. Желіні қорғауды бақылау алдында тұрған, нақты есептер жоғарғы деңгей протоколының мүмкіндігін береді: неғұрлым ол мүмкіндік кең болса, соғұрлым есептерді шығару керек болады. Шындығында, егер желі мүмкіндігі мәліметті теруді жіберумен шектеледі, онда маңызды қорғау мәселесі мәліметтерді терудің НСД, жіберу мүмкіндігі үшін пайдаланады. Егер желі мүмкіндігі жойылған бағдарламаны жіберуге мүмкіндік жасаса, сонымен қатар виртуалды терминал режиміндегі жұмысты, онда толық қорғау комплексінің мөлшерін анықтау керек. Бір жағынан мынаны есте сақтаған жөн, желінің әрбір узелі желі мүмкіндігінің индивидуалды қорғанышы болуы керек. Бұл кезде бөлек узел қорғанышы барлық қорғаудың бөлігі болып келуі керек. Әрбір бөлек узелге міндетті түрде ұйымдастыру керек: - барлық файлға байланысты бақылау және басқа мәліметті теруде, олар жергілікті желі мен басқа да желілермен байланыста болады; - процесс бақылауы, жойылған узелмен активтелген; - желілік трафик бақылауы; - эффективті идентификация және желідегі берілген узелге байланысты алушы пайдаланушы аутентификациясы; - желі пайдаланушысының пайдалануы үшін байланысты жергілікті узел ресурстарына байланысты бақылау; - жергілікті желі шегіндегі ақпаратты таратуды бақылау және онымен байланысты басқа желілерді де.
Ақпараттық қауіпсіздік мақсаттары
Сонымен ақпараттық қауіпсіздік немен байланысты жұмыс жасайды? Келесі кезекте оның қамсыздандыруға тиісті негізгі мақсаттары мен есептері және де оның шешімдері берілген (жақшаларда ағылшын эквиваленттері келтірілген):
- құпиялылық (privacy, confidentiality, secrecy);
- тұтастық (data integrity);
- идентификация (identification);
- рұқсат бақылауы (access control);
- қол таңба (signature);
- растау (confirmation);
- ратификация (validation).
Әрбір айтылған принциптерді нақтырақ қарастырайық.
Құпиялылық бұл ең талап етілетін қорғаныштың бір түрі болып табылады. Практикалық түрде әрбір адамда немесе мекемеде құжаттар табылады, және де олар ешқашанда жалпыға бірдей дәрежеде, мысалы жеке медициналық мәлімет секілді, финанстық операция туралы ақпарат немесе мемлекеттік құпия секілді болмауы керек. Қазіргі уақытта қорғаныш ретінде электронды емес құралдар пайдаланылады (қағаз, фотопленка), құпиялылық администраторлық әдіспен қамтамасыз етіледі (сейфте сақтау, күзеттің қарауымен тасу және т.б.). Бірақ ақпарат компьютерлерде өңделген кезде байланыс ашық канал арқылы таратылады, администраторлық әдістер әлсіз болып келеді және бұл кезде ақпараттық қауіпсіздік әдістері көмекке келеді. Құпиялылықпен қамтамасыз ету есебі, фактілі түрде, мәліметтерді сақтауды және жіберуді мүмкін ету үшін оны сондай түрде, тіпті қарсылас жіберу ортасына байланысты орнатқан кезде де қорғалған мәліметті өздері ала алмайтындай етіп қоюға әкеліп соқтырады.
Тұтастық бұл тағы да бір маңызды принциптің бірі. Байланыс каналдары арқылы өңдеу және тапсыру барысында мәліметтер бұрмаланған, кездейсоқ немесе қасақана болуы мүмкін. Сонымен қатар ақпарат сақталған жерінен сақтаушыда тікелей өзгертілуі мүмкін. Қате мәлімет интерпретациясын аса маңызды зардапқа әкелуі мүмкін болса тұтастықты бақылау жағдайы керек, мысалы банктік аударма сомасының қате көрінуі кезінде немесе отырғызуға кірген ұшақ жылдамдығының маңыздылығы жатады. Тұтастықты қамтамасыз ету (тұтастық бақылауы) мәліметтерді сақтау және жіберу кезінде модификацияланбаған болуының нақтылауына рұқсат етуін немесе мәлімет бұрмалауын анықтау үшін болып табылады. Яғни мәліметтердің ешқандай өзгертуі байқаусыз өтуі мүмкін емес.
Идентификация пайдаланушыны бірсыпыра бірегей теңестірумен теңдестіру үшін қажет. Содан кейін барлық әрекеттер үшін орындалу кезінде осы теңестіру көрсетілген және осы теңестіру қайда бекітілген соны пайдаланушыға жауапкершілік ретінде жүктеледі.
Рұқсат бақылауы ешқандай пайдаланушы жүйеге теңестірудің табысты орындалуынсыз рұқсат алмауы керек және де келесі аутентификация үшін де және ешбір пайдаланушы ресурстарға байланысты алмауы керек, егер ол бұндай әрекетке арнайы рұқсатпен уәкілетті болмаса ғана әкеледі. Рұқсат бақылауы әдістердің және құралдардың жиынтығын белгілейтін, ресурсқа рұқсаттың шек қоюына арналған комплексті түсінік. Байланысты тек қана уәкіл етілген пайдаланушылар қолдана алады, байланыс әрекеттері тиісті протоколдануы керек.
Қол таңба құжат қабылдаушыға берілген құжат жіберушімен жазылғандығын білдіреді. Сол себептен қол таңба келесі басқа құжатқа ауысуы мүмкін емес, жіберуші өз қол таңбасынан бас тарта алмайды, әрбәр құжатқа енгізілген өзгеріс қол таңбаның бұзылуына әкеліп соқтырады, және кез келген пайдаланушы өз бетінше қол таңбаның дұрыс еместігіне көз жеткізуіне болады.
Барлық келтірілген принциптер қисынға келген, ақпараттық әлемнің қажеттілігін аралап шыққан кезде. Мүмкін, келе келе принцип бөлігі өз актуалдығын жоғалтады, нақты түрде шешуді талап ететін жаңа принциптер пайда болады.
Желіні ұйымдастыру мен құру кезінде негізгі талаптар болып келесілер табылады:
- өнімділік ;
- сенімділік және қауіпсіздік;
- кеңейткіштік және масштабтылық;
- ашықтылық ;
- трафиктің әр түрлерін қолдау;
- басқарымдылық ;
- сәйкестілік .
Өнімділік
Өнімділік – жұмыс станциясымен таратылатын ақпарат қабылдағыш жұмыс станциясына қаншалықты тез болатынын бағалайтын желінің сипаттамасы.
Желінің өндірушілігіне желінің келесі сипаттамалары әсер етеді:
- конфигурация;
- мәліметтерді жіберу жылдамдығы ;
- каналға доступ әдісі ;
- топология желісі ;
- технология.
Егер желінің өндірушілігі оған ұсынылатын талаптарға жауап бермейтін болса, онда желінің администраторы әр түрлі қабыылдағыштарға сүйенуі мүмкін:
- желінің құрылымдары ақпараттық ағынның құрылымына сәйкес келетіндей, желінің конфигурациясын өзгерту;
- желілік трафикті төмендете алатын, анықталған қосымшалардың басқа құрылым моделіне көшу;
- көпірлерді жылдамдықты коммутаторларға ауыстыру;
Мұндай жағдайдың ең радикалды шешімі болып, өте жылдамдықты технологияға көшу болыып табылады.
Егер желіде Ethernet немесе Token Ring дәстүрлі технологиялары қолданылса, онда Fast Ethernet, FDDI немесе 100VG-AnyLAN-қа ауысу каналдардың өткізгіштік мүмкіндігін 10 есе үлкейтуге мүмкіндік береді.
Желінің масштабының өсуімен олардың өнімділігінің көтеру қажеттілігі туындады. Осындай амалдардың жетістіктері болып микросепция табылады. Ол қолданушылардың санын бір сегментке азайтуға және тарфиктің кең таратын көлемін төмендетуге, яғни желінің өндірушілігін жоғарылату.
Алғашында жалпы айтқанда, бұл мақсаттарға бейімделген микросепция үшін маршрутизаторлар қолданылды.Олардың негізіндегі шешімдер өте қымбат болды және жоғары уақыт кідірісімен айрықшаланды және жоғары емес өткізгіштік қасиетімен. Желінің микросегментация үшін сәйкес келетін құрылғы болып коммутатор болды. Бағасының төменділігі, жоғары өнімділігі және қолдануда қарапайымдылығының арқасында олар тез арада әйгілі болды. Желіні коммутатор базасында және маршрутизаторлар незінде құра бастады. Біріншілер бір ішкі желіге кіретін сегменттер арасындағы жоғары жылдамдықты асыра сілтемелі трафикті қамтамасыз етеді, ал екіншілер ішкі желі арасындағы мәліметтерді таратады, кең таратын тарфиктік таралуын шектейді, қауіпсіздік есептерін шешті және т.б.
Виртуалды ЛВС (VLAN) корпоративті желі масштабында қолданушылардың логикалық топтарын құру мүмкіндігін қамтамасыз етеді. Виртуальды желілер желідегі жұмысты эффективті ұйымдастыруға мүмкіндік береді.
Сенімділік және қауіпсіздік
Сенімділік және қабыл алмау тұрақтылығы.
Есептеуіш желілердің негізгі сипаттамасы болып сенімділік болып табылады. Сенімділікті жоғарылату қабыл алмау интенсивтілігін төмендету жолымен, электрондық сызбаларды және интеграцияның жоғары дәрежелік компоненттерімен қолдану негізінде жаңылу,кедергі деңгейін төмендету, сызбалардың жұмыс режимін жеңілдету, олардың жұмыстарының жылу режимдерімен қамтамасыз ету, аппараттардың жинақталу әдістерінің іске асу негізінде болдырмау принципіне негізделеді.
Қабыл алмау тұрақтылығы – жөндеуге келмейтіндер туындағын кезде бағдарламалармен тапсырылған қозғалыстардың логикалық машиналарға жалғасуын қамтамасыз ететін есептеу жүйесінің қасиеті.
Қабыл алмау тұрақтылығына кіріспе аппаратты және бағдарламалық қамтамасыз етудің артылатындығын талап етеді. Қабыл алмау тұрақтылы мен қалпына келмейтіндерді жөндеумен байланысты бағыттар сенімділік қолайсыздығына негізделген. Параллель есептеу жүйелерінде жоғары өнім өндірушілік және жоғары сенімділікке жетеді. Параллель жүйедегі шығындану ресурстары өім өндірушілікті жоғарылатуға және сенімділікті жоғарылатуға қолданылуы мүмкін. Сенімділік ұғымы тек қана аппараттық құралдарды ғана емесғ сонымен қатар бағдарламалық қамтамасыз етуді енгізеді. Сенімділікті жоғарылатудың ең негізгі мақсаты оларда сақталынған мәліметтердің тұтастығы болып табылады.
Қауіпсіздік- кез келген компьютерлік желімен шешілетін негізгі есептердің бірі.
Қауіпсіздің қолайсыздығын көп жағдайда қарастыруға болады- жауыздыққа ниетті бүлдіру дерегі, ақпараттың конфиденциалдығы, санкционирлі емес доступ, ұрлау және т.б.

Сурет 8.2 Мәліметтерді қауіпсіздендірумен қамтамасыз ету есептері
Локальді желіде ақпаратты қорғауды қамтамасыз ету әрқашан фирмадағы автономды жұмыс істейтін оншақты компьютерлерге ие болғаннан гөрі оңай.
Сіздің бұйрығыңызда бір құрал-жабдық- резервті көшірме(backup). Қарапайымдылық үшін осы процесті резервтілеу дееп айту ыңғайлы. Оның негізгі мағынасы болып қауіпсіз жерде жиі жаңаланатын толық мәліметтердің көшірмесін құру болып табылады. Дербес компьютер үшін көбірек немесе азырақ қауіпсіз тасығыш дискеталар болып табылады. Стримерлерді қолдануға болады, алайда ол аппаратқа қосымша шығын болады.
Ерекшеленген файл сервермен желі жағдайында әр түрлі жағымсыздардан мәліметтерді қорғауды қамтамасыз етуді жеңілдірек. Серверде барлық негізгі файлдар шоғырланған, ал оларды қорғауда оншақтыдан қарағанда біреуін сақтап қалу оңайырақ. Мәліметтердәі жүйелілігі оларды барлық желіден жинауға талап етілмегендіктен резервтілеуді жеңілдетеді.
Экрандалған линиялар желінің қауіпсіздік пен сенімділігін жоғарылатуға мүмкіндік береді. Экрандалған жүйелер сыртқы радиожиілікті өрістерге анағұрлым тұрақты болып келеді.
Ашықтылық
Ашықтылық – бұл қолданушы желіде жұмыс істегенде оны көрмейтін желінің жағдайы.
Егер де биттердің шығатын қоры дәл енетін биттердің қорын қайталайтын болса, коммуникационды желі онымен ақпарат өтетін қатынасында тұнық болып келеді. Бірақ желі тұнық болады, егер мәліметтердің блоктарының реттерінің өлшемдері мен коммутация түйіндері арқылы әр түрлі блоктардың өту уақыты өзгерсе.
Желінің мәліметтердің тасымалдану жылдамдығы бойынша тұнықтылығы мәліметтерді кез келген жылдмадықта таратуға болатынын көрсетеді.
Егер де бір маршрут бойынша ақпараттық және басқарушылық(сихронизацияланатын) сигналдар таратылса, онда желі сигналдардың типі бойынша қатынасында тұнық.
Егер тасымалданатын ақпарат кез келген тәсілмен кодталатын болса, онда желі кез келген кодтау әдісінде тұнық дегенді білдіреді.
Тұнық желі бір-бірінен мағыналы қашықтықта орналасқан жергілікті желілер араласу үшін қарапайым шешім болып табылады, Plug-and-play принципі(орнат та жұмыс істе ) қолданылады.
Тұнық біріктіру. Арасында жойылған жергілікті желі байланысқан өткізгіштік(end-to-end) біріктіруді қамтамасыз ететін тұнық жергілікті желінің қызметі. Берілген шешімнің тартымдылығы болып бұл қызметтің көп аралықтағы бір-бірінен жойылған жергілікті желінің бөлігі ретінде біріктіретін қызмет. Сондықтан жаңа технологияларды оқыған кезде құралдарды енгізу және желілердің белгіленген аумақта(Wide-Area Network – WAN) құру қажет емес. Қолданушыларға тек жергілікті желіні қолдауы талап етіледі, ал тұнық желілердің провайдер қызметтері қаланың масштаб (Metropolitan-Area Network – MAN) желісі немесе WAN арқылы кедергісіз түйіндердің әрекеттесуі. Жергілікті желінің тұнық қызметтері көптеген қасиеттерге ие. Мысалы, қолданушы үлкен қашықтықта үлкен көлемде қауіпсіз және тез арада мәліметтерді тарата алады және WAN желісіндегі жұмыстармен байланысты өзін қиыншылықтарға тап болдырмай таратады.
Әр түрлі трафиктердің қолдауы.
Трафиктер желіде кездейсоқ амалмен орналасады, бірақ онда кейбір заңдылықтар көрінеді. Ереже бойынша, жалпы есеппен жұмыс істейтін кейбір қолданушылар(мысалы, бір бөлімдегі әріптестер), көбінесе сұраныстарымен бір-біріне немесе жалпы серверге назар салады және кей кезде олар басқа бөлімнің компьютерлерінің ресурстарына қажеттілікті сезеді. Желінің құрылымы ақпаратттық ағынның құрылымына сәйкес келгені дұрыс. Желілік трафикке байланысты желінің компьютерлері топтарға(желінің сегменттері) бөлінуі мүмкін. Компьютерлер топтарға бірігеді, егер олармен туындағын хабарламалар сол топтардың компьютерлеріне адрестелінген болса.
Желінің сегменттерге бөлу үшін көпірлер мен коммутаторлар қолданылады. Олар сегменттің ішінде жергілікті желіні олардың шегінде басқа сегменттерде орналасқан компьютерлерге адрестелінген ешқандай кадрлерді таратпай экрандайды. Яғни, желі жеке ішкі желілерге бөлінеді. Бұл әрбір топтағы трафик интенсивтілігін, сонымен қатар топтар арсындағы мәліметтерді алмасу активтілігін ескере отырып, байланыс линияларының өткізгіштік амалдарын рационалды таңдауға мүмкіндік береді. Бірақ, көпірлер құралдарыныың трафиктерін жергіліктендіру мен коммутаторлар заттық шектеулерге ие. Бір жағынан, жергілікті желінің коммутаторларында жүзеге асқан виртуальды сегменттердің механизмдерін қолдану трафиктің толық жергіліктендіруіне әкеледі;мұндай сегменттер кең түрдегң кадрлар негізінде толық түрде бір-бірінен алыстатылған.
Сондықтан желілерде, әр түрлі виртуальды сегменттерге жататын көпірлер меен коммутаторлардан құрылған компьютерлер біркелкі желіні құрмайды.
АТМ желісінің эффективті түрде әр түрлі трафикті нығайту үшін, әр түрлі сипаттмаға ие мәліметтердің алдын ала арнайы дайындығы қажет етіледі:- шифрленген мәліметтерге кадрлар, дыбыс үшін импульсті-кодтық модуляция сигналдары; видео үшін биттер ағындары. Трафиктің эффективті нығаюы сонымен қатар тіркеу мен әр түрлі трафиктің интенсивтіліктің статикалық варияциясын қолдану.
Ұнады ма? Онда достарыңмен бөліс!
|