Professional Documents
Culture Documents
Mühazirə İnTehlükesizliyi Az
Mühazirə İnTehlükesizliyi Az
Mühazirələr
AMEA İnformasiya Texnologiyaları İnstitutu
Bakı 2021
1
Mühazirə 1. İnformasiya təhlükəsizliyinin əsas anlayışları
2
Təbii xarakterli təhdidlərə misal olaraq təbii fəlakətləri və qəzaları (yanğın, daşqın, zəlzələ və
s.) və avadanlıqda baş verən imtina və qəzaları göstərmək olar.
Süni xarakterli təhdidlərin aşağıdakı növlərini göstərmək olar:
proqram təminatı yaradılarkən buraxılan səhvlər;
proqram təminatının istismarı zamanı istifadəçilərin səhvləri;
bədniyyətlilərin qəsdli əməlləri.
Qəsdən törədilən təhdidlər təhdid mənbəyinin sistemə nəzərən yerləşməsinə görə xarici və
daxili (ingilis dilində insider – insayder) təhdidlərə bölünür. Bəzi müəlliflərə görə, təhdidlərin
böyük əksəriyyəti (80 %-i) sistemin öz daxilindəki mənbələrdən qaynaqlanır.
Təhdidlər digər əlamətlərinə görə də təsnif oluna bilər:
Baş vermə ehtimalına görə (böyük ehtimallı, ehtimallı, az ehtimallı);
Meydana çıxma səbəblərinə görə (təbii fəlakətlər, qəsdli hərəkətlər);
Vurulmuş ziyanın xarakterinə görə (maddi, mənəvi);
Təsir xarakterinə görə (aktiv, passiv);
Obyektə münasibətinə görə (daxili, xarici);
Təsir məqsədlərinə görə təhdidlərin üç əsas növü ayırd edilir:
İnformasiyanın konfidensiallığının pozulmasına yönələn təhdidlər;
İnformasiyanın tamlığının pozulmasına yönələn təhdidlər;
Əlyetənliyin pozulmasına yönələn təhdidlər (DoS hücumlar, Denial of Service – xidmətdən
imtina hücumları).
İnformasiya təhlükəsizliyinin üç aspekti
İnformasiya əmtəədir və onun keyfiyyəti bir sıra xassələrlə xarakterizə edilir (həqiqilik,
obyektivlik, aktuallıq, aydınlıq və s.). İnformasiya təhlükəsizliyində informasiyanın üç xassəsinə
baxılır (konfidensiallıq, tamlıq və əlyetənlik) və onları informasiya təhlükəsizliyinin üç aspekti
adlandırırlar.
Konfidensiallıq – informasiyanın subyektiv müəyyən olunan xassəsidir, informasiyanın əldə
olunmasına məhdudiyyət qoyulmasını bildirir. Qeyd etmək lazımdır ki, informasiyanın
konfidensiallıq qrifinə aid edilməsi, belə informasiyanın siyahısının və tərkibinin müəyyən edilməsi
qanunvericiliklə və/və ya onun sahibi tərəfindən müəyyən edilir.
Konfidensiallığın pozulmasına yönələn təhdidlər konfidensial informasiyanın icazəsiz əldə
edilməsinə yönəlib. Belə təhdidlərin reallaşması halında informasiya ona giriş icazəsi olmayan
şəxslərə məlum olur.
Tamlıq – informasiyanın təhrifsiz şəkildə mövcud olmaq xassəsidir. İnformasiyanın tamlığının
pozulmasına yönələn təhlükələr onun dəyişdirilməsinə və ya təhrifinə yönəlib ki, bunlar da onun
keyfiyyətinin pozulmasına və tam məhvinə səbəb ola bilər. İnformasiyanın tamlığı bədniyyətli
tərəfindən qəsdən və ya sistemi əhatə edən mühit tərəfindən obyektiv təsirlər nəticəsində pozula
bilər. İnformasiyanın tamlığının pozulması hallarını vaxtında aşkarlamaq üçün informasiyanın
tamlığına nəzarət mexanizminin istifadə edilməsi vacibdir.
Əlyetənlik – yolverilən vaxt ərzində tələb olunan informasiya xidmətini almaq imkanıdır.
İnternet kimi açıq sistemlər üçün əlyetənliyin təmin edilməsi xüsusilə vacibdir. Əlyetənliyin
pozulmasına yönələn təhdidlər (məsələn, DoS hücumlar) elə şəraitin yaradılmasına yönəlib ki, bu
zaman müəyyən qəsdli hərəkətlər ya sistemin iş qabiliyyətini aşağı salır, ya da sistemin müəyyən
resurslarına girişi (tamamilə) bağlayır.
Konfidensial informasiya
İnformasiyanı konfidensiallıq qrifinə görə aşağıdakı kimi təsnif etmək olar:
– açıq informasiya;
– konfidensial informasiya.
Açıq informasiya – əldə olunması, işlənməsi, verilməsi və ya istifadəsi Azərbaycan
Respublikasının qanunvericiliyi ilə məhdudlaşdırılmayan və ümumi istifadə üçün nəzərdə tutulmuş
informasiyadır. Açıq informasiya üçün tamlığın və əlyetənliyin təmin edilməsi vacibdir.
3
Açıq informasiyaya aiddir:
kənara verilmək üçün rəhbərlik tərəfindən imzalanmış informasiya, (məsələn, konfranslar,
təqdimatlar və s. üçün);
açıq xarici mənbələrdən alınmış informasiya;
təşkilatın açıq veb-saytında yerləşdirilən informasiya.
Sənədləşdirilmiş informasiya (sənəd) − maddi daşıyıcıda qeyd olunmuş və identikləşdirilməsinə
imkan verən rekvizitlərə malik informasiya;
Konfidensial informasiya − əldə olunması, işlənməsi, verilməsi və ya istifadəsi Azərbaycan
Respublikasının qanunvericiliyinə müvafiq olaraq məhdudlaşdırılan sənədləşdirilmiş informasiya;
Konfidensial informasiyanın dövlət sirri, hərbi sirr, kommersiya sirri, xidməti sirr (dövlət
təşkilatları üçün), peşə sirləri (bank, istintaq, müalicə, rabitə, ...), fərdi məlumatlar, şəxsi sirr və s.
kimi siniflərini göstərmək olar.
Konfidensial informasiyasının mühafizəsi üçün konfidensiallığın, tamlığın və əlyetənliyin
təmin edilməsi zəruridir.
Fərdi məlumatlar – vətəndaşın şəxsi həyatının faktları, hadisələri və şəraitləri haqqında onun
şəxsiyyətini identikləşdirməyə imkan verən məlumatlardır.
Təşkilat əməkdaşlarının fərdi məlumatları adətən kadrlar şöbəsində saxlanır. Bu halda
qanunvericiliyə uyğun olaraq təşkilat vətəndaşlar qarşısında bu informasiyanın qorunması, emalı
rejiminin və istifadə qaydasının pozulmasına görə məsuliyyət daşıyır.
Kommersiya sirri – dövlət sirri olmayan, istehsalat, texniki, texnoloji informasiya ilə,
müəssisənin maliyyə və digər fəaliyyətinin idarə edilməsi ilə əlaqədar olan informasiya, açılması
(verilməsi, sızması) onun maraqlarına ziyan vura bilən.
Peşə sirri – peşə fəaliyyəti ilə əlaqədar olan və girişi Konstitusiyaya və qanunlara uyğun olaraq
məhdudlaşdırılan məlumatlar.
Dövlət sirri
Dövlət sirri – dövlətin hərbi, xarici-siyasi, iqtisadi, kəşfiyyat, əks-kəşfiyyat və əməliyyat-axtarış fəaliyyəti
ilə bağlı olub, dövlət tərəfindən mühafizə edilən və yayılması Azərbaycan Respublikasının təhlükəsizliyinə
ziyan vura bilən məlumatlardır;
Məlumatların dövlət sirrinə aid edilməsi və onların məxfiləşdirilməsi prinsipləri:.
Qanunilik – dövlət sirrinə aid edilən və məxfiləşdirilən məlumatların Azərbaycan Respublikasının dövlət
sirri haqqında qanunvericiliyinə müvafiqliyidir.
Əsaslılıq – dövlətin, cəmiyyətin və vətəndaşların həyati maraqlarının balansı nəzərə alınmaqla, konkret
məlumatın dövlət sirrinə aid edilməsinin və məxfiləşdirilməsinin mümkün iqtisadi, siyasi, hərbi və digər
nəticələrinin ekspertlər tərəfindən qiymətləndirilməsi yolu ilə məqsədəuyğunluğunun
müəyyənləşdirilməsidir.
Məlumatların vaxtında dövlət sirrinə aid edilməsi və onların məxfiləşdirilməsi - bu məlumatların
yayılmasına və onların daşıyıcıları ilə tanış olmağa buraxılmağa qabaqcadan və ya onların əldə edildiyi
(hazırlandığı) andan məhdudiyyət qoyulmasıdır.
Aşağıdakı məlumatlar dövlət sirrinə aid edilmir və məxfiləşdirilmir:
– insanların həyat və sağlamlığı üçün təhlükə törədən fövqəladə hadisələr və qəzalar, onların
nəticələri, habelə təbii fəlakətlər, onların rəsmi proqnozları və nəticələri haqqında;
– ekologiya, səhiyyə, sanitariya, demoqrafiya, təhsil, mədəniyyət və kənd təsərrüfatının, habelə
cinayətkarlığın vəziyyəti haqqında;
– dövlətin vətəndaşlara, vəzifəli şəxslərə, müəssisə, idarə və təşkilatlara verdiyi imtiyazlar, güzəştlər
və kompensasiyalar haqqında;
– insan və vətəndaş hüquqlarının və azadlıqlarının pozulması faktları haqqında;
– Azərbaycan Respublikasının ali vəzifəli şəxslərinin səhhəti haqqında;
– dövlət hakimiyyəti orqanları və onların vəzifəli şəxsləri tərəfindən qanunvericiliyin pozulması
faktları haqqında.
Dövlət sirri təşkil edən məlumatların üç məxfilik dərəcəsi və müvafiq olaraq, bu məlumatların
daşıyıcıları üçün üç məxfilik qrifi müəyyənləşdirilir: "xüsusi əhəmiyyətli", "tam məxfi" və "məxfi".
Dövlət sirri təşkil edən məlumatların məxfilik müddəti 30 ildən artıq olmamalıdır. Bu müddət müvafiq icra
hakimiyyəti orqanının rəyi ilə uzadıla bilər.
4
Mühazirə 2. Zərərli proqramlar və onların əsas sinifləri
Zərərli proqramların növlәri
Kompüter sistemlərində informasiya təhlükəsizliyinə təhdidlərin əsas mənbələrindən biri
"zərərli proqramlar" kimi ümumi ad almış xüsusi proqramlardan istifadə edilməsidir. “Zərərli
proqramlar” (ing. malware sözü malicious – zərərli (bədniyyətli) və software – proqram təminatı)
anlayışı icazəsiz və çox zaman zərərli əməllərin həyata keçirilməsi üçün yaradılan və istifadə edilən
bütün proqramları birləşdirir.
Nə vaxtsa bütün zərərli proqramları təsvir etmək üçün “virus” və “troya atı – troyan” anlayışları
kifayət edirdi. Lakin həmin vaxtlardan kompüterlərin yoluxdurulması üsulları və texnologiyaları
xeyli irəli gedib və bu iki anlayış zərərli proqramların bütün rəngarəngliyini təsvir etmək üçün
kifayət deyil. Viruslar, backdoor-proqramlar (məsafədən icazəsiz administratorluq üçün yaradırlar),
klaviatura casusları (ing. keylogger – key – klaviş və logger – loq yazan)), parolları oğurlayan
proqramlar və troya atlarının digər növləri, Word və Excel üçün makroviruslar, yükləmə sektoru
virusları, skript virusları (BAT-viruslar, windows shell-viruslar, java-viruslar və s.) və skript
troyanları, casusluq (ing. adware advertisement reklam və software) və reklam proqramları
(ing. spyware spy casus və software) – bu zərərli proqramlar kimi təsnif olunanların tam
siyahısı deyil.
Kompüter virusları
Kompüter virusları informasiya təhlükəsizliyinin təmin olunmasının hər üç baza prinsipinin
konfidensiallığın, bütövlüyün və əlyetənliyin pozulmasının ən geniş yayılmış səbəblərindən biridir.
Tarix. Kompüter virusları təxminən 1980-ci illərin əvvəllərində meydana çıxmışdır. Özüçoxalan
süni konstruksiyaların ilkin tədqiqatları riyaziyyatçılar fon Neyman və N. Viner tərəfindən 1950-
ci illərdə aparılmışdı. Lakin «kompüter virusu» terminin özü 1984-cü ildə ABŞ-da keçən
informasiya təhlükəsizliyi üzrə 7-ci konfransda Fred Koen tərəfindən işlədilmişdi.
Kompüter viruslarının ümumi qəbul edilmiş tərifi yoxdur.
Kompüter virusları digər proqramlara yeridilmə yolu ilə müstəqil yayılan, müəyyən şərtlər yerinə
yetirildikdə kompüter sisteminə mənfi təsir göstərən (kiçik) proqramlardır.
Kompüter virusu – başqa proqramlara özünün sonradan yayılma qabiliyyətini saxlayan işlək
surətlərini (ola bilsin modifikasiya olunmuş) birləşdirmək qabiliyyəti olan proqramdır. Adətən
virusun həyat müddəti iki fazadan ibarətdir:
çoxalma – virus zahirən üzə çıxmamağa çalışaraq müxtəlif yoluxdurma strategiyalarından
istifadə etməklə mümkün qədər geniş yayılmağa çalışır;
özünü göstərmə – virus onda realizə edilmiş, müxtəlif effektlər və dağıdıcı əməllər törədən
proseduru yerinə yetirir.
Virusların yayılması. Şəbəkə və kommunikasiya texnologiyalarında hər bir yenilik virusların
yaradılması və yayılması üçün yeni imkanlar, yollar açır. Əvvəllər viruslar disketlər və digər yaddaş
daşıyıcıları vasitəsi ilə yayılırdı, İnternetin geniş yayılması viruslar üçün geniş magistral yol
açmışdır. Bu səbəbdən kompüter virusları Internetdə real dünyada bioloji virusların yayılmasından
daha sürətlə yayılır.
5
Makroviruslar makroslardan istifadə edən sistemləri yoluxdururlar (məsələn, Word,
Excel).
Skript viruslar makroviruslar kimi fayl viruslarının bir alrqrupudur. Onları müxtəlif skript
dillərində (VBS, JS, BAT, PHP və s.) yazırlar. Onlar ya skript-proqramları yoluxdurur, ya
da çoxkomponentli virusların bir hissəsi olurlar.
Birləşmələr də var – məsələn, həm faylları, həm də yükləmə sektorlarını yoluxduran fayl-
yükləmə virusları. Belə viruslar, bir qayda olaraq yetərincə mürəkkəb alqoritmə malikdirlər
və çox vaxt sistemə girmək üçün orijinal metodlar tətbiq edirlər. Belə birləşməyə digər misal
həm redaktə edilən sənədləri yoluxduran, həm də öz surətlərini elektron poçtla göndərən
şəbəkə makroviruslardır.
Yoluxdurma üsullarına görə viruslar rezident və qeyri-rezident olurlar.
Rezident virus yoluxdurma zamanı özünün rezident hissəsini operativ yaddaşda qoyur, həmin
hissə yoluxma obyektlərinə əməliyyat sisteminin müraciətlərini tutur və onları yoluxdurur. Rezident
virus yaddaşda yerləşərək kompüter söndürülənə və ya yenidən yüklənənə kimi fəal olurlar. Qeyri-
rezident viruslar kompüterin yaddaşını yoluxdurmur və yalnız məhdud zaman ərzində fəal olurlar.
Destruktiv imkanlarına görə virusları aşağıdakı siniflərə bölmək olar:
zərərsiz kompüterin işinə heç bir təsir etməyən viruslar (özünün yayılması nəticəsində
diskdə boş yaddaşın azalmasından başqa);
təhlükəsiz təsirlәri diskdə boş yaddaşın azalması ilə, qrafik, səs və s. effektlərlə
məhdudlaşan viruslar;
təhlükəli işdə ciddi xətalara səbəb olan viruslar;
çox təhlükəli proqramların pozulmasına, verilənlərin məhvinə, kompüterin işi üçün
vacib, yaddaşın sistem sahələrində yazılmış informasiyanın silinməsinə səbəb olan viruslar.
Alqoritmin özəlliklərinə görə virusların aşağıdakı qruplarını ayırmaq olar:
«tələbə» olduqca primitiv, çox vaxt qeyri-rezident və çox sayda səhvlər olan viruslar;
«stels»-viruslar (gözəgörünməz-viruslar, stealth) olduqca mükəmməl proqramlar olan bu
viruslar DOS-un yoluxmuş fayllara və ya disk sektorlarına müraciətlərini tuturlar və öz
əvəzlərinə informasiyanın yoluxmamış sahələrini «qoyurlar». Bundan başqa belə viruslar
fayllara müraciət etdikdə rezident antivirus monitorları «aldatmağa» imkan verən kifayət
qədər orijinal alqoritmlərdən istifadə edirlər;
«polimorf»-viruslar (özüşifrlənən və ya kabus-viruslar, polymorphic) – kodunda heç bir
sabit hissə olmayan, kifayət qədər çətin aşkarlanan viruslar. Əksər hallarda eyni bir
polimorf-virusun iki nümunəsində üst-üstə düşən heç bir hissə olmur. Buna virusun əsas
cisminin şifrlənməsi və deşifrləyən proqramın modifikasiyası ilə nail olurlar;
Soxulcanlar
“Soxulcan” termini Con Brunnerin “Coşqun dalğalarla” fantastik romanından götürülmüşdür.
Bu termin soxulcanlar kimi bir kompüterdən digərinə keçən proqramları adlandırmaq üçün istifadə
edilmişdir.
Soxulcanlar − müstəqil, yəni başqa proqramlara yeridilmədən öz surətlərini kompüter
sistemlərində yaymağa və onları işə salmağa qabil olan proqramlardır (virusun aktivləşməsi üçün
yoluxmuş proqramın işə salınması tələb olunur). Soxulcanların axın kimi yayılması rabitə
kanallarının, yaddaşın həddən artıq yüklənməsinə və son nəticədə sistemin bloka alınmasına gətirib
çıxarır.
Soxulcanlar ilk olaraq paylanmış hesablamalar aparmaq imkanı əldə etmək üçün şəbəkədə boş
resursları olan kompüterlərin axtarışı üçün hazırlanmışdı. Düzgün istifadə edildikdə “soxulcan”
texnologiyası çox faydalı ola bilər. Məsələn, World Wide Worm soxulcanı asanlıqla zərərli
proqrama çevrilir.
Zərərli proqramların bu növünün ilk nümunəsi Morris soxulcanıdır, bu soxulcan C dilində 4000
sətirdən ibarət proqram idi (və UNIX sistemi komanda interpretatorunun giriş dilində). Kornel
Universitetinin tələbəsi olan Robert Tappan Morris (Junior) 2 noyabr 1988-ci ildə Massaçusets
Texnologiya İnstitutunun kompüterində öz soxulcan proqramını işə saldi. VAX və Sun
kompüterlərində Unix əməliyyat sisteminin səhvlərindən istifadə edərək bu proqram öz kodunu
kompüterdən kompüterə ötürürdü. Cəmisi 6 saat ərzində bir sıra böyük universitetlərin, institutların
və ABŞ tədqiqat laboratoriyalarının İnternet şəbəkəsinə qoşulmuş 6000 kompüteri yoluxdurdu. Bu
aksiyanın vurduğu ziyan bir neçə milyon dollar oldu.
Soxulcanlar həm müstəqil (insanın iştirakı olmadan), həm də insanın müəyyən hərəkətləri
nəticəsində (məsələn, e-poçtda məktubu açmaq) yayıla bilərlər. Şəbəkə soxulcanı iki müxtəlif
“infeksiya” və “faydalı” hissədən ibarət ola bilər. “İnfeksiya” hissəsi diskdə faylların və operativ
yaddaşda proqramların yoluxdurulmasına cavabdehdir. “Faydalı” hissə isə digər əməlləri yerinə
yetirir, məsələn, verilənləri oğurlayır, faylları korlayır və ya kompüteri DDoS-hücumlar üçün
zombiyə çevirir. Poçtla yayılan soxulcanların əksəriyyəti bir fayldan– yalnız “faydalı” hissədən
ibarət olur. Ayrıca “infeksiya” hissəsi tələb edilmir, çünki istifadəçi soxulcanı könüllü yükləyir və
instalyasiya edir. Soxulcan sürətlə yayılsa, kompüterin işini yavaşıda və şəbəkə bağlantılarının
sürətini azalda bilər.
Soxulcanların aşağıdakı növlərini ayırırlar.
– Email-Worm – elektron poçt kanalları ilə öz-özünə yayılma qabiliyyəti olan soxulcanlardır.
7
– IM-Worm – ani məlumat mübadiləsi sistemlərinin (məsələn, ICQ, MSN Messenger, AOL
Instant Messenger, Yahoo Pager, Skype və s.) kanalları ilə öz-özünə yayılma qabiliyyəti
olan soxulcanlardır.
– IRC-Worm – Internet Relay Chats (IRC) vasitəsi ilə öz-özünə yayılma qabiliyyəti olan
soxulcanlardır;
– Net-Worm – kompüter şəbəkələrində öz-özünə yayılma qabiliyyəti olan soxulcanlardır.
– P2P-Worm – fayl mübadiləsi pirinq (ing. peer-to-peer, P2P) şəbəkələrinin (məsələn, Kazaa,
Grokster, eDonkey, FastTrack, Gnutella və s.) kanalları ilə öz-özünə yayılma qabiliyyəti
olan soxulcanlardır.
Troyanlar
Troyanlar funksional cəhətdən faydalı proqram kimi görünən zərərli proqramlardır. İşə düşdükdə
troyanlar elan edilmiş faydalı funksiyalarla yanaşı elan, olunmamış funksiyaları da yerinə yetirirlər.
“Troyan” termini ilk dəfə sonradan Milli Təhlükəsizlik Agentliyinin əməkdaşı olan haker Dan
Edvars tərəfindən istifadə edilmişdir.
Troyanlar qəsdən törədilən təhdidlərin reallaşdırılmasında xüsusi rol oynayırlar. Troyanların
yazılmasının əsas məqsədi yoluxmuş kompüterdə icazəsiz hərəkətlərin həyata keçirilməsidir, buna
görə troyanları etdikləri zərəli hərəkətlərin tipinə görə klassifikasiya etmək olar (Kaspersky Lab).
Məsafədən administratorluq troyanları (ing. Backdoor – bekdor) – bu sinif troya
proqramları kompüterləri şəbəkədə məsafədən idarə etmək (administratorluq) üçün
utilitlərdir. Öz funksional imkanlarına görə onlar bir çox cəhətdən proqram istehsalçıları
tərəfindən yaradılan və yayılan müxtəlif administratorluq sistemlərini xatırladır.
Trojan-PSW (PSW – Password-Stealing-Ware, parolların oğurlanması) – bu ailə yoluxmuş
kompüterdə müxtəlif konfidensial informasiyanı saxlayan (adətən, telefon nömrələrini və
İnternetə giriş parollarını) sistem fayllarını axtarırlar və onu «troya atının» kodunda
göstərilmiş elektron ünvana və ya ünvanlara göndərirl’r.
Trojan-Clicker (internet-klikerləri) – troyanların bu ailəsinin əsas funksiyaları internet-
resurslara (adətən veb-səhifələrə) sanksizyasız müraciətləri təşkil etməkdir. Bu ya brauzerə
uyğun komandaların göndərilməsi, ya da internet-resursların «standart» ünvanları göstərilən
sistem fayllarının dəyişdirilməsi (məsələn, MS Windows-da hosts faylı) ilə əldə olunur.
Trojan-Downloader (digər zərərli proqramların çatdırılması) – bu sinif troyan
proqramları qurban-kompüterə zərərli proqramların yeni versiyalarının yüklənməsi və
quraşdırılması üçün nəzərdə tutulub. Yüklənən proqramların adları və yerləri haqqında
informasiya troyanın kodunda və verilənlərində olur və ya troyan tərəfindən «idarə edən»
internet-resursdan (adətən veb-səhifədən) oxunur.
Trojan-Dropper (digər zərərli proqramların quraşdırılması) – hədəf-kompüterə
virusların və ya digər troya proqramlarının gizli quraşdırılması üçün istifadə edilir.
Trojan-Proxy (troyan proksi-serverləri) – müxtəlif Internet-resurslara anonim girişi gizli
hәyata keçirirlər. Adәtәn, spamın göndәrilmәsi üçün istifadə edilir.
Trojan-Spy (casus proqramları) – Bu troyanlar yoluxmuş kompüterin istifadəçisindən
elektroin casusluq edirlər: klaviaturadan daxil edilən informasiya, ekranın şəkilləri, aktiv
proqramların siyahısı və istifadəçinin onlarla hərəkətləri diskdə hər hansı faylda saxlanır və
vaxtaşırı bədniyyətliyə göndərilir. Bu növ troya proqramları tez-tez müxtəlif onlayn ödəniş
və bank sistemləri istifadəçilərinin informasiyasaını oğurlamaq üçün istifadə edilir.
Trojan (digər troyan proqramları) – bu sinfə troyan proqramların tərifinə düşən digər
hərəkətləri, yəni verilənlərin məhv edilməsi və ya bəd niyyətlə dəyişdirilməsi, kompüterin iş
qabiliyyətinin pozulması və başqa həyata keçirən proqramlar düşür. Bu kateqoriyaya
həmçinin «çox məqsədli» troya proqramları da daxildir, məsələn, eyni zamanda
istifadəçidən casusluq edən və məsafədəki bədəmələ proxy-servis göstərən troyanlar.
Trojan-Notifier (uğurlu hücum haqqında məlumatlandırma) – bu növ troyanlar öz
«sahiblərinə» kompüterin yoluxdurulması haqqında məlumat vermək üçün nəzərdə tutulub.
Bu zaman «sahibin» ünvanına kompüter haqqında məlumat göndərilir, məsələn, kompüterin
8
IP-ünvanı, açıq portun nömrəsi, elektron poçtun nömrəsi və s. Göndərmə müxtəlif üsullarla
yerinə yetirilir: elektron məktubla, «sahibin» veb-səhifəsinə xüsusi tərtib olunmuş
müraciətlə, ICQ-məlumatla və s..
Backdoor (ing. back door, arxaqapı) – sistemə sonradan təkrar giriş əldə etmək üçün sındırılmış
kompüterlərdə bədniyyətli tərəfindən ilk giriş zamanı quraşdırılan proqram və ya proqramlar
toplusudur. Qoşulma zamanı sistemə müəyyən giriş verir (bir qayda olaraq, bunlar komanda
interpretatorudur: GNU/Linux-də – Bash, Microsoft Windows NT-də – cmd).
Backdoor – rutkitin xüsusilə vacib komponentdir.
Shell-girişlərin növləri aşağıdakılardır:
– Bind Shell – geniş yayılıb, kliyent-server arxitekturası ilə işləyir, yəni Backdoor bağlantı
gözləyir.
– Back Connect – şəbəkə ekranından yan keçmək üçün istifadə edilir. Backdoor özü hakerin
kompüteri ilə birləşməyə cəhd edir.
– Middle Connect – BackDoor və hakerin kompüteri aralıq server vasitəsi ilə əlaqə saxlayır.
Məşhur BackDoor-lar antivirus sistemlərin bazasına daxil edilir. Yüksək peşəkar hakerlər
özlərinin yazdıqları və ya dəyişiklik edilmiş BackDoor və rutkitlərdən istifadə edirlər, bu onların
aşkarlanmasını və təmizlənməsini çətinləşdirir.
BackDoor-un əsas təyinatı – kompüterin gizli idarə edilməsidir. Adətən, BackDoor yoluxmuş
kompüterdən faylları köçürməyə və əksinə, fayl və proqramları yoluxmuş kompüterə göndərməyə
imkan verir. BackDoor reyestrə məsafədən girməyə, sistem əməliyyatlarını (kompüterin yenidən işə
salınması, yeni şəbəkə resurslarının yaradılması, parolların modifikasiyası və s.) yerinə yetirməyə
imkan verir. Mahiyyətcə, BackDoor istifadəçinin kompüterində haker üçün “arxa qapı” açır. Son
vaxtlar BackDoor-un təhlükəsi artır – müasir şəbəkə soxulcanlarının çoxunda ya BackDoor olur, ya
da onlar kompüteri yoluxdurduqdan sonra orada BackDoor quraşdırırlar. BackDoor-ların bir çoxu
istifadəçinin kompüterindən şəbəkəni daramaq, şəbəkə hücumları etmək üçün istifadə etməyə
imkan verir.
Rutkit (ing. root – kök və kit – alətlər dəsti) – zərərli proqramların sistemdə fəaliyyətini
maskalamaq üçün istifadə edilən proqram və ya proqramlar toplusudur. Bu topluya adətən sistemə
müdaxilənin «izlərinin silinməsi» üçün müxtəlif utilitlər, snifferlər, skanerlər, keyloqqerlər,
əməliyyat sisteminin əsas utilitlərini əvəz edən troya proqramları daxildir. Rootkit hakerə
sındırılmış sistemdə möhkəmlənməyə və faylları, prosesləri, rutkitlərin sistemdə olmasını gizlətmək
yolu ilə fəaliyyətinin izlərini ört-basdır etməyə imkan verir.
Butkit (ing. boot – yükləmə və kit – alətlər dəsti) – öz kodunu sərt diskdə əsas yükləmə yazısına
(Master Boot Record) yazan zərərli proqramdır. Bunun nəticəsində, diskə ilk müraciət zamanı
idarəetmə butkitə verilir, butkit yaddaşa yüklənir və o, sərt diskə müraciətləri ələ keçirərək və onları
dəyişərək öz iştirakını maskalayır.
9
Mühazirə 3. Kompüter sistemlərinə hücumların ümumi sxemi
10
4. Yoluxdurma (Exploitation). Zərərli kodun işə salınması və ya sistemdəki boşluğun
istismarı
5. Quraşdırma (Installation). Zərərli proqram təminatı bədniyyətliyə əlyetər olan giriş nöqtəsi
(məs., "backdoor") quraşdırır.
6. İdarəetmənin ələ alınması (Command and Control). Yoluxdurulmuş sistemin idarə
edilməsi.
7. Əməliyyatların yerinə yetirilməsi (Actions on Objective). Hücum edən öz məqsədlərini
reallaşdırmaq üçün hərəkətə keçir: verilənlərin toplanması, oğurlanması, göndərilməsi,
faylların şifrlənməsi, verilənlərin dəyişdirilməsi, silinməsi və s.
ATT&CK matrisi
Kill Chain təhdidləri modelləşdirmək üçün əlverişli yanaşamdır. Bu məqsədlə zəncirin bütün
mərhələlərini müvafiq hərəkətlərlə doldurmaq lazımdır. Yəni söhbət bədniyyətlilərin istifadə
etdikləri bütün hücum metodları haqqında mövcud olan informasiyanı sistemləşdirməkdən gedir.
Bunun üçün amerikan korporasiyası MITRE tərəfindən işlənmiş ATT&CK (Adversarial Tactics,
Techniques & Common Knowledge) matrisi kömək edə bilər. (MITRE özünün CVE, CAPEC,
TAXII və digər standartları ilə də məşhurdur.)
Bu sənədin 2016-cı ilin yayında nəşr edilmiş son versiyasında hücumun axırıncı üç mərhələsi
hakerlərin istifadə etdiyi 10 ayrı taktikaya bölünür:
─ davamlılıq (ing. persistence)
─ imtiyazın artırılması (ing. privilege escalation)
─ müdafiədən yan keçmə
─ uçot yazılarına giriş
─ axtarış
─ üfüqi genişlənmə (ing. lateral movement)
─ yerinə yetirmə
─ toplama
─ sızma (ing. exfiltration)
─ nəzarət və idarəetmə.
Göstərilən 10 taktika matrisdə sadalanmış 121 üsulla ətraflı təsvir edilir, matrisin bir fraqmenti
aşağıdakı şəkildə göstərilir. Üsullardan bir çoxu üçün CAPEC hücum şablonları bazasına istinad da
verilib, bu bazanı da MITRE yaratmışdır. Hər bir üsul wiki formatında ətraflı - misallarla, çarpaz
istinadlarla, əlavə məlumatlarla təsvir edilir.
11
Matrisdəki üsullar çox müxtəlifdir və reallaşdırılamaları üçün çox müxtəlif kvalifikasiya tələb
edirlər. Haradasa parolların adi yoxlanması kifayətdir, bəzilərində butkit tələb edilir, digərində isə
bədniyyətlinin aktivliyini gizlətmək üçün xüsusi yazılmış şifrləmə alqoritmindən danışılır.
Matrisin təyinatı – təhlükəsizlik mütəxəssisslərinə bədniyyətlilərin istifadə edə bildikləri
metodların bütün rəngarəngliyini anlamalarına kömək etməkdir. Bəzi metodları mütəxəssislər
bilirlər, bəziləri haqqında eşidiblər, bəzilərinin isə varlığından xəbərləri belə yoxdur. Matrisin
vəzifəsi bədniyyətlilərin informasiya sistemlərinə necə hücum etdiklərini yeni baxışla görmələridir.
Şəbəkənin daranması
Şəbəkəyə hücum etməmişdən əvvəl bir sıra hazırlıq tədbirlərini yerinə yetirmək lazımdır. Dəqiq
və sarsıdıcı zərbə endirmək və bu zaman ələ keçməmək üçün mümkün qədər çox informasiya
toplamaq lazımdır. Buna görə də xakerlər təşkilatın informasiya təhlükəsizliyi sisteminə hər hansı
aidiyyəti olan hər şeyi öyrənməyə cəhd edirlər. Bu prosesin sonunda xakerin əlində bütöv bir dosye
(profil) olacaq, orada təşkilatın İnternetə qoşulma üsulları, şəbəkəyə məsafədən giriş imkanları,
daxili şəbəkənin konfiqurasiyası təsvir olunur. Aşağıdakı kimi strukturlaşdırılmış metodologiyaya
əməl edərək xaker ən müxtəlif mənbələrdən zərrə-zərrə istənilən təşkilat üçün dosye toplaya bilər.
Mərhələ 1. Daranmanın hüdudlarının müəyyən edilməsi. Hər şeydən əvvəl informasiyanın
toplanması zamanı həyata keçirilən fəaliyyətin hüdudlarını müəyyən etmək zəruridir. Məsələn,
təşkilatın bütün kompüter şəbəkəsi, yoxsa onun yalnız müəyyən seqmenti (məsələn, əsas ofisin
şəbəkəsi) haqqında məlumat toplanacağı dəqiq qərarlaşdırılır.
Mərhələ 2. Şəbəkənin inventarlaşdırılması. Şəbəkənin inventarlaşdırılmasında (ing. network
enumeration) ilk addım konkret təşkilatla əlaqəli domen və şəbəkə adlarının müəyyən edilməsidir.
Mərhələ 3. DNS-serverləri dinləmə. Bütün domenləri tapdıqdan sonra DNS-serverlərlə işə
keçmək olar. Əgər DNS-serveri maksimal təhlükəsizlik səviyyəsini təmin etməyə sazlanmayıbsa,
onda onun köməyi ilə təşkilatın daxili şəbəkəsi haqqında informasiya əldə etmək olar.
Mərhələ 4. Şəbəkənin daranması. Mümkün şəbəkə ünvanlarını taparaq şəbəkənin topologiyasını
və şəbəkəyə mümkün giriş yollarını müəyyən etməyə cəhd edirlər.
IP-şəbəkəlәrdә aşağıdakı darama metodlarını ayırmaq olar:
ICMP-darama;
TCP-darama;
UDP-darama.
12
ICMP-darama
ICMP-darama kompüter şəbəkəsinin qovşaqlarına ayrılmış IP-ünvanlara ICMP-sorğularının
göndәrilmәsindәn və bu sorğulara cavabların analizindәn ibarәtdir. Çox vaxt ICMP-darama ‘Echo
Request’ tipli sorğuların kömәyi ilә hәyata keçirilir. Bir sorğu göndәrildikdә zondlama haqqında,
(diapazondan) bir neçә IP-ünvanın ardıcıl vә ya eynizamanlı zondlanması hәyata keçirildikdә
darama haqqında danışırlar.
Hücum obyektinin ICMP-daraması onun qovşaqlarını identifikasiya etmәyә imkan verir.
Kompüter şəbəkələrində ICMP-daramanın baza alәti ping utilitidir (‘Echo Request’ tipli
sorğuları tәtbiq edir). Böyük şəbəkəlәrin daranması üçün ping utilitinin tәtbiqi çәtinlәşir, çünki bu
utilit bir dәfә işә salındıqda yalnız bir IP-ünvanı emal edir. Çox sayda şəbəkə ünvanının
daranmasını skriptlәrin və ya xüsusi utilitlәrin (fping, nmap, Pinger və s.) kömәyi ilә
avtomatlaşdırmaq olar.
TCP-zondlama
TCP-zondlama kompüter sisteminin qovşaqlarına ayrılmış IP-ünvanlara TCP-seqmentlәrin
müxtәlif növlәrinin göndәrilmәsindәn ibarәtdir. Baxılan kompüter sisteminin qovşaqlarının TCP-
portlarının vәziyyәtini (açıq, bağlı vә ya bloklanmış (şəbəkələrarası ekran ilә süzülürlәr))
aşkarlamaq mәqsәdi ilә bu seqmentlәrә alınmış cavablar analiz edilir.
Zondlama ayrıca portun vәziyyәtinin aşkarlanması proseduruna deyilir. Darama haqqında
ümumi mәqsәdlә birlәşmiş (məsələn, ayrıca qovşağın açıq portlarını müəyyәn etmәk vә ya
müəyyәn portlar açıq olan hәr hansı IP-ünvanlar diapazonunda qovşaqları müəyyәn etmәk) bir neçә
ardıcıl vә ya eynizamanlı zondlama hәyata keçirildikdә danışırlar.
TCP-zondlamanın geniş yayılmış metodları aşağıdakılardır:
Tam bağlantılı TCP-zondlama (TCP connect probe).
Natamam bağlantılı TCP-zondlama (TCP half-open probe) vә ya SYN-zondlama (ing. TCP
SYN probe).
TCP FIN-zondlama (ing. TCP FIN probe)
“Milad yolkası” metodu ilә TCP-zondlama (ing. TCP Xmax Tree probe)
TCP sıfır-zondlama (ing. TCP null probe)
Tam bağlantı qurmaqla TCP-zondlama metodunu reallaşdırmaq çox sadədir, çünki praktiki
olaraq bütün şəbəkə əməliyyat sistemlərinin tətbiqi proqramlaşdırma interfeysi müvafiq
altproqramlara malikdir. Eyni zamanda, bu ən az gizli metoddur: praktiki olaraq istənilən əməliyyat
sisteminin qeydiyyat jurnalında müvafiq qeydiyyatlar qalır. Ondan fərqli olaraq, digər metodlar
əməliyyat sistemlərinin qeydiyyat jurnallarında iz buraxmırlar (lakin hücumları aşkarlayan xüsusi
vasitələrin qeydiyyat jurnallarında iz qalır), çünki bağlantı qurulmasını nəzərdə tutmurlar; buna görə
belə metodları gizli-zondlama (ing. stealth-) metodları da adlandırırlar.
UDP-zondlama
Kompüter sisteminin UDP-zondlanması kompüter sisteminin qovşaqlarına ayrılmış IP-
ünvanlara UDP-dataqramların müxtәlif növlәrinin göndәrilmәsindәn ibarәtdir. Baxılan kompüter
sisteminin qovşaqlarının UDP-portlarının vәziyyәtini (açıq, bağlı) aşkarlamaq mәqsәdi ilә bu
dataqramlara alınmış cavablar analiz edilir.
Әn mәşhur TCP- və UDP-darama vasitәlәrindən SATAN, nmap, netcat göstərilə bilər.
Sosial mühəndislik üsulları
İnsanlarda belə rəy formalaşıb ki, kibercinayətkarlar kompüter sistemlərinin sındırılması üçün
yalnız mürəkkəb haker alətlərindən və texnologiyalarından istifadə edirlər. Bu heç də belə deyil.
Kibercinayətkarlar çoxdan başa düşüblər ki, informasiyanı oğurlamaq və ya informasiya sisteminə
hüçum etmək üçün ən asan üsul insan faktorunun zəifliklərindən istifadə etməkdir. Bir çox
tədqiqatçıya görə, sosial mühəndislik adlanan bü üsullar XXI əsr hakerlərinin əsas alətlərindən
biridir.
13
Sosial mühəndislik (ing. social engineering) – tətbiqi sosiologiyanın insanın davranışını
müəyyən edən və ona nəzarəti təmin edən təşkilati strukturların məqsədyönlü dəyişdirilməsinə
yönəlmiş yanaşmalar məcmusudur. İnformasiya texnologiyaları sahəsində sosial mühəndisliyi çox
vaxt informasiyaya icazəsiz giriş əldə etməyə yönəlmiş tədbirlər kimi qəbul edirlər.
Sosial mühəndislik psixologiyanın və sosiologiyanın qanunlarına əsaslanır, digər insanları
manipulyasiya etmək bacarığı ilə həyata keçirilir. Öz növbəsində, manipulyasiya insanın elementar
zəifliklərinə əsaslanır: maraq, lovğalıq, şöhrətpərəstlik, qorxu, mərhəmət, qulluq göstərmə və s.
Sistemli yanaşma baxımından sosial mühəndislik ondan çıxış edir ki, orta statistik istifadəçi
müəyyən ortabab xarakteristikalara malik olur. Sosial mühəndislik insana sistemin bir hissəsi kimi
baxır, insan həmin sistem haqqında fundamental biliklərə malik olmur. Əks halda, sosial
mühəndislik işləmir – insan onu əhatə edən mühit haqqında nə qədər çox məlumatlıdırsa, sosial
mühəndislik üsullarının işləməsi ehtimalı bir o qədər azdır.
Sosial mühəndislik hücumu informasiyanın toplanması, ssenarinin qurulması və hücumun
həyata keçirilməsi mərhələlərindən ibarətdir. İnformasiyanın toplanması mərhələsində fərdin profili
(ünsiyyət dairəsi, maraqları, hobbisi, sosial şəbəkələrdə yazışmaları və s.) və ya təşkilatın profili
(fəaliyyət dairəsi, tərəfdaşları, veb-saytdakı məlumatlar, əməkdaşlarının siyahısı, e-poçt ünvanları,
telefonlar və s.) yaradılır. Ssenari ideyalarına sosial şəbəkələrdə dostluq münasibətləri yaratmaq, e-
poçtla məktub göndərmək, telefonla zəng etmək və s. daxildir.
14
Mühazirə 4. DDoS-hücumları və onlardan mühafizə üsulları
Xidmətdən imtina hücumları (DoS attaks) – qanuni istifadəçilərin sistemə, şəbəkəyə, tətbiqi
proqrama və ya informasiyaya girişini əngəlləmək üçün yerinə yetirilən bədniyyətli hərəkətlərdir.
DoS-hücumlar müxtəlif formalara malikdir, onlar birmənbəli (bir sistemdən işə salınan) və ya
paylanmış (bir neçə sistemdən işə salınan – Distributed DoS, DDoS) olurlar.
DoS-hücum texniki və qeyri-texniki vasitələrlə yaradıla bilər. Qeyri-texniki vasitələrlə
yaradılan DoS-hücum, məsələn, aşağıdakı faktorlardan qaynaqlana bilər:
– fiziki təhlükəsizlik sisteminin pozulması nəticəsində avadanlığın oğurlanması və ya sıradan
çıxarılması;
– təbii təhdidlər (yanğın, daşqın və s.) nəticəsində avadanlığa ziyan vurulması;
– ətraf mühitdə ekstremal şərait, məsələn, yüksək temperatur (nəticədə hava-kondinsioner
sistemi sıradan çıxır) və s.
Bəzi hallarda DDoS-hücumlar bilməyərəkdən törədilir. Bu böyük portallar az müraciət edilən
saytların yerləşdiyi kiçik və nisbətən zəif güclü serverlərə böyük həcmdə trafik yönəltdikdə baş
verir. Bu bəzən artıq yüklənməyə və bu serverlərin işində imtinalara səbəb olur.
Texniki vasitələrlə yaradılan DoS-hücumlar iki üsulla həyata keçirilə bilər. Birinci üsulda
hücum edilən kompüterdə proqram təminatının müəyyən boşluğu istifadə edilir. Bu boşluğun
köməyi ilə kompüterdə müəyyən kritik səhv yaratmaq və sistemin iş qabiliyyətinin pozulmasına
səbəb olmaq olar.
İkinci üsulda hücum edilən kompüterə eyni zamanda böyük sayda paketlər göndərməklə həyata
keçirilir. Hər bir paket müəyyən müddətə emal olunur. Əgər bu vaxt yeni paket daxil olursa, o,
növbəyə qoyulur və sistemin müəyyən resurslarını zəbt edir. Buna görə də, sistemə eyni vaxtda
olduqca çox sayda paket göndərilsə, onda həddindən artıq yüklənmə nəticəsində kompüter «boğula»
və ya işini tam dayandıra bilər. DoS-hücum təşkilatçılarına da məhz bu lazımdır.
DoS-hücumun bir növü olan paylanmış DoS-hücum (Distributed Denial of Service, DDoS) –
çox böyük sayda kompüterin köməyi ilə təşkil edilir, bunun sayəsində hətta İnternet-kanallarının
buraxma imkanı olduqca böyük olan serverlər də bu hücuma təslim olurlar.
DDoS-hücumların təşkili üçün bədniyyətlilər kompüterlərin xüsusi şəbəkəsindən – botnetdən
istifadə edirlər.
DDoS-hücumlar zamanı bədniyyətlilər çox vaxt “DDoS klasteri” adlanan üçsəviyyəli
arxitekturadan istifadə edirlər. Bu iyerarxik struktura aşağıdakılar daxildir (şəkil 2.1):
idarəetmə konsolu (onlar bir neçə ola bilər) – məhz bu kompüterdən bədniyyətli DDoS-
hücumun başlaması haqqında siqnal verir;
master-kompüterlər – bu kompüterlər idarəetmə konsolundan DDoS-hücum siqnalı alır və
onu agentlərə ötürürlər. Hücumun miqyasından asılı olaraq bir idarəetmə konsoluna bir neçə
yüzədək master-kompüter düşə bilər.
agentlər – sorğularla hədəf-qovşağa bilavasitə hücum edirlər.
Bir qayda olaraq, həm master-kompüterlər, həm də agent-kompüterlər «zombi»lərdir, yəni
onların sahibləri kompüterlərinin DDoS-hücumların iştirakçıları olduqlarını bilmirlər.
15
DoS-hücumlara nümunələr
DoS-hücumların ilk növləri birmənbəli (ing. single-source) hücumlar idi, yəni hücumun həyata
keçirilməsi üçün yeganə bir sistem istifadə edilirdi. “SYN flood attack” (sinxron hücum) adlanan
hücumlar daha çox məşhurluq qazanmışdı. Sinxron hücumdan sonra daha ciddi, lakin qarşısının
alınması nisbətən asan olan başqa hücumlar da meydana çıxdı. Aşağıda bu hücumlardan ikisinin
qısa təsviri verilir.
TCP SYN flooding hücumu. Bu hücumun yerinə yetirilməsi zamanı göndərən-sistem alan-sistemə
çox böyük sayda TCP SYN-paketlər (sinxronlaşdırma simvolları olan paketlər) göndərir. SYN-
paketlər yeni TCP-birləşmələrin yaradılması üçün istifadə olunur. TCP nəqliyyat protokolu
birləşmənin iki subyekti arasında verilənlərin mübadiləsi başlayana kimi virtual rabitə kanalı
yaradılmasını nəzərdə tutur. SYN-paketi aldıqda alan-sistem verilənlərin uğurla qəbulu haqqında
xəbər verən ACK-paketlə cavab verir və birləşmə qurmaq üçün verilənləri SYN-paket göndərənə
göndərir. Bu zaman alan-sistem yeni birləşmə haqqında informasiyanı birləşmələrin növbə buferinə
yerləşdirir. Bundan sonra birləşmə subyekti virtual kanal yaratmanın üçpilləli sxemini qurtaran
16
kvitansiyanı gözləyir. Gözləmə müddəti ƏS-nin sistem reyestrinin parametrləri vasitəsi ilə
tənzimlənir.
Real TCP-birləşmədə göndərən SYN ACK-paketi aldıqdan sonra son АСК-paket
göndərməlidir. Lakin TCP SYN Flooding hücumunda göndərən SYN ACK-paketi göndərmir və
yeni TCP-birləşmələrin yaradılması üçün SYN-paketlər göndərməkdə davam edir. Son nəticədə
alan-sistemdə birləşmələrin növbə buferi daşır və sistem yeni bağlantı sorğularına cavab verməyi
dayandırır.
TCP SYN Flooding hücumuna şəbəkənin TCP-birləşmə qurmaq imkanı olan bütün hostları
meyllidir (serverlər, marşrutizatorlar). Bir qayda olaraq TCP SYN Flooding IP-şəbəkənin nömrələri
25 (SMTP), 80 (HTTP) və 110 (POP3) olan xidmətlərinə qarşı aparılır. NetBIOS-un 139-cu portda
fəaliyyət göstərən xidmətinə qarşı çox az səmərə ilə təsir edir.
Smurf-hücumu. Bu hücum ICMP exo-paketlərinin istifadəsinə əsaslanır. Smurf-hücumunun
gerçəkləşdirilməsi zamanı bədniyyətli hücum obyektinin adından ICMP-exo paketləri əvvəlcədən
seçilmiş şəbəkəyə genişyayımla göndərir. Genişyayımlı ICMP-exo sorğuları alan bütün
kompüterlər hücum obyektinə exo cavab göndərəcək. Beləliklə, bir paket göndərməklə bədniyyətli
həm hücum obyektinə münasibətdə, həm də genişyayımlı exo sorğunu alan şəbəkəyə münasibətdə
böyük həcmdə trafik yaradır. Bu rabitə kanalının buraxma qabiliyyətinin əhəmiyyətli azalmasına,
bəzi hallarda şəbəkənin tam təcrid edilməsinə gətirib çıxara bilər.
DDoS-hücum alətləri
Bədniyyətlilər DoS-hücumların müxtəlif növlərini kombinasiya edə bilərlər, belə hücumlar
daha təhlükəli və aradan qaldırılması çətin olar. Bunun üçün onlar Trinoo, TFN, TFN2K,
Stacheldracht, Mstream kimi instrumental vasitələrdən istifadə edə bilərlər. Bu instrumental
vasitələr hakerdən yüksək hazırlıq səviyyəsi tələb edir, hakerə bir hədəfə yönəlmiş DDoS-hücumda
çox sayda sistemin qüvvəsini əlaqələndirməyə imkan verir. Bəzi instrumental vasitələr hücum edən
paketlərdə göndərənin ünvanını təsadüfi şəkildə dəyişdirir, bu onların aşkarlanmasını olduqca
çətinləşdirir.
TFN (Tribe Flood Network) paketi UNIX sistemində istifadə üçün nəzərdə tutulmuşdur,
DDoS-hücumların təşkili üçün ilk açıq əlyetən vasitə idi. Paketin tərkibinə kliyent və server
komponenti daxildir. TFN paketinin köməyi ilə ICMP, UDP-paketlərinin istifadəsi ilə hücumları,
həmçinin smurf hücumunu gerçəkləşdirmək olar. Bu komponentlərlə yanaşı TFN paketinin
tərkibinə TCP-portla əlaqəli komanda örtüyünə giriş əldə etməyə imkan verən modul da daxildir.
Trinoo paketinin də tərkibinə kliyent və server komponentləri daxildir. Kliyentlə əsas proqram
arasında qarşılıqlı əlaqə 27665-ci TCP-portla bağlantı vasitəsilə həyata keçirilir. Əsas proqramın
serverlə əlaqəsi 27444-cü UDP protu, əks istiqamətdə isə 31335-cü UDP portu ilə qurulur. Trin00
ilk dəfə 1999-cu ilin avqustunda meydana çıxıb. Master və agent rolunda Linux və Solaris ƏS-nin
idarəsi altında işləyən şəbəkə qovşaqları çıxış edə bilər. Bu hücumun son mərhələsində kompüter
agentlər PingFlooding hücumundan istifadə edir.
Stacheldraht (“tikanlı məftil”) paketi Trinoo və TFN-in imkanlarını birləşdirir, əsas və tabe
modullar arasında şifrlənmiş telnet seansını gerçəkləşdirir. Bunun sayəsində IDS-i neytrallaşdırmaq
olar. TFN kimi Stacheldraht ICMP-, UDP-, SYN- və Smurf-hücumları həyata keçirmək imkanı
verir. Kliyentin serverlə qarşılıqlı əlaqəsi TCP- və ICMP-paketlərin kombinasiyası olan Echo-
Replay vasitəsilə həyata keçirilir.
Serverlə kliyent arasında qarşılıqlı əlaqə zamanı simmetrik açarlı şifrləmə alqoritmi tətbiq edilir.
Bundan başqa, parolla mühafizə rejimi də aktivdir. Zəruri olduqda bədniyyətli server komponentini
yeniləyə bilər (rcp komandasından istifadə etməklə).
TFN2K (TFN 2000) paketi TFN-in xələfidir, qarşılıqlı əlaqə prosesində ixtiyari seçilmiş
nömrəli portlardan istifadə etməyə imkan verir. Bunun sayəsində sərhəd marşrutizatorlarında
portların bloklanmasından yan keçmək olar. TFN kimi TFN 2000 də ICMP-, UDP-, SYN- və
smurf-hücumları dəstəkləyir, bundan başqa, hücumun müxtəlif növlərinə təsadüfi şəkildə keçə bilir.
Lakin Stachelhardt paketində istifadə edilən şifrləmə alqoritmindən fərqli olaraq nisbətən zəif Base
64 şifrləmə alqoritmi tətbiq edilir.
17
WinTrinoo paketi Trinoo-nun Windows sistemində istifadə üçün nəzərdə tutulan versiyasıdır.
Wintrino troyan tipli proqramdır, adətən, servise.exe adlanır (əgər adı dəyişdirilməyibsə) və 23145
baytdır. (servise.exe-ni Windows-un services.exe-si ilə qarışdırmayın). Bu proqram işə salındıqdan
sonra Windows reyestrinə yeni parametr yazılır və bundan sonra sistem işə düşdükdə troyan da
avtomatik yüklənir:
Mstream – 2000-ci ilin aprelində aşkarlanmış DDoS alətidir, TCP və UDP protokollarından
istifadə edir və paket flooding üsulu ilə işləyir. Hücum üçün Attacker -> Masters -> Agents ->
Target(s) üçsəviyyəli sxemdən istifadə edir.
DoS hücumların aşkarlanması
Serveri yükləyən paketlərin trafikin həqiqi sorğuları, yoxsa DDoS hücumu olmasını təyin etmək
çətindir. Bunun üçün müxtəlif DDoS hücumlarının mexanizmi öyrәnilir, loq-fayllar analiz edilir.
Lakin müasir DDoS hücumlarının davranışı o qәdәr mürәkkәbdir ki, onların necә hücum
edәcәklәrini әvvәlcәdәn demәk mümkün deyil.
Aşkarlama metodları:
• siqnatura – trafikin keyfiyyət analizinə əsaslanır;
• statistik – trafikin kəmiyyət analizinə əsaslanır;
• hibrid – əvvəlki iki metodun üstünlüklərini birləşdirir.
DDoS-hücumların aşkarlanması üçün DDOSPing, Zombie Zapper və find_ddos alətlərindən istifadə etmək,
nömrələri məlum portların açıq olmasını yoxlamaq olar.
DoS-hücumlardan müdafiə mexanizmləri
Müasir әmәliyyat sistemlәrindә bir çox DoS-hücumların qarşısı alınmışdır. Qarşısı alınmış DoS
hücumlara misal olaraq ping vasitәsi ilә hәyata keçirilәn hücumları göstәrmәk olar. Bu gün bir çox
әmәliyyat sistemlәrindә normal üsul ilә yanlış formatlı ICMP paketlәrinin göndәrilmәsi mümkün
deyil. Bundan başqa, bәzi әmәliyyat sistemlәrindә böyük hәcmli paketlәrә qarşı davamlılıq
artırılmışdır. Bir çox serverdә isә bu növ hücumların qarşısını almaq üçün ICMP xidmәtini,
ümumiyyәtlә, söndürürlәr.
TCP/IP әlaqәsinin yaradılması zamanı 3 mәrhәlәli prosesdә yanlış formatlı paket göndәrәrәk
serverin yarımçıq sessiyalar siyahısının doldurulmasının da qarşısı alınmışdır. Əvvәllәr TCP/IP
әlaqәsinin yaradılması üçün 3 mәrhәlәli prosesin hәr bir addımının hәyata keçirilmәsi üçün sonsuz
qәdәr gözlәnilirdi. İndi bu vaxt bir neçә saniyәyə endirilib. Əgәr müəyyәn bir zaman müddәtindә
verilmiş әlaqәnin yaradılması üçün növbәti paketlәr gәlmәsә, hәmin sessiya avtomatik olaraq
bağlanır.
DDoS hücumları bütün digәr hücum növlәrinә nisbәtәn qarşısının alınması әn çәtin hücum
növüdür. Təəssüf ki, DDoS-hücumlardan mühafizənin universal metodları mövcud deyil. Bu
hücumların qarşısını almaq üçün müxtəlif metodlar, alqoritmlәr və proqram tәminatları işlәnmişdir.
DoS-hücumlarla mübarizə tədbirlərini passiv və aktiv, həmçinin preventiv və reaktiv tədbirlərə bölmək olar.
Əsas müdafiə metodları aşağıdakılardır:
• Profilaktika. DoS-hücum təşkil etməyə təhrik edən səbəblərin profilaktikası. Arzuolunmaz
aktivliyi başlamağa imkan verən səbəblərin aradan qaldırılması (çox vaxt hücumlar şəxsi
incikliyin, siyasi, dini fikir ayrılığının və s. nəticəsi olur) üçün tədbirlər görülür.
• Mümkün DDoS hücumlarının effektivliyinin azaldılması. Bu məqsədlə şəbəkədə yükləmə
balansının tənzimlənməsi (ing. Load Balancing), proksilərdən istifadə, giriş
informasiyasının süzgəcdən keçirilməsi, DNS yazılarının bir neçə serverə bölüşdürülməsi və
s. kimi işlər görülür.
• Blackhole. DDoS-hücumların qarşısını almaq üçün operatorlar BlackHole (“qara deşik”)
texnologiyasından istifadə edirlər, bu zaman kliyentin ünvan fəzasında hücum edilən
ünvanlar operatorun şəbəkəsində tam bloklanır (bağlanır). Bu metodu da tam uğurlu saymaq
olmaz, çünki hücum trafiki ilə yanaşı “xoşniyyətli” paketlər də atılır. Bədniyyətli faktiki
olaraq operatorun köməyi ilə öz əsas məqsədinə çatır – hücum edilən resursa giriş bağlanır.
Bundan başqa, BlackHole metodunda marşrutlama getdikcə daha incə olan müasir
hücumlarla mübarizə üçün optimallaşdırılmayıb.
18
• Filtrasiya. Filtrasiya və blackhole metodlarının effektivliyi hücum hədəfinə yaxınlaşdıqca azalır və
hücumun mənbəyinə yaxınlaşdıqca artır.
• Boşluqların aradan qaldırılması. Flood tipli hücumlara qarşı işləmir, bu hücumlarda «boşluq» bu və
ya digər resursun məhdud olmasıdır.
• Resursların artırılması. İzafi resursların tətbiqi – yükün istənilən pik artımı ilə bacaran əlavə
buraxma zolağının və ya ehtiyat şəbəkə qovşaqlarının alınması iqtisadi cəhətdən həmişə
özünü doğrultmur. Bədniyyətliyə bu əlavə resursları tükətmək üçün yalnız hücumun
miqyasını artırmaq gərəkdir.
• Paylanma. Paylanmış və ehtiyat (təkrarlanmış) sistemlərin qurulması, məsələn, bir-birindən asılı
olmayan bir neçə serverin və güzgü saytın istifadə edilməsi. Onlar hücum səbəbindən bəzi
elementləri əlyetər olmadıqda belə, istifadəçilərə xidməti davam etdirirlər.
• Yayınma. Hücumların bilavasitə hədəflərinin (domen-adının və ya IP-ünvanın) digər resurslardan
kənara aparılması, bilavasitə hədəflə birlikdə onlar da çox zaman təsirə məruz qalırlar.
• Aktiv cavab tədbirləri. Hücumun mənbələrinə, təşkilatçısına və ya idarəetmə mərkəzinə həm texniki,
həm də təşkilati-hüquqi xarakterli təsir edilməsi.
19
Mühazirə 5. İnformasiya təhlükəsizliyinin təmin edilməsi metodları
İnformasiya təhlükəsizliyinin təmin olunması problemi kompleks yanaşma tələb edir. Onun
həlli üçün tədbirləri aşağıdakı səviyyələrə bölmək olar:
Qanunvericilik tədbirləri (informasiya ilə davranış qaydalarını reqlamentləşdirən və
bu qaydaların pozulmasına görə məsuliyyəti müəyyənləşdirən qanunlar, fərmanlar, standartlar
və s.)
Mənəvi etik tədbirlər.
Inzibati tədbirlər. İnformasiya təhlükəsizliyi rəhbərlik tərəfindən müvafiq səviyyəli
informasiya təhlükəsizliyi siyasətinin aparılması ilə əldə edilir. Informasiya təhlükəsizliyi
siyasətinin əsaslandığı sənəd informasiya təhlükəsizliyi proqramıdır. Bu sənəd dövlətin,
idarənin, təşkilatın ali idarəetmə orqanları tərəfindən rəsmi rəhbər sənəd kimi işlənir və təsdiq
edilir. Sənəddə informasiya təhlükəsizliyi siyasətinin məqsədləri və KS-də informasiya
təhlükəsizliyi məsələlərinin həllinin əsas istiqamətləri göstərilir. İnformasiya təhlükəsizliyi
proqramlarında həmçinin KS-də informasiya təhlükəsizliyi sisteminin qurulmasının ümumi
tələbləri və prinsipləri də verilir.
Təşkilati tədbirlər − təhlükəsizlik təhdidlərinin realizəsinin maksimum
çətinləşdirilməsi və ya istisna edilməsi məqsədi ilə KS-in fəaliyyət prosesini və istifadəçilərin
hərəkətlərini reqlamentləşdirir:
a) istifadəçilərin işinə aşkar və ya gizli nəzarətin təşkili;
b) sənədlərin və informasiya daşıyıcılarının saxlanmasının, istifadəsinin və məhv
edilməsinin uçotunun təşkili;
v) mühafizənin (ərazi) və etibarlı buraxılış rejiminin təşkili;
q) kadrların seçilməsi və hazırlanması zamanı həyata keçirilən tədbirlər;
d) informasiyaya giriş qaydalarının işlənməsi üzrə tədbirlər;
e)sistemin texniki vasitələrinin layihələndirilməsi, işlənməsi, modifikasiyası zamanı
tədbirlər.
Fiziki təhlükəsizlik tədbirləri: sistemə nüfuzetmə yollarında fiziki maneələrin
yaradılması üçün müxtəlif növ texniki mühafizə vasitələrinin tətbiqi.
Proqram-texniki tədbirlər − KS-in tərkibinə daxil olan və mühafizə funksiyalarını
yerinə yetirən texniki qurğuların və proqramların istifadəsinə əsaslanır. Bu səviyyənin
tədbirləri üçün mərkəzi anlayış təhlükəsizlik servsiidir. Belə servislərin sırasına aiddir:
identifikasiya və autentikasiya;
girişin idarəolunması (avtorizəetmə);
protokollaşdırma və audit;
şifrləmə;
rəqəmsal imza;
tamlığa nəzarət;
ekranlaşdırma;
tunelləmə;
imtinaya dayanıqlığın təmini;
təhlükəsiz bərpaetmənin təmini;
idarəetmə.
20
İnformasiya əldə etmək haqqında Qanun;
Dövlət sirri haqqında Qanun;
Fərdi məlumatlar haqqında Qanun;
Kommersiya sirri haqqında Qanun;
Elektron imza və elektron sənəd haqqında Qanun;
Biometrik informasiya haqqında Qanun və s.
Qanunvericilik səviyyəsində standartlar xüsusi diqqətə layiqdir. İnformasiya təhlükəsizliyi üzrə
ilk standart 1985-ci ildə ABŞ Müdafiə Nazirliyi tərəfindən qəbul edilmiş “Etibarlı kompüter
sistemlərini qiymətləndirmə meyarları” adlı standartdır (üz qabığının rənginə görə daha çox
«Narıncı kitab» kimi tanınır). Standartların arasında ISO/IEC 27x ailəsinin standartları (27001,
27002, 27..., İnformasiya təhlükəsizliyinin idarə edilməsi) və ISO/IEC 15408 (İnformasiya
texnologiyalarının təhlükəsizliyini qiymətləndirmə meyarları, «Ümumi meyarlar» kimi məşhurdur)
standartı daha geniş tanınır.
Nəqliyyat, Rabitə və Yüksək Texnologiyalar Nazirliyində (NRYTN) fəaliyyət göstərən
Standartlaşdırma üzrə “İnformasiya-kommunikasiya texnologiyaları” Texniki Komitəsi (TK 05)
tərəfindən mövcud beynəlxalq standartlar əsasında bir sıra informasiya təhlükəsizliyi standartları
işlənmişdir. Aşağıda onlardan bir neçəsi nümunə üçün verilir (tam siyahı ilə
http://www.mincom.gov.az/ saytında fəaliyyət-tənzimləmə-standartlaşdırma bölməsində tanış
olmaq olar):
AZS 494-2010 (ISO/IEC 27001-2005) İnformasiya Təhlükəsizliyi. Təhlükəsizlik metodları.
İnformasiya təhlükəsizliyinin idarə edilməsi sistemləri. Tələblər;
AZS 492-2010 (ISO/IEC 27005-2008) İnformasiya texnologiyaları – Təhlükəsizlik
metodları – İnformasiya təhlükəsizliyi risklərinin idarə olunması;
AZS 493-2010 (ISO/IEC TR 18044-2007) İnformasiya texnologiyası – Təhlükəsizliyin
təmin edilməsinin metod və vasitələri – İnformasiya təhlükəsizliyi insidentlərinin idarə
olunması”.
3A (Autentifikasiya, Avtorizasiya və Audit)
İdentifikasiya − istifadəçiyə (və ya istifadəçinin adından fəaliyyət göstərən prosesə) özünü
adlandırmağa (öz adını bildirməyə) imkan verir.
Autentifikasiya (ing. authentication) vasitəsi ilə ikinci tərəf əmin olur ki, subyekt doğrudan da
özünü qələmə verdiyi şəxsdir. Autentikasiya sözünün sinonimi kimi çox vaxt “həqiqiliyin
yoxlanması” işlədilir.
Subyekt aşağıdakı mənbələrdən ən azı birini təqdim etməklə özünün həqiqiliyini təsdiq edə bilər:
bildiyi nəyi isə (parolu, şəxsi identifikasiya nömrəsi, kriptoqrafik açar);
sahib olduğu nəyi isə (şəxsi kart və ya digər təyinatlı analoji qurğu);
özünün tərkib hissəsi olan nəyi isə (səs, barmaq izləri və s., yəni özünün biometrik
xarakteristikalarını).
Autentikasiyanın ən geniş yayılmış növü paroldur. Daxil edilmiş parol və istifadəçi üçün
əvvəlcədən verilmiş parol müqayisə edilir. Onlar üst-üstə düşdükdə istifadəçinin həqiqiliyi
təsdiqlənmiş sayılır.
Avtorizasiya (Girişin idarə edilməsi). Girişin idarə edilməsi subyektlərin (istifadəçi və
proseslərin) obyektlər (informasiya və digər kompüter resursları) üzərində yetinə yetirə biləcəyi
əməliyyatları müəyyən etməyə və onlara nəzarət etməyə imkan verir. Girişin məntiqi idarə edilməsi
(girişin fiziki idarə edilməsindən fərqli olaraq) proqram vasitələri ilə realizə olunur.
Məsələnin formal qoyuluşuna baxaq. Subyektlər məcmusu və obyektlər toplusu var. Girişin
məntiqi idarəolunması hər bir (subyekt, obyekt) cütü üçün yolverilən (mümkün) əməliyyatlar
çoxluğunu müəyyən etməkdən və qoyulmuş qaydaların yerinə yetirilməsinə nəzarət etməkdən
ibarətdir.
21
(Subyekt, obyekt) münasibətini cədvəl şəklində təsvir etmək olar. Cədvəlin sətirlərində
subyektlər, sütunlarında obyektlər sadalanır. Sətir və sütunların kəsişdiyi xanalarda verilən giriş
növləri və əlavə şərtlər (məsələn, vaxt və hərəkətin məkanı) yazılır.
Girişin məntiqi idarə edilməsi mövzusu – informasiya təhlükəsizliyi sahəsində ən mürəkkəb
mövzudur. Səbəb ondadır ki, obyekt anlayışının özü (deməli giriş növləri də) servisdən servisə
dəyişir. Əməliyyat sistemi üçün obyekt fayl, qurğu və prosesdir. Fayl və qurğular üçün adətən
oxuma, yazma, yerinə yetirmə (proqram faylları üçün), bəzən də silmə və əlavə etmə hüquqlarına
baxılır. Ayrıca hüquq kimi giriş səlahiyyətlərinin digər subyektlərə vermə imkanına baxıla bilər
(sahiblik hüququ). Prosesləri yaratmaq və məhv etmək olar. Müasir əməliyyat sistemləri digər
obyektlərin varlığını da mümkün edə bilər.
Giriş hüququna nəzarət proqram mühitinin müxtəlif komponentləri - əməliyyat sisteminin
nüvəsi, əlavə təhlükəsizlik vasitələri, verilənlər bazasını idarəetmə sistemi, ara vasitəçi proqram
təminatı (məsələn, tranzaksiyalar monitoru) tərəfindən həyata keçirilir.
Protokollaşdırma və audit. Protokollaşdırma dedikdə informasiya sistemində baş verən hadisələr
haqqında məlumatın qeyd edilməsi və toplanması başa düşülür.
Audit - toplanan informasiyanın analizidir. Audit operativ (demək olar ki, real vaxtda) və ya
dövri (məsələn, gündə bir dəfə) aparıla bilər.
Protokollaşdırma və auditin realizə olunması aşağıdakı məqsədləri güdür:
istifadəçi və administratorların hesabat verməli olmasını təmin etmək;
informasiya təhlükəsizliyini pozma cəhdlərinin aşkar olunması;
problemlərin aşkar olunması və analizi üçün informasiyanın təqdim olunması.
“Narıncı kitabda“ protokollaşdırma üçün aşağıdakı hadisələr sadalanır: sistemə giriş cəhdləri
(uğurlu və uğursuz); sistemdən çıxış; kənar sistemlərə müraciətlər; fayllarla əməliyyatlar (açmaq,
bağlamaq, adını dəyişmək, silmək); imtiyazların və digər təhlükəsizlik atributlarının dəyişdirilməsi.
Ekranlaşdırma
Ekranlaşdırma vacib təhlükəsizlik mexanizmlərindən biridir. Bu mexanizmin şəbəkələrarası
ekran (ingilis termini firewall) adlanan realizələri olduqca geniş yayılıb.
Ekranlaşdırma məsələsinin qoyuluşu aşağıdakından ibarətdir. Tutaq ki, iki informasiya sistemi
var. Ekran bir çoxluqdan olan istifadəçilərin digər çoxluğun serverlərinə müraciətlərini
nizamlayan vasitədir. Ekran öz funksiyalarını iki sistem arasındakı bütün informasiya axınına
nəzarət etməklə yerinə yetirir ( şək. 1)
İnformasiya sistemi 1 İnformasiya sistemi 2
İstifadəçilər E Serverlər
K
Serverlər İstifadəçilər
R
Şəkil 1.
Ən sadə halda ekran iki mexanizmdən ibarətdir, onlardan biri verilənlərin yerdəyişməsini
məhdudlaşdırır, digəri isə əksinə, bu yerdəyişməni həyata keçirir. Ən ümümi halda ekranı
(yarımşəffaf pərdəni) süzgəclər (filtrlər) ardıcıllığı kimi təsəvvür etmək əlverişlidir. Süzgəclərdən
hər biri verilənləri (tutub) saxlaya bilər, və ya onları dərhal "digər tərəfə" "ata bilər". Bundan başqa,
analizi davam etdirmək üçün verilənləri növbəti süzgəcə ötürmək, adresatın adından verilənləri
emal edərək nəticəni göndərənə qaytarmaq olar.
Çox vaxt ekranı 7-səviyyəli OSI etalon modelinin üçüncü (şəbəkə), dördüncü (nəqliyyat) və ya
yeddinci (tətbiqi) səviyyələrində realizə edirlər. Birinci halda ekranlaşdırıcı marşrutizator, ikinci
halda ekranlaşdırıcı nəqliyyat, üçüncü halda ekranlaşdırıcı şlüz alınır. Hər bir yanaşmanın öz
üstünlükləri və nöqsanları var; hibrid ekranlara da rast gəlinir, onlarda göstərilən yanaşmaların ən
yaxşı cəhətlərini realizə etməyə çalışırlar.
22
Kriptologiyanın əsas anlayışları
İnformasiya mühafizəsinin kriptoqrafik metodları müasir kriptologiyanın tədqiqatlarinin
predmetidir, kriptologiya məqsədləri bir-birinə tam əks olan iki əsas bölmədən ibarətdir:
─ kriptoqrafiya informasiyanı bədniyyətlinin bəzi hərəkətlərindən qorumaq məqsədi ilə
informasiyanın çevrilməsi üsullarını öyrənir.
─ kriptoanaliz kriptosistemlərin etibarının qiymətləndirilməsi, şifrlərin dözümünün analizi,
onların çözülməsi üsullarının işlənilməsi üsullarını öyrənir.
Kriptoqrafiyanın məsələləri. Kriptoqrafik çevirmələr informasiya mühafizəsinin aşağıdakı
əsas məsələlərinin həlli üçün tətbiq olunurlar:
1. İnformasiyanın konfidensiallığının təmini, yəni məzmunla avtorizə olunmamış tanış
olmaqdan mühafizə.
2. İnformasiyanın bütünlüyünün təmini, yəni avtorizə olunmamış sanksiyasız dəyişikliklərdən
mühafizə (bura daxiletmə, silmə və ilkin məlumat fraqmentlərinin əvəzlənməsi aid edilir).
3. İnformasiyanın autentikasiyasının təmini, yəni tərəflərin, informasiyanın özünün,
informasiyanın yaradılması vaxtının və s. həqiqiliyinin təsdiqi.
4. Müəlliflikdən imtina edəbilməmənin (müəlliflikdən imtinanın qeyri-mümkünlüyünün)
təmini.
Kriptoqrafiya və kriptoanaliz çoxəsrlik inkişaf və tətbiq tarixinə malikdir. Kriptologiyanın üç
inkişaf mərhələsini fərqləndirmək olar:
elməqədərki kriptoqrafiya mərhələsi (qədim dövrlərdən 1949-cu ilədək);
klassik kriptoqrafiya mərhələsi (məxfi açarlı kriptoqrafiya) – şifrlərin yaradılması və
onların dözümünün qiymətləndirilməsi ilə əlaqədar kriptologiyanın elmi fənn kimi təşəkkülü
(1949-1976-ci illər); bu mərhələnin başlanğıcını K.E.Şennon “Məxfi sistemlərdə rabitə
nəzəriyyəsi” adlı işi ilə qoymuşdur;
müasir kriptoqrafiya mərhələsi, klassik kriptoqrafiya ilə yanaşı açıq açarlı
kriptoqrafiyanın coşqun inkişafı mərhələsi, onun meydana çıxması riyaziyyatda yeni
istiqamətlərin meydana çöxmasını stimullaşdırdı; bu mərhələnin başlanğıcını U.Diffi və
M.Hellmanın “Kriptoqrafiyada yeni istiqamətlər” adlı işi qoymuşdur.
Şifr – açıq mətnlər çoxluğunun şifrlənmiş mətnlər çoxluğuna tərsi olan çevirmələri çoxluğudur.
Şifrin hər bir çevirməsi ilə açar adlanan müəyyən parametrin qiyməti əlaqədardır.
Açar – şifrləmənin gedişini idarə edən məxfi parametridir. Açar şifri təşkil edən çevirmələr
çoxluğundan şifrləmə və deşifrləmə üçün çevirmənin konkret variantının seçilməsini müəyyən edir.
Açıq mətn şifrin çevirməsinə məruz qalan informasiya.
Şifrləmə –şifr çevirməsinin açıq mətnə tətbiqi.
Deşifrləmə məlum açardan istifadə etməklə tərs çevirmənin şifrlənmiş mətnə tətbiqi.
Şifrlənmiş mətn (şifrmətn) açıq mətnin şifrlənməsinin nəticəsi.
Kriptosistem açarlar fəzasından, açıq mətnlər fəzasından, şifrmətnlər fəzasından, şifrləmə
alqoritmindən və deşifrləmə alqoritmindən ibarətdir.
Şifrin çözülməsi − açarı bilmədən şifrlənmiş mətndən qorunan informasiyanın alınması prosesi.
Şifrə hücum şifri çözmək cəhdi.
Şifrin dözümü şifrin mümkün hücumlara qarşı durmaq qabiliyyəti.
Şifrləmənin klassik üsulları
Şifr çevirmələri qurularkən riyazi baxımdan çevirmələrin iki növü istifadə edilir: açıq mətn
elementlərinin yerdəyişməsi və açıq mətn elementlərinin müəyyən çoxluğun elementləri ilə
əvəzlənməsi. Bununla əlaqədar olaraq şifrlər üç növə bölünür: yerdəyişmə şifrləri, əvəzləmə şifrləri
və kompozisiya şifrləri. Kompozisiya şifrləri yerdəyişmə və əvəzləmə şifrlərinin ardıcıl tətbiqindən
istifadə edirlər.
Yerdəyişmə şifrləri. Tutaq ki, a0, a1, …, aN−1 açıq mətni verilib. Əgər bu mətnə σ = (σ(1), σ(2), …,
σ(N − 1)) yerdəyişməsini tətbiq etsək, onda nəticədə aσ(0), aσ(1), …, aσ(N−1) şifrmətni alınacaq. Belə
çevirmələr ailəsi yerdəyişmə şifri adlanır.
23
Marşrut yerdəyişmə şifrləri düzbucaqlı cədvəldən istifadə edirlər, cədvəldə açıq mətn sətirlər
üzrə yazılır, şifrlənmiş mətn cədvəl başqa qaydada oxunduqda alınır ( sütunlar üzrə, diaqonallar
üzrə… yəni digər marşrutla). Deşifrləmə həmin ölçüdə boş düzbucaqlının seçilmiş marşruta uyğun
olaraq şifrlənmiş mətnlə doldurulmasından və açıq mətnin sətirlər üzrə oxunmasından ibarətdir.
Belə şifrlərin açarı cədvəlin ölçüləri və cədvəldən hərflərin oxunması marşrutudur.
Əvəzləmə şifrləri. Əvəzləmə şifrlərində şifrlənən mətnin simvolları əvvəlcədən şərtlənmiş
əvəzləmə sxeminə uyğun olaraq ya elə həmin əlifbanın (sadə əvəzləmə), ya da bir və ya bir neçə
başqa əlifbanın simvolları ilə (mürəkkəb əvəzləmə) əvəzlənir.
Ən qədim əvəzləmə şifrlərindən biri Sezar şifridir. Sezar şifri ilə şifrləmə zamanı latın
əlifbasının hər bir hərfi k = 3 mövqe sağa dövri sürüşdürülür. Aşağıdakı əvəzləmə alınır:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Şifrləmə bu əvəzetməyə uyğun olaraq həyata keçirilir. Məsələn, E3(CUT) = FXW. Aydındır ki,
k = 3 seçimi yeganə mümkün olan seçim deyil.
Sadə əvəzləmə şifrinə daha bir misal modulyar şifrdir. m = 26 modulu ilə qarşılıqlı sadə olan a
ədədini seçək. Tutaq ki, p – ingilis əlifbasının öz sıra nömrəsi (0, 1, …, 25) ilə eyniləşdirilən
hərfidir. Onda şifrləmə Ek(p) = ap + b düsturu ilə yerinə yetirilir, burada b qeyd edilib. Bu şifrdə
açar (a, b) ədədlər cütüdür. Qarşılıqlı sadəlik şərti şifrin tərsinin olması üçün zəruridir.
Vernam şifri
Vernam şifrində n-bitlik açıq mətn ilə n-bitlik açar bitbəbit toplanır:
ci = mi ki, i = 1,2, …, n,
burada m1, …, mn – açıq mətn, k1, …, kn − açar, c1, …, cn – şifrlənmiş mətndir. Deşifrləmə düsturu:
mi = ci ki, i = 1,2, …, n.
K.Şennon isbat etmişdir ki, əgər 1) əgər açar müntəzəm paylama qanununa malik həqiqi
təsadüfi ikilik ardıcıllığın fraqmentifdirsə, 2) açarın uzunluğu açıq mətnin uzunluğuna bərabərdirsə
və 3) bu açar yalnız bir dəfə istifadə olunursa, onda Vernam şifri mütləq dözümlüdür. Bu şərtlərdən
heç olmasa biri pozulduqda şifr mütləq dözülməz olmur və onun çözülməsi üçün prinsipcə imkanlar
mövcuddur.
Misal. Tutaq ki, məlumat IF sözüdür, onun ASCII kodu 1001001 1000110 olacaq. Açar isə
1010110 0110001 olsun. Şifrmətn açıq mətnlə açarın bitlərini 2 moduluna görə toplamaqla tapılır.
Şifrləmə:
Açıq mətn 1001001 1000110
Açar 1010110 0110001
Şifrmətn 0011111 1110111
Deşifrləmə:
Şifrmətn 0011111 1110111
Açar 1010110 0110001
Açıq mətn 1001001 1000110
24
bir simvol dəyişdirildikdə alınan heş-kod da verilir. Göründüyü ki, MD5 olduqca “həssas”dır −
ikinci heş-kodda 32 simvoldan 30-u dəyişib.
MD5(‘1234567890’)= E807 F1FC F82D 132F 9BB0 18CA 6738 A19F
MD5(‘1234567891’)= 0F7E 44A9 22DF 352C 05C5 F73C B40B A115
25
Mühazirə 6. İnformasiya təhlükəsizliyinin formal modelləri
Bell-LaPadula modeli
Klassik Bell-LaPadula (BLP) modeli girişin mandatlı idarə edilməsini realizə edən təhlükəsizlik
sistemlərinin analizi üçün qurulmuşdur. Onun belə sistemlərin formal modeli kimi istifadə
26
edilməsinin mümkünlüyü TCSEC meyarlarında («Narıncı kitab») bilavasitə qeyd edilmişdir. Bell-
LaPadula modeli 1975-ci ildə David E. Bell və Leonard J. La Padula tərəfindən təklif edilmişdi.
BLP strukturu aşağıdakılardan ibarətdir:
• Girişə icazə matrisi, girişə nəzarət;
• Təhlükəsizlik qəfəsi, təhlükəsizlik səviyyələri;
• Avtomat, giriş əməliyyatları.
Təhlükəsizlik siyasəti BLP strukturundakı münasibətlərə gətirilir.
Tutaq ki, aşağıdakı sonlu çoxluqlar müəyyən edilib: S – sistemin subyektləri çoxluğu (məsələn,
sistemin istifadəçiləri və proqramları); O – sistemin obyektləri çoxluğu (məsələn, bütün sistem
faylları); R = (read, write, append, execute) – S-dəki subyektlərin O-dakı obyektlərə giriş
əməliyyatlarının çoxluğu, burada read – oxuma, write – yazma, append – obyektin sonuna yazma,
execute – yerinə yetirmə giriş növünü göstərir;.
Sistemin təhlükəsizliyi üç xassənin köməyi ilə müəyyən edilir:
1. ss – sadə təhlükəsizlik xassəsi (ss – simple security);
2. * – ulduz xassəsi;
3. ds – diskresion təhlükəsizlik xassəsi (ds – discretionary security).
Bu xassələr və onların birləşmələri ilə işləyərək istənilən mürəkkəblikdə təhlükəsizlik sistemi
qurmaq mümkündür.
Sistemin təhlükəsizliyini yoxlamaq üçün Sistemin vəziyyəti anlayışından istifadə edilir.
Vəziyyətlər çoxluğu: B×M×F, burada
• B = {b S × O × R} ─ cari girişlərin çoxluğudur;
• М = Мsо – icazə verilmiş girişlər matrisi, burada МsoR – s subyektinin о obyektinə icazə
verilmiş girişdiri;
• F ─ təhlükəsizlik səviyyəsi təyinatlarının çoxluğudur, F⸦Ls × Ls ×Lo.
F-in elementləri f =(fS, fC, fO) şəklindədir, burada
• fS : S→L subyektin malik ola bildiyi maksimal təhlükəsizliyi verir;
• fC : C→L subyektin cari təhlükəsizlik səviyyəsini verir;
• fO : O→L obyektin təhlükəsizlik sinfini verir;
Tələb edilir kis S fc(s) ≤ fs(s), yəni maksimal səviyyə cari səviyyədən üstün olmalıdır.
Təhlükəsizlik siyasətləri: (b, M, f ) vəziyyətini ödəməlidir:
1. Sadə təhlükəsizlik xassəsi (ss-property): b-də a = read və ya write təhlükəsizlik əməliyyatı ilə
hər bir (s, o, a) giriş müraciətində s-in təhlükəsizlik səviyyəsi o-nun təhlükəsizlik səviyyəsindən
üstün olmalıdır, yəni fO(o) ≤ fS(s).
Bu no read/write up təhlükəsizlik siyasətidir («yuxarıya oxuma/yazma yoxdur»). «Yuxariya
oxuma yoxdur» ─ məxfilik səviyyəsi XS olan subyekt məxfilik səviyyəsi XO olan obyektdən
informasiyanı yalnız XS səviyyəsi XO-dan üstün olduqda oxuya bilər.
2. Ulduz xassəsi (*-xassə): b-də a = append və ya write giriş əməliyyatlı hər bir (s, o, a) giriş
müraciəti üçün s-in cari təhlükəsizlik səviyyəsi o obyektinin sinfindən aşağıdır, yəni fC(s) ≤ fO(o).
Bu no append/write down siyasətidir («aşağıya yazma yoxdur»). «Aşağıya yazma yoxdur» ─
məxfilik səviyyəsi XS olan subyekt informasiyanı məxfilik səviyyəsi XO olan obyektə yalnız XO
səviyyəsi XS-dən üstün olduqda yaza bilər.
Həmçinin, əgər b-də a = append və ya write ilə (s, o, a) varsa, onda b-də a’ = read və ya write
ilə (s,o’,a’) bütün o’ üçün f O (o' )≤f O (o ) olmalıdır.
*-xassəsi nəzərdə tutur ki, aşağı səviyyə subyektlərinə məlumat göndərmək mümkün deyil.
Bunu təmin etmək üçün iki yol var.
• Müvəqqəti olaraq yuxarı səviyyə subyektinin səviyyəsini azaltmaq. Məhz buna görə cari
təhlükəsizlik səviyyəsi fC(s) daxil edilir.
• *-xassəni pozmağa icazə verilən subyektlər çoxluğunu identifikasiya etmək. Bunlar trusted
subyektlər adlanır.
27
3. Diskresion təhlükəsizlik xassəsi (ds-xassə): b-də hər bir (s, o, a) girişi üçün
a ∈ M so olmalıdır.
BLP-nin təhlükəsizliyi. v = (b, M, f ) vəziyyəti hər üç təhlükəsizlik xassəsi ödəndikdə təhlükəsiz
adlanır.
Əgər v2 təhlükəsizdirsə və v1 ixtiyaridirsə, onda v1 = (b1, M1, f1) vəziyyətindən v2 = (b2, M2, f2)
vəziyyətinə keçid təhlükəsizdir.
Teorem. Əgər bütün vəziyyət keçidləri təhlükəsizdirsə və başlanğıc vəziyyət də təhlükəsizdirsə,
onda hansı girişin olmasından asılı olmayaraq, hər bir sonrakı vəziyyət də təhlükəsizdir.
Bell-LaPadula modelinin əsasında duran ideya öz mənbəyini «kağız dünyasından» götürür. Bell
və LaPadula sənədlərlə iş zamanı qəbul edilmiş təhlükəsizlik modelini keçirmişlər. Onlar aşkar
etdilər ki, səlahiyyəti olmayan subyektlərə informasiyanın sızmasının qarşısını almaq üçün aşağı
məxfilik səviyyəsinə malik subyektlərə məxfilik səviyyəsi yüksək obyektlərdən informasiyanı
oxumağa icazə verilmir.
Obyektin məxfilik səviyyəsi – iyerarxik atributdur, onun qiymətini və vacibliyini müəyyən
edir, onun zəifliyini nəzərə ala bilər.
Etibar dərəcəsi – subyektin məxfilik səviyyəsi. Subyektin etibar dərəcəsi yüksək olduqca,
onun daha məxfi informasiyaya girişi olur. Obyektin məxfiliyi yüksək olduqca, onda daha məxfi
informasiya saxlanır.
Bell və LaPadula öz modellərini qurarkən əlavə müşahidə də etdilər: subyektlərə daha aşağı
məxfilik səviyyəsinə malik obyektlərə informasiyanı yerləşdirmək və ya yazmağa icazə verilmir.
Məsələn, «tam məxfi» sənəd «ümumi istifadə üçün» zibil qutusuna qoyulsa, onda informasiyanın
sızması baş verə bilər.
Harrison-Ruzzo-Ulman modeli
BLP modeli dinamik deyil: Subyektlərin və obyektlərin yaradılmasına və məhv edilməsinə,
giriş hüquqlarının dəyişməsinə icazə vermir. Harrison–Ruzzo–Ulman (HRU) modeli bu məsələni
həll etmək üçün avtorizasiya sistemi müəyyən edir.
HRU modeli ilk dəfə 1971-ci ildə təklif olunmuşdur, onun formal təsviri 1976-cı ildə nəşr
olunmuşdu. Bu model diskresion təhlükəsizlik siyasətini realizə edən təhlükəsizlik sistemlərinin və
onun əsas elementinin – giriş matrisinin analizi üçün istifadə edilir. Giriş matrisinin sətirləri
subyektlərə, sütunları isə obyektlərə uyğun gəlir. Matrisin xanalarında subyektin obyektə giriş
hüququ göstərilir.
Giriş matrisinə misal:
Bu cədvəldə:
28
R – istifadəçinin oxuma hüququ;
W – istifadəçinin yazma hüququ;
X – prosesi yerinə yetirmə hüququ;
O – digər istifadəçilərin fayla girişini idarə edir.
Təhlükəsizlik sistemi müəyyən keçid qaydalarına görə işləyən sonlu avtomatla göstərilir.
Aşağıdakı işarələri qəbul edək: O – sistemin obyektləri çoxluğu; S – sistemin subyektləri çoxluğu
(S⊆O); R – subyektlərin obyektlərə giriş hüquqları çoxluğu, məsələn, oxuma (read), yazma (write),
sahibolma (own) hüququ; M – sətri subyektlərə, sütunları obyektlərə uyğun gələn giriş matrisi; M[s,
o] ⊆ R – s subyektinin o obyektinə giriş hüququdur.
HRU modelinin müddəalarına uyğun olaraq qurulmuş avtomatı sistem adlandıraq. Sistemin
fəaliyyətinə yalnız giriş matrisində dəyişikliklər baxımından baxılır. Mümkün dəyişikliklər altı
primitiv operator ilə müəyyən edilir:
1) enter r into (s, o) – r hüququnun matrisin (s, o) xanasına daxil edilməsi; bu zaman giriş
matrisi aşağıdakı kimi dəyişir:
' '
S ' =S , O =O , a [ s ,o ]=a [ s , o ]∪r ,
∀ x ∈ S ∀ y ∈O( x , y )≠( s , o) a' [ x , y ]=a[ x , y ];
2) delete r from (s, o) – r hüququnun matrisin (s, o) xanasından silinməsi; bu zaman giriş
matrisi aşağıdakı kimi dəyişir:
' '
S ' =S , O =O , a [ s ,o ]=a [ s, o ]¿,
'
∀ x ∈ S ∀ y ∈O (x , y )≠( s , o) a [ x , y ]=a[ x , y ];
3) create object o – o obyektinin yaradılması; giriş matrisi bu zaman aşağıdakı kimi dəyişir:
' ' '
S ' =S , O =O∪{o}, ∀ x∈ S a [ x ,o]=0,
'
∀ x ∈ S ∀ y ∈O a [ x , y ]=a[ x , y ];
4) create subject s – s subyektinin yaradılması; giriş matrisi bu zaman aşağıdakı kimi dəyişir:
' ' '
S ' =S∪{s}, O =O∪{s}, ∀ y ∈O a [ s, y ]=0,
' '
∀ x ∈ S a [ x ,s ]=0,
'
∀ x ∈ S ∀ y ∈O a [ x , y ]=a[ x , y ];
5) destroy object o – o obyektinin silinməsi; giriş matrisi bu zaman aşağıdakı kimi dəyişir:
' ''
S =S,O =O{o ¿,∀x∈S a [ x , o ]=0, ¿ ∀x∈S∀y∈Oa [x, y ]=a[ x , y ]; ¿¿
' '
6) destroy subject s – s subyektinin silinməsi; giriş matrisi bu zaman aşağıdakı kimi dəyişir:
29
enter w into a[p, f];
End
Rollar modeli
Rollar modeli – girişin rollara əsaslanan idarə edilməsi (Role Based Access Control, RBAC)
modeli nə mandatlı, nə də diskresion təhlükəsizlik modelinə aid deyil, bu modeldə daha yüksək
səviyyəli abstraksiyalar istifadə edilir. Modeldə aşağıdakı anlayışlardan istifadə edilir:
istifadəçi – təşkilatın əməkdaşı;
rol – sistemdə yerinə yetirilən funksiyaların siyahısı;
subyekt – sistemın aktiv elementi;
əməliyyat – yerinə yetirilməsi üçün mühafizə olunan bir və ya bir neçə obyektə giriş hüququ
tələb olunan müəyyən hərəkət.
Təşkilatın informasiya sistemində emal edilən bütün informasiyanın bu təşkilata mənsub olması
nəzərdə tutulur. İstifadəçi üçün informasiyaya giriş təşkilat daxilində bu istifadəçinin yerinə
yetirdiyi funksiya – bu istifadəçinin rolu əsasında müəyyən edilir. Məsələn, hospitalda rollar belə
ola bilər: həkim, tibb bacısı, əczaçı. Təbii olaraq onlar müxtəlif funksiyaları yerinə yetirirlər və
uyğun olaraq sistemdə müxtəlif informasiyaya giriş hüququna malik olmalıdırlar.
Beləliklə, rollar modeli sistemin mahiyyətlərinin və girişə nəzarət qaydalarının konkret
təşkilatın informasiya sisteminin terminləri ilə bilavasitə təsvirini nəzərdə tutur. Bu bir tərəfdən
baxılan modeli digər modellərə xas olan müəyyən universallıqdan məhrum edir. Lakin digər
tərəfdən, əgər təşkilat üçün rollar modeli artıq reallaşdırılıbsa, onda rolların əlavə edilməsi və
silinməsi yolu ilə ona düzəlişlər edilməsi asan prosesə çevrilir.
Rollar modelinin mahiyyəti:
1) istifadəçilər, rollar, əməliyyatlar çoxluqlarının elementləri arasında «birin çoxa» inikası;
Müəyyən rolda avtorizə olunmuş istifadəçi bu rolla əlaqələndirilən əməliyyatları potensial
olaraq yerinə yetirmək hüququna malikdir.
2) istifadəçilər və subyektlər arasında «birin çoxa» münasibəti;
Sistemin elementi ilə əlaqələndirilən istifadəçi unikal istifadəçi identifikatoru ilə müəyyən
edilir. Sistemin hər bir subyekti bir istifadəçiyə və ola bilsin ki, rollar çoxluğuna inikas olunur.
30
3) əməliyyatlar və obyektlər çoxluqlarının münasibətləri
Sistemdə obyektlər çoxluğu ayrılır, onlarla müəyyən əməliyyatları tətbiq etmək olar.
4) təşkilatların əksəriyyətində bütün xidmətlərin yerinə yetirdiyi bir çox ümumi əməliyyatlar
mövcuddur, buna görə rollar modelinə rolların iyerarxiyası daxil ola bilər. Bu zaman başqa rolları
içinə alan rollar seçilir, buna görə bir rol başqa bir rolla əlaqədar olan əməliyyatları və
məhdudiyyətləri əhatə edə bilər.
Adətən rollar modeli əməliyyat sistemi səviyyəsində deyil, tətbiqi proqramlar səviyyəsində
realizə edilir. Əməliyyat sistemi səviyyəsində dəstəyin çətinliyi tətbiq sahəsindən asılı olmayan və
asan realizə olunan yetərincə ümumi baza konstruksiyalarının aşkar olunmasının praktiki mümkün
olmamasından ibarətdir.
31
Mühazirə 7. İnformasiya təhlükəsizliyi standartları
1983-cü ildən 1988-ci ilə kimi ABŞ Müdafiə Nazirliyi və Milli Kompüter Təhlükəsizliyi
Komitəsi kompüter təhlükəsizliyi sahəsində ondan artıq sənəddən ibarət standartlar sistemini
hazırladı. Bu siyahıya "Kompüter sistemlərinin təhlükəsizliyinin qiymətləndirilməsi meyarları"
(Trusted Computing System Evaluation Criteria, TCSEC) başçılıq edir, onu cildinin rənginə görə
çox vaxt "Narıncı kitab" adlandırırlar.
"Narıncı kitab" ABŞ Müdafiə nazirliyi tərəfindən kompüter sistemlərinin aparat, proqram və
xüsusi təminatına irəli sürülən təhlükəsizlik tələblərinin müəyyən edilməsi və hərbi təyinatlı
kompüter sistemlərində realizə edilən təhlükəsizlik siyasətinin analizi üçün müvafiq
metodologiyanın işlənməsi məqsədi ilə tərtib edilmişdi.
Bu sənəddə «təhlükəsizlik siyasəti», etibarlı hesablama bazası və s. kimi anlayışlar ilk dəfə
normativ olaraq müəyyən edilmişdi.
"Narıncı kitab" təhlükəsiz sistem anlayışını belə izah edir: "müvafiq vasitələrin köməyi ilə
informasiyaya girişi elə idarə edir ki, yalnız lazımi qaydada avtorizə edilmiş şəxslər və onların
adından çıxış edən proseslər informasiyanı oxumaq, yazmaq, yaratmaq və silmək hüququ alırlar".
Lakin aydındır ki, mütləq təhlükəsiz sistemlər yoxdur, bu abstraksiyadır. Bu və ya digər sistemə
göstərilə bilən etimadın səviyyəsini qiymətləndirməyin mənası var.
"Narıncı kitabda" etibarlı sistemi "giriş hüququnu pozmadan müxtəlif məxfilik dərəcəsinə malik
informasiyanın istifadəçilər qrupu tərəfindən eyni zamanda emalını təmin etmək üçün yetərli aparat
və proqram təminatı istifadə edən sistem" kimi müəyyən edir.
«Narıncı kitabda» ifadə edilmiş meyarlar kompüter sistemlərinin dörd təhlükəsizlik səviyyəsinə
bölünməsini müəyyən edir. A səviyyəsi ən yüksəkdir. Sonra B səviyyəsi gəlir (burada
təhlükəsizliyin azalması sırasında B3, B2, B1 sinifləri gəlir). Sonra C səviyyəsi (C2 və C1 sinifləri)
geniş yayılıb. Ən aşağı səviyyə D-dir. "Narıncı kitab" hər səviyyə üçün funksional tələblər və
zəmanət tələbləri müəyyən edirdi. Sistem bu tələbləri ödəməlidir ki, müəyyən sertifikatlaşdırma
səviyyəsinə uyğun olsun.
D səviyyəsi – Minimal təhlükəsizlik (Minimal Protection)
D sinfi. Minimal təhlükəsizlik (Minimal Protection). Bu sinfə sertifikatlaşdırmaya təqdim
edilən, lakin ondan keçməyən sistemlər düşür.
C səviyyəsi – Discresion təhlükəsizlik (Discretionary Protection)
C1 sinfi. Girişin diskresion idarə olunması (Discretionary Security Protection). Etibarlı
hesablama bazasının olmasını (Trusted Computing Base, TCB), diskresion (seçimli)
təhlükəsizliyə tələblərin yerinə yetirilməsini nəzərdə tutur. İstifadəçilərin verilənlərdən
ayrılması ilə təmin edilir (verilənlərin oxunmasının və ya məhv edilməsinin qarşısının alınması
üzrə tədbirlər, məxfi verilənlərin mühafizəsi imkanı). Hazırda bu sinif üzrə sertifikatlaşdırma
nəzərdə tutulmayıb.
C2 sinfi. İdarə edilən girişin mühafizəsi (Controlled Access Protection). Bu sinifdən olan
sistemlər girişin seçimli mühafizəsi sahəsində daha dəqiq nəzarət həyata keçirməyə imkan verir.
İstifadəçilərin hərəkətləri identifikasiya/autentifikasiya prosedurları ilə əlaqələndirilir.
İstifadəçilərə giriş imtiyazlarının verilməsi və ləğv edilməsi Bundan başqa, təhlükəsizlik
baxımından kritik hadisələrin auditi aparılır, resursların izolyasiyası yerinə yetirilir.
B səviyyəsi – Mandatlı təhlükəsizlik (Mandatory Protection)
B1 sinfi. Təhlükəsizliyin nişanlı təmin olunması (Labeled Security Protection). C2 sinfinin
tələblərinə əlavə olaraq təhlükəsizlik siyasəti modelinin qeyri-formal təsviri, verilənlərin
nişanlanması, həmçinin adlı subyektlərə və obyektlərə girişin məcburi idarə edilməsi zəruridir.
B2 sinfi. Strukturlaşdırılmış mühafizə (Structured Protection). Bu sistemlər sinfində TCB
təhlükəsizlik siyasətinin dəqiq müəyyən edilmiş və sənədləşdirilmiş formal modelinə
söykənməlidir. Girişin seçimli və məcburi idarə edilməsinin təsiri sistemdəki bütün
subyektlərə və obyektlərə şamil edilir. Gizli kanallar aşkarlanır. TCB təhlükəsizlik
baxımından kritik və kritik olmayan elementlərə dəqiq dekompozisiya olunmalıdır.
Autentifikasiya mexanizmləri gücləndirilir. Sistem administratoru və operatoru
32
funksiyalarının dəstəklənməsi şəklində etibarlıq mexanizmlərinin idarə edilməsi təmin edilir.
Konfiqurasiyanın ciddi idarə edilməsi mexanizmlərinin olması nəzərdə tutulur.
B3 sinfi. Təhlükəsizlik domenləri (Security Domains). TCB subyektlərin obyektlərə bütün
girişlərinə mütləq nəzarət edən etalon monitorinq mexanizminin tələblərini ödəməlidir, eyni
zamanda kifayət qədər yığcam olmalıdır ki, onu analiz etmək və test etmək olsun.
Təhlükəsizlik üzrə administratorun olması tələb edilir. Audit mexanizmləri təhlükəsizliyə
münasibətdə kritik hadisələr haqqında xəbərdaretmə mexanizmlərinə qədər genişləndirilir.
Sistemlərin bərpa edilməsi prosedurları tələb edilir. Sistem müdaxilələrə olduqca dayanıqlıdır.
A səviyyəsi – Verifikasiya edilən təhlükəsizlik (Verified Protection)
A1 sinfi. Verifikasiya edilən layihələndirmə (Verified Design). Sistemlərin bu sinfi o
mənada B3 sinfinə funksional ekvivalentdir ki, əlavə arxitektur xüsusiyyətlərinin daxil
edilməsi və ya təhlükəsizlik siyasətinə əlavə tələblərin irəli sürülməsi tələb edilmir.
Əhəmiyyətli fərq layihələndirmənin formal spesifikasiyasının və müvafiq verifikasiya
metodlarının mövcud olması tələbindən ibarətdir. Bu sinifdə heç bir əməliyyat sistemi
qeydiyyata alınmayıb.
Təhlükəsizlik sertifikatlarının əksəriyyəti üçün zəmanət tələblərinin yerinə yetirilməsi çox vaxt
alırdı və böyük pullara başa gəlirdi. Nəticədə çox az sistem C2 səviyyəsindən yuxarı
sertifikatlaşdırılmışdı (həqiqətdə bütün dövr ərzində A1 səviyyəsi üzrə yalnız bir sistem –
Honeywell CCOMP sertifikatlaşdırılmışdı). Sertifikatlaşdırmanı keçmək üçün sistemlərə tələb
olunan vaxt ərzində onlar köhnəlirlər. Kompüter texnologiyaları sertifikatlaşdırma proqramı ilə
müqayisədə çox sürətlə inkişaf edir. Əməliyyat sistemlərinin və aparat vasitələrinin yeni versiyaları
meydana çıxır və köhnə versiyalar sertifikatlaşdırmadan keçənə kimi öz satış bazarlarını tapırlar.
Kompüter sistemlərinin təhlükəsizliyinin qiymətləndirilməsi meyarları ilə bağlı problemlərdən
biri şəbəkədə iş mexanizmlərinin kifayət qədər anlaşılmaması ilə bağlı idi. Kompüterlərin
birləşdirilməsi zamanı köhnə təhlükəsizlik problemlərinə yeniləri əlavə olunur. "Narıncı kitabda"
kompüterlərin ümumi şəbəkədə birləşməsi zamanı meydana çıxan problemlərə baxılmır. Yaranan
vəziyyət belədir ki, şəbəkənin varlığı "Narıncı kitab" sertifikatının qanuni qüvvəsini məhv edir.
Cavab tədbiri 1987-ci ildə TNI (Trusted Network Interpretation) və ya "Qırmızı kitabın" meydana
gəlməsi oldu. "Narıncı kitabdakı" bütün təhlükəsizlik tələbləri "Qırmızı kitabda" saxlanıb, şəbəkə
fəzasının ünvanlanmasına və şəbəkənin təhlükəsizliyi konsepsiyasının yaradılmasına cəhd edilib.
Təssüf ki, "Qırmızı kitab" funksionallığı zəmanətlə əlaqələndirirdi Yalnız bir neçə sistem TNI üzrə
qiymətləndirmədən keçmişdi və onların heç biri kommersiya uğuru qazanmamışdı.
«Narıncı kitabın» ardınca 1990-cı ildə işlənmiş və 1995-ci ildə Avropa İttifaqında qəbul edilmiş
«Information Technology Security Evaluation Criteria (ITSEC)» təhlükəsizlik meyarları və
sertifikatlaşdırma metodikalarına əhəmiyyətli təsir göstərdi.
Bu sənədin əsas nailiyyəti – mühafizə vasitələrinin adekvatlığı anlayışının daxil edilməsi və
adekvatlıq meyarları üçün ayrıca şkalanın müəyyən edilməsidir. «Avropa meyarları» hətta mühafizə
vasitələrinin adekvatlığına onların funksionallığından daha çox əhəmiyyət verir. Bu yanaşma
sonradan meydana gələn bir çox informasiya təhlükəsizliyi standartlarında istifadə edilir.
«Narıncı kitab»la yanaşı informasiya texnologiyaları təhlükəsizliyinin «Avropa meyarları» da
kompüter sistemlərinin bir çox təhlükəsizlik standartlarının əsasına qoyuldu.
33
«Ümumi meyarlar» dəfələrlə redaktə olunaraq nəticədə 1999-cu ildə ISO/IEC 15408
«İnformasiya texnologiyalarının təhlükəsizliyini qiymətləndirmə meyarları» adı ilə Beynəlxalq
standart kimi təsdiq olundu.
CC v3.1 Release 4 üç hissədən ibarətdir:
• Hissə 1: Giriş və ümumi model
• Hissə 2: Təhlükəsizlik üzrə funksional tələblər
• Hissə 3: Təhlükəsizlik üzrə zəmanət tələbləri
34
Əsas mühafizə profillərinin qiymətləndirilməsinə təhlükəsizlik təhdidlərinin, mühafizə
məsələlərinin, təhlükəsizlik tələblərinin analizi və onlar arasında uyğunluğun müəyyən edilməsi
daxildir.
Qiymətləndirmə obyektinin analizi iki mərhələdə aparılır: təhlükəsizlik üzrə tapşırığın
qiymətləndirilməsi və TOE-nin qiymətləndirilməsi.
Təhlükəsizlik üzrə tapşırığın qiymətləndirilməsinin məqsədi təhlükəsizlik mexanizmlərinin
spesifikasiyasının (formal, yarıformal və ya qeyri-formal təsvir) Mühafizə Profilinin tələblərinə tam
cavab verməsini və TOE-nin qiymətləndirilməsi üçün əsas kimi istifadə edilməyə yararlı olmasını
nümayiş etdirməkdir;
TOE-nin qiymətləndirilməsi TOE-nin realizəsinin təhlükəsizlik üzrə tapşırıqda olan
spesifikasiyasına uyğunluğunu yoxlamaqdan ibarətdir.
Attestasiya – mürəkkəb, uzunmüddətli və çox resurs tutumlu prosesdir. Bütün AS-in formal
verifikasiyasını və ya ətraflı test edilməsini aparmağın mümkün olmaması səbəbindən attestasiya
sınaqları nəticələrinin yalnız müəyyən adekvatlıq səviyyəsini əldə etməsi haqqında danışmaq olar.
«Ümumi meyarlarda» qiymətləndirmənin adekvatlıq səviyyəsi (EAL – Evaluation Assurance
Level) üçün vahid şkala daxil edilir. Hər bir EAL «Ümumi meyarların» müəyyən adekvatlıq
tələbləri çoxluğu ilə təsvir olunur.
Qiymətləndirmənin adekvatlığının yeddi səviyyəsi daxil edilir: EAL1, EAL2, ..., EAL7. Bu
səviyyələr artma sırası ilə düzülüb.
– EAL1: Funksional testetmə
– EAL2: Structurally tested
– EAL3: Methodically tested and checked
– EAL4: Methodically designed, tested and reviewed
– EAL5: Yarı-formal layihə və testetmə
– EAL6: Yarı-formal verifikasiya edilmiş layihə və testetmə
– EAL7: Formal verifikasiya edilmiş layihə və testetmə.
35
standartı kimi qəbul edildi. ISO 27001 standartı informasiya təhlükəsizliyi sistemlərinin
sertifikastlaşdırılması üçün nəzərdə tutulub.
36
Mühazirə 8. Təşkilatda informasiya təhlükəsizliyinin idarə edilməsi
37
• informasiyanın üçüncü şəxslərə və • kompüterlərin təşkilatdan kənarda
təşkilatlara verilməsi siyasəti; istifadəsi siyasəti.
• resursların təkrar istifadəsi və məhv
edilməsi siyasəti;
38
• işə götürülərkən əməkdaşların şəxsi verilənlərinin yoxlanılması üzrə kadrlar şöbəsi ilə
qarşılıqlı əlaqə
• təşkilat əməkdaşlarının informasiya təhlükəsizliyinin təmin edilməsi metodlarına
öyrədilməsi, təlimatlandırılmaların keçirilməsi, informasiya təhlükəsizliyi siyasətinin yerinə
yetirilməsi üzrə əməkdaşların bilik və praktiki vərdişlərinə nəzarət edilməsi.
• təşkilat menecerlərinə informasiya təhlükəsizliyi risklərinin idarə edilməsi məsələləri,
informasiya təhlükəsizliyi sahəsində qanunvericilik və normativ sənədlərdə olan
dəyişikliklər, texniki yeniliklər və s. üzrə məsləhətlər verilməsi
• təşkilatın daxili sənədlərinin (daxili intizam qaydaları, vəzifə təlimatları, informasiya
sistemlərinin istifadəsi üzrə təlimatlar, müqavilələrin nümunəvi formaları və s.) informasiya
təhlükəsizliyi siyasətinin tələblərinə uyğunluğuna nəzarət, həmçinin bu sənədlərin
təsdiqlənməsi zamanı razılaşdırılması.
39
• istifadəçilər arasında zəruri təhlükəsizlik rekvizitlərinin paylanması;
• qəzadan sonra informasiya sistemlərinin fəaliyyətinin bərasında iştirak.
• təhlükəsizlik xidmәtinin fiziki, texniki vә iqtisadi təhlükəsizliyi tәmin edәn bölmәlәri ilә
informasiya təhlükəsizliyinin tәmin edilmәsinә aid işlәrdә birgә әmәkdaşlıq;
• informasiya təhlükəsizliyinin tәmin edilmәsinә aid işlәrdә şirkәtin şәxsi heyәti vә hüquq
xidmәti ilә әmәkdaşlıq;
• informasiya təhlükəsizliyinin sahəsində ştatdankənar situasiyaların və fövqaladə hadisələrin
aradan qaldırılması üzrə tədbirlərin təşkili
40
• informasiya təhlükəsizliyi sahәsindә ştatdankәnar siyuasiyaların idarә eilmәsindә yüksәk
idarә heyәti ilә birlikdә iştirak;
• təşkilatın fəaliyyətinin həyata keçirilməsi və inkişafı risklərinin qiymətləndirilməsi üçün işçi
qrupların və ekspert şuralarının işində iştirak etmək.
Bərpaetmə işlərini planlaşdırarkən nəzərə almaq lazımdır ki, təşkilatın fəaliyyətini həmişə saxlamaq
mümkün deyil.
Təşkilat üçün kritik vacib funksiyaları aşkarlamaq zəruridir.
Kritik vacib funksiyalar arasında prioritetləri elə müəyyən etmək lazımdır ki, qəzadan sonra iş
mümkün qədər tez və minimal xərclərlə bərpa edilsin.
41
Kritik vacib funksiyaların yerinə yetirilməsi üçün zəruri resursların müəyyənləşdirəndə nəzərdə
tutmaq lazımdır ki, onların çoxu qeyri-kompüter xarakterlidir.
Kritik resurslar
Kritik resurslar adətən aşağıdakı kateqoriyalardan birinə aiddir:
• şəxsi heyət;
• informasiya infrastrukturu;
• fiziki infrastruktur.
Məsul mütəxəssislərin siyahısını tərtib edərkən nəzərdə tutmaq lazımdır ki, onlardan bəziləri
qəzadan bilavasitə əziyyət çəkə bilər (məsələn, yanğından), kimsə stress vəziyyətində ola bilər,
əməkdaşların bir hissəsinin işə gəlib çatmaq imkanı olmaya bilər (məsələn, kütləvi iğtişaşlar
zamanı).
Mütəxəssislərin müəyyən ehtiyatına malik olmaq və ya əlavə şəxsi heyətin müvəqqəti cəlb edilməsi
kanallarını əvvəlcədən müəyyən etmək lazımdır.
İnformasiya infrastrukturu. İnformasiya infrastrukturuna kompüterlər, proqramlar, verilənlər,
özgə təşkilatların informasiya servisləri, sənədlər aiddir.
Qəzadan sonra təşkilatın köçürüldüyü aparat platforması təşkilatda olan platformadan fərqli ola
bilər. Buna görə proqramlar və verilənlər üzrə uyarlığı dəstəkləmək tədbirlərini fikirləşmək
lazımdır.
42
Mühazirə 9. Müdaxilələrin aşkarlanması sistemləri
Müdaxilə anlayışı
• Müdaxilə (ing. Intrusion) – sistemin təhlükəsizlik siyasətini pozan hərəkətlər (fəaliyyət).
• Müdaxilənin aşkarlanması (ing. Intrusion Detection) – müdaxilələri müəyyən etmək üçün
istifadə edilən proses
• Müdaxilələrin aşkarlanması sistemi (Intrusion Detection System, IDS) – müdaxilələrin
aşkarlanması üçün aparat və ya proqram vasitəsi
IDS-lərin tarixi
• 1980-ci il, Ceyms Anderson “Kompüter təhlükəsizliyi təhdidlərinin monitorinqi” məqaləsi
– Anderson J.P., Computer Security Threat Monitoring and Surveillance.
Washington, PA, James P. Anderson Co., February 26, 1980.
• 1986-cı il, Doroti Denninq “Müdaxilələrin aşkarlanması modeli” adlı məqaləsi
– Denning D.E., An Intrusion Detection Model, Proceedings of the 7th IEEE
Symposium on Security and Privacy, May 1986, pp. 119-131.
Sui-istifadələrin aşkarlanması
• Məlum hücumların əlamətlərinə əsaslanır.
• Əlamətlər məlum müdaxilələrdən çıxarılır.
• İnsan biliyini inteqrasiya edir (qaydalar).
• Qaydalar əvvəlcədən müəyyənləşdirilir.
Nöqsanları: Yeni və ya naməlum hücumları aşkarlaya bilmir.
43
Bununla yanaşı, sui-istifadələrin aşkarlanması üçün daha mürəkkəb yanaşmalar da mövcuddur
(state-based adlanan analiz texnologiyaları), bu yanaşmalar hücumlar qrupunu müəyyən etmək
üçün bir siqnaturadan istifadə edirlər.
Anomaliyaların aşkarlanması
Subyektin normal davranışına əsaslanır. Bəzən fərz olunur ki, təlim verilənlərinə müdaxilə
verilənləri daxil deyil.
Normal davranışdan əhəmiyyətli dərəcədə kənarlaşan istənilən hərəkət müdaxilə hesab edilir.
IDS qorunan sistem üçün qiymətləndirmə parametrləri çoxluğu əsasında normal fəaliyyət “obrazı”
formalaşdırır.
Sistemin normal davranışının obrazını formalaşdırmağın üsullarından biri qiymətləndirmə
parametrlərinin qiymətlərini xüsusi strukturda – profildə saxlamaqdır. Profilə qoyulan əsas tələb
minimal uzunluq və yeniləmə əməliyyatının sürətli yerinə yetirilməsidir.
Profil istifadə edilməklə anomaliya aşkarlandıqda əsasən statistik qiymətləndirmə metodları istifadə
edilir. Aşkarlama prosesi aşağıdakı kimi baş verir: profilin cari qiymətlərini əvvəl ölçülmüş
qiymətlə müqayisə edirlər. Müqayisənin nəticəsi – ölçmədə anomallığın göstəricisidir. Sadə halda,
anomallığın ümumi göstəricisi profilin hər bir ölçüsündə olan anomallıq göstəricilərinin müəyyən
funksiyası kimi hesablana bilər.
44
Anomaliyaların aşkarlanması metodları və sistemləri E-box
Hadisələr
Metod Sistem
Statistik metodlar IDES, NIDES, EMERALD
Machine Learning üsulları A-box D-box
o Time-Based inductive Analizator Verilənlər
Machine
o Instance Based Learning R-box
o Neyron şəbəkələri Reaksiya
o …
Data Mining yanaşmaları JAM, MADAM ID
Dorothy Denning (1986-cı il) “An Intrusion Detection Model” məqaləsində IDS komponentlərini
aşağıdakılar baxımından müəyyən edir:
• Subyektlər – fəaliyyətin təşəbbüskarı
• Obyektlər - fəaliyyətin hədəfləri
Profillər – subyektlərin obyektlər üzərində necə əməliyyat apardığını xarakterizə edir (statistik
modellər və ya obrazların tanınması ola bilər)
45
Verilənlər anbarı (D-box, database) – qərar qəbulu və sensor verilənlərinin saxlanması üçün
zəruridir. Bundan başqa, anbarda idarəetmə parametrləri (nəzarət edilən parametrlərin siyahısı,
nəzarətin aparılması tezliyi və s.) və hücumların semantik təsviri də saxlanılır.
Sistemin aşkarlanmış müdaxiləyə reaksiya modulu (R-bох, reaction) – passiv reaksiya zamanı
sistem monitor ekranına məlumat çıxarmaqla, e-mail göndərməklə, mobil telefona zəng etməklə
administratora hücum barədə xəbər verir.
DS-lərin təsnifatı
IDS-də sensorları toplanan informasiyanın xarakterinə görə klassifikasiya edirlər. İnformasiya
sistemlərinin ümumi strukturun uyğun olaraq aşağıdakı sensorları fərqləndirirlər:
• tətbiqi proqram sensorları – qorunan sistemin proqram təminatının işi haqqında verilənlər;
• host sensorları – qorunan sistemdə işçi stansiyanın fəaliyyəti haqqında verilənlər;
• şəbəkə sensorları – şəbəkə trafiki haqqında verilənlər;
• şəbəkələrarası sensorlar – şəbəkələr haqqında verilənlərin xarakteristikalarını toplayır.
HIDS (Host-based IDS) – bir kompüter sistemi çərçivəsində hərəkətləri analiz edir.
NIDS (Network-based IDS) – şəbəkə trafikini izləyir.
HIDS üçün informasiya mənbəyi ƏS, VBİS və tətbiqi proqramların loq-fayllarıdır. Host sensor
hadisələr haqqında informasiyanı birbaşa ƏS-nin, şəbəkələrarası ekran və ya tətbiqi proqramın
nüvəsindən də ala bilər. Təhlükəsizlik serverində yerləşdirilən analizator sensorlardan daxil olan
informasiyanın mərkəzləşdirilmiş toplanmasını və analizini həyata keçirir.
Reaksiya vasitələri şəbəkə monitorinqi stansiyalarında, şəbəkələrarası ekranlarda, serverlərdə və
LAN işçi stansiyalarında yerləşə bilər
Host IDS-lərin üstünlükləri:
• səhv işədüşmələrin sayı azdır.
• siqnatura deyil, aktivlik izlənir, buna görə siqnaturaları daim təzələmək tələb edilmir.
• aldanmaya az meyllidir.
Host IDS-lərin nöqsanları:
• mühafizə edilən hər bir kompüterdə proqram təminatını quraşdırmaq və idarə etmək tələb
edilir.
• həyəcan siqnalı uğurlu hücumdan sonra gəlir; şəbəkə IDS-lər bəzən daha erkən xəbərdarlığı
təmin edir.
Şəbəkə IDS-ləri
NIDS-lər xüsusi proqram təminatı, yaxud xüsusi qurğular (appliance) qurulmuş ayrıca kompüterdən
ibarət olan sensorlar istifadə edir. Hər bir sensor şəbəkəni dinləmə rejimində (promiscuous mode)
işləyən şəbəkə kartına (NIC-Network Interface Card, NIC) malikdir.
Şəbəkə kartı adi rejimdə yalnız bu şəbəkə kartına ünvanlanmış paketləri, geniş yayım (brodcast) və
çoxünvanlı (multicast) paketləri alır. Şəbəkə kartının drayveri paketləri ötürmə mühitindən götürür
və onları emal üçün şəbəkə protokolları stekinə göndərir. Əgər şəbəkə kartı dinləmə rejimindədirsə,
onda şəbəkə kartının drayveri bütün trafiki tutur, bütün paketləri kopyalayır, bir kopyanı protokollar
stekinə, ikinci kopyanı analizatora verir.
NIDS-in üstünlükləri:
• Optimal yerləşdirilmiş bir neçə NIDS böyük şəbəkəyə nəzarət edə bilər.
• NIDS şəbəkənin sürətinə böyük təsir göstərmir. NIDS adətən passiv qurğulardır, şəbəkənin
normal fəaliyyətinə təsir göstərmədən şəbəkə kanalını dinləyirlər. Beləliklə, NIDS-i
yerləşdirmək üçün, adətən, şəbəkənin topologiyasını modifikasiya etmək asan olur.
• NIDS-i hücumlara qarşı praktiki olaraq tam dayanıqlı və ya hətta hücum edənlərə tamamilə
görünməz etmək olar.
NIDS-in nöqsanları:
46
• NIDS böyük və ya trafiki intensiv olan şəbəkədə bütün paketləri emal edə bilmir və deməli,
böyük trafik halında başlamış hücumları aşkarlamaya bilər.
• NIDS-in şəbəkə kommutatorlarına (switch) əsaslanan şəbəkələrə tətbiqi çətindir.
• NIDS şifrlənmiş informasiyanı analiz edə bilmir. Bu problem VPN-dən istifadə edən
təşkilatlar (və hücum edənlər) artdıqca, daha da böyüyür.
• Əksər NIDS-lər hücumun uğurlu olmasını müəyyən edə bilmir; onlar yalnız hücumun
başlaması faktını müəyyənləşdirə bilirlər. Buna görə, NIDS-in hücum siqnalından sonra
administrator real müdaxilənin olmasını müəyyən etmək üçün hücum edilmiş hər bir hostu
analiz etməlidir.
• Bəzi NIDS-lər fraqmentlərə bölünmüş paketlər daxil olan şəbəkə hücumlarını aşkarlamaqda
çətinlik çəkirlər.
IDS-in səhvləri
IDS sistemlərin əsas xarakteristikaları hücumun aşkarlanmaması ehtimalı (false negative) və səhvən
həyəcan siqnalı verilməsi ehtimalıdır (false positive).
• False Positive (Birinci növ səhv) – sistem səhvən həyəcan siqnalı verir. Hücum olması
haqqında xəbər verilir, həqiqətdə isə hücum baş verməyib.
• False Negative (İkinci növ səhv) – IDS informasiya sistemində həqiqətdə baş verən
hücumu aşkarlamadığı halda meydana çıxır.
IDS-lərin tarixi
• 1986 – IDES (Intrusion Detection Expert System)
• 1993 – NIDES (Next-generation IDES)
• 1988 – MIDAS (Multics Intrusion Detection and Alerting System)
• 1988 – Haystack
• 1989 - W&S (Wisdom & Sense)
• 1990 – TIM (Time-based Inductive Machine)
• 1990 – NSM (Network Security Monitor)
• 1990 – ISOA (Information Security Officers Assistant)
• 1991 – DIDS (Distributed Intrusion Detection System)
• 1991 – NADIR (Network Anomaly Detection and Intrusion Reporter)
• 1991 – ASAX (Advanced Security audit trail Analyzer on uniX)
• 1992 – NetSTAT (Network-based State Transition AnalysisTool)
• 1998 – Bro
• 1998 – AAFID (Autonomous Agents for Intrusion Detection)
• 1998 – Snort
• 1999 – NFR (Network Flight Recorder)
• 2001 – ADAM IDS (Audit Data Analysis and Mining IDS)
Snort rejimləri
• paketlərin analizi rejimi – bu rejimdə Snort sadəcə şəbəkədən gələn paketləri oxuyur və
onları ekrana çıxarır.
• jurnal (protokollaşdırma) rejimi – bu rejim paketləri sonradan analiz etmək üçün diskə
yazmağa imkan verir. Snort paketləri IP-ünvanlar üzrə protokollaşdırır, hər bir ünvan üçün
ayrıca kataloq yaradır. Bu müəyyən zaman intervalında analiz aparmaq və ya konfiqurasiya
parametrlərində və təhlükəsizlik siyasətində dəyişikliklərin yoxlanması üçün faydlıdır.
• müdaxilələrin aşkarlanması rejimi – tam funksional şəbəkə IDS-dir (NIDS). Adətən
NIDS rejimində Snort-un konfiqurasiya faylı istifadə edilir.
47
Snort qaydaları
Qaydalar kifayət qədər sadə sintaksisə malikdir:
• < action > < protocol > < first host > < first port > < direction > < second host> <
second port > (< rule options >;)
Məsələn, alert tcp any any → 10.1.1.0/24 80 (content: “/cgi-bin/phf”;msg: “PHF probe!”;)
• Bu qayda müəyyən edir ki, 10.1.1.0/24 şəbəkəsində istənilən ünvanın 80-ci portuna
göndərilən, verilənlər sahəsində “/cgi-bin/phf” sərti olan istənilən TCP seqmenti şübhəlidir
və administratora məlumat göndərilməlidir.
Honeypot və Honeynet
• Honeypot (ing. – bal küpəsi) – bədniyyətli üçün tələ rolunu oynayan resursdur.
• Honeynet – honeypot-ların şəbəkəsidir.
• Honeypot-un vəzifəsi – hücuma və icazəsiz tədqiqata məruz qalmaqdır ki, sonradan
bədniyyətlinin strategiyasını öyrənməyə və real mövcud olan təhlükəsizlik obyektlərinə zərbə
endirməyə kömək edən vasitələrin siyahısını müəyyən etməyə imkan verir.
• Honeypot həm xüsusi ayrılmış server, həm də vəzifəsi hakerləri cəlb etmək olan bir şəbəkə
servisi kimi realizə edilə bilər.
• Honeypot ilə istənilən kənar qarşılıqlı əlaqəyə haker aktivliyi kimi baxılır.
48
• Honeypot kiçik həcmdə informasiya yığır, onu analiz etdikdən sonra hakerlərin istifadə
etdikləri metodların statistikası qurulur, eləcədə hər hansı yeni metodların mövcudluğu
müəyyən edilir ki, onlar sonra bədniyyətlilərlə mübarizədə istifadə edilir.
49
Mühazirə 10. İnformasiya təhlükəsizliyi risklərinin qiymətləndirilməsi metodları
“Risk” sözünün etimologiyası. İngilis dilindəki risk sözü, eləcə də risico, risco, rischio (italyan),
riesgo (ispan), risque (fransız) və risco (portuqal) sözləri latın dilindəki resicum, risicum və
riscus sözlərindən yaranmışdır, mənası sıldırım qaya və ya sualtı qayadır.
Oxşar olaraq, bu latın sözləri yunanca naviqasiya termini olan rhizikon, rhiza sözündən alınıb,
“kök, daş, möhkəm torpaq kəsiyi” mənasını verir.
Güman edilir ki, rhizikon, rhiza sözləri də yunan dilinə mənası "yaşamaq üçün Allah tərəfindən
verilən hər şey" olan “Rizk” vasitəsilə ərəb dilindən keçmişdir.
Qeyri-müəyyənliyin növləri
Qeyd edildiyi kimi, risk – qeyri-müəyyənliyin məqsəd(lər)ə təsiridir.
Sistemin özündə və onu əhatə edən mühitdə bir çox qeyri-müəyyənlik mövcuddur.
Perspektiv qeyri-müəyyənlik ‒ təsadüfi faktorların meydana çıxması;
Retrospektiv qeyri-müəyyənlik ‒ obyektin keçmişdə davranışları haqqında faktların və
informasiyanın olmaması;
Texniki qeyri-müəyyənlik ‒ qəbul edilən qərarların nəticələrini öncədən söyləməyin qeyri-
mümkünlüyü;
Stoxastik qeyri-müəyyənlik;
Təbiətin vəziyyətinin qeyri-müəyyənliyi;
Məqsədyönlü əks-təsirin qeyri-müəyyənliyi ‒ iki və daha çox tərəfin münaqişəsi zamanı
meydana çıxır;
Məqsədlərin qeyri-müəyyənliyi;
Linqvistik qeyri-müəyyənlik;
Hərəkətlərin qeyri-müəyyənliyi.
Maliyyə riskləri
Kredit riski ‒ kontragentin öz öhdəliklərini yerinə yetirə bilməməsi səbəbindən mümkün itkilər
riski.
Əməliyyat riski ‒ əməliyyat heyətinin səhvləri səbəbindən itkilər riski.
Likvidlik riski ‒ öhdəliklərin yerinə yetirilməsini təmin edə bilməmə nəticəsində itkilər riski. Daha
yüksək faizlə əlavə vəsaitlər cəlb etmək lazım olur.
Bazar riski ‒ aktivlərin bazar kotirovkalarının mümkün dəyişməsi və faiz dərəcələrinin dəyişməsi
ilə əlaqədar risk.
50
Risklərin analizi
Hazırda risklərin analizinə müxtəlif yanaşmalar mövcuddur. Yanaşmanın seçilməsi təşkilatda
informasiya təhlükəsizliyinin təmin edilməsinə yürüdülən tələblərin səviyyəsindən, nəzərə alınan
təhdidlərin xarakterindən və informasiyanın qorunması üzrə potensial tədbirlərin effektivliyindən
asılıdır. Xüsusi halda informasiya təhlükəsizliyinin təmin edilməsinə minimal (və ya baza) və
yüksək (və ya tam) tələblər fərqləndirilir.
Minimal tələblərə informasiya təhlükəsizliyinin baza səviyyəsi uyğundur. Bir qayda olaraq belə
tələblər nümunəvi layihə həllərinə tətbiq olunur. Bir sıra standartlar və spesifikasiyalar mövcuddur
ki, onlarda viruslar, avadanlıq səhvləri və imtinaları, avtorizə olunmamış giriş və s. kimi çox
ehtimal edilәn təhdidlərin minimal (etalon) yığını verilir. Bu təhdidlərin neytrallaşdırılması üçün
onların həyata keçirilməsi ehtimalından və resursların boşluqlarından asılı olmadan əks-tədbirlər
mütləq görülməlidir. Beləliklə, baza səviyyəsində təhdidlərin xarakteristikalarına baxmaq məcburi
deyil.
İnformasiya təhlükəsizliyinin pozulması ağır nəticələrə səbəb olduqda informasiya
təhlükəsizliyinə baza tələbləri yetərli olmur və yüksək tələblər irəli sürülür.
Əgər informasiya təhlükəsizliyinə yüksək tələblər irəli sürülürsə, risklərin analizi tam variantda
aparılır, onun çərçivəsində baza tələblərinə əlavə olaraq aşağıdakılara baxılır:
informasiya təhlükəsizliyi baxımından biznes-proseslərin modeli;
təşkilatın aktivləri və onların dəyəri;
təhlükəsizlik təhdidlərinin tam siyahısının tərtib edilməsi − aktivlərə ziyan vura bilən
arzuolunmaz təhdidlərin potensial mənbələri və onların parametrlərinin qiymətləndirilməsi;
boşluqlar − müdafiədə təhdidlərin reallaşmasına rəvac verə bilən zəif yerlər;
təhdidlərin ehtimalını və təhdidlərin təsirindən potensial ziyanı qiymətləndirmək..
Toplanmış məlumatların əsasında təşkilatın informasiya sistemi üçün, onun ayrıca altsistemləri,
verilənlər bazaları və verilənlərin elementləri üçün risklər qiymətləndirilir.
Risklərin
Risklər
Risklərin
Təhlükəsizlik mexanizmləri
51
Dəyişənlər keyfiyyət kəmiyyətləridirsə, onda bu düsturdan birbaşa istifadə etmək olmur.
Keyfiyyət qiymətləndirilməsi daha çox rast gəlinir. Bunun üçün əvvəlcə təhdidlərin başvermə
ehtimalının şkalası və ziyanın həcmi üçün şkala müəyyən edilməlidir.
Ehtimalın təsviri
Yüksək (1) Təhdid mənbəyinin motivasiyası yüksəkdir və potensialı əhəmiyyətlidir, boşluğun
istifadəsinin qarşısını alan mexanizmləır isə effektiv deyil.
52
Orta (0.5) Təhdid mənbəyinin motivasiyası və potensialı vardır, lakin tətbiq edilən
mexanizmlər boşluğun uğurlu istifadəsinə mane ola bilər.
Aşağı (0.1) Təhdid mənbəyinin motivasiyası və potensialı yoxdur və ya tətbiq edilən
mexanizmlər boşluğun istifadəsinin qarşısını ala bilər, yaxud əhəmiyyətli dərəcədə
mane ola bilər.
Təsirin təsviri
Yüksək Boşluğun istifadəsi (1) əsas maddi aktivlərin və ya resursların yüksək xərcli itkiləri ilə
nəticələnə bilər; və ya (2) təşkilatın missiya, nüfuz və maraqlarına əhəmiyyətli
dərəcədə zərər vura bilər; və ya (3) insan ölümü və ya ciddi zədələrlə nəticələnə bilər.
Orta Boşluğun istifadəsi (1) maddi aktivlərin və ya resursların xərcli itkiləri ilə nəticələnə
bilər; və ya (2) təşkilatın missiya, nüfuz və maraqlarına zərər vura bilər; və ya (3)
insanların zədələnməsi ilə nəticələnə bilər..
Aşağı Boşluğun istifadəsi (1) müəyyən maddi aktivin və ya resursun itkisi ilə nəticələnə
bilər; və ya (2) təşkilatın missiya, nüfuz və maraqlarına hissedilən təsir edə bilər.
OCTAVE metodu
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evolution) – təşkilatda
informasiya təhlükəsizliyi risklərinin qiymətləndirilməsi metodikasını Karnegi-Mellon
Universitetinin Proqram Mühəndisliyi İnstitutu (Software Engineering Institute, SEI) yaratmışdır.
Metodikanın tam təsviri www.cert.org/octave saytında var. Ona bir sıra elmi və elmi-texniki
məqalələr də həsr edilib.
Bu metodikanın xüsusiyyəti ondan ibarətdir ki, bütün analiz prosesi kənar məsləhətçilər cəlb
edilmədən, təşkilat əməkdaşlarının qüvvəsi ilə aparılır. Bunun üçün həm texniki mütəxəssislər, həm
də müxtəlif səviyyə menecerləri cəlb edilməklə qarışıq qrup yaradılır, bu təhlükəsizlik sahəsində
mümkün insidentlərin biznes üçün nəticələrini hərtərəfli qiymətləndirməyə imkan verir.
OCTAVE risk analizinin üç fazasını təklif edir:
1. Aktivlə əlaqəli təhdidlərin profilinin işlənməsi;
53
2. İnfrastruktur boşluqlarının identifikasiyası;
3. Təhlükəsizlik strategiyalarının və planlarının işlənməsi.
Təhdid profilində aktiv, aktivə girişin növü, təhdidin mənbəyi, pozuntunun növü və ya motivi,
nəticə və ümumi istifadə kataloqlarında təhdidin təsvirinə istinad göstərilir.
Təhdidin nəticəsi informasiya resursunun üstünün açılması (disclosure), dəyişdirilməsi
(modification), itkisi və ya məhvi (loss/destruction), əlaqənin kəsilməsi, xidmətdən imtina
(interruption) ola bilər.
OCTAVE metodikasına görə ikinci faza – infrastruktur boşluqlarının identifikasiyasıdır. Bu
faza gedişində aktivin mövcudluğunu dəstəkləyən infrastruktur və aktivə giriş əldə etməyə imkan
verən əhatə müəyyən edilir (məsələn, lokal şəbəkənin müvafiq seqmenti), (məsələn, əgər bu kadrlar
şöbəsinin verilənlər bazasıdırsa, onunla işləmək üçün server, işçi stansiyalar lazımdır). Aşağıdakı
sinif komponentlərinə baxılır: serverlər, şəbəkə avadanlığı, informasiya mühafizəsi vasitələri, fərdi
kompüterlər, mobil kompüterlər, naqilsiz qurğular, saxlama sistemləri, məsafədən işləyən
əməkdaşların kompüterləri və.s.
Analiz aparan qrup şəbəkənin hər bir seqmentində hansı komponentlərdə boşluqların
yoxlanılmasını müəyyən edir. Boşluqlar əməliyyat sistemləri, şəbəkələr üçün təhlükəsizlik
skanerləri ilə, xüsusi skanerlərlə (konkret veb-serverlər, verilənlər bazaları və s.) yoxlanılır.
CRAMM metodu
CRAMM (Critical Risk Analysis and Management Methodolgy) metodu Böyük Britaniya
Təhlükəsizlik Xidməti (UK Security Service) tərəfindən Britaniya hökumətinin tapşırığı ilə
yaradılmış və dövlət standartı kimi qəbul edilmişdi. 1985-ci ildən başlayaraq hökumət və
kommersiya təşkilatları tərəfindən istifadə edilir. Hazırda CRAMM metodunu realizə edən eyniadlı
proqram məhsulu da var və bu metod bütün dünyada populyarlıq qazanmışdır.
CRAMM proqram təminatının müxtəlif təşkilat növləri üçün nəzərdə tutulmuş versiyaları bir-
birindən öz biliklər bazaları (profilləri, ing. profiles) ilə fərqlənir. Kommersiya təşkilatları üçün
kommersiya profili (ing. commercial profile), dövlət təşkilatları üçün dövlət profili (ing. goverment
profile) var.
CRAMM metodunda risklərin qiymətləndirilməsi üç mərhələdə yerinə yetirilir. Birinci
mərhələdə informasiya sistemlərinin resursları identifikasiya edilir və qiymətləndirilir. İkinci
mərhələdə təhdidlər və boşluqların mövcud səviyyələri qiymətləndirilir və risk səviyyələri
hesablanır. Üçüncü mərhələdə adekvat əks-tədbirlər seçilir.
Riskin emalı
54
Risk qiymətləndirildikdən sonra onun emalı barədə – daha dəqiq deyilsə, riskin minimallaşdırılması
üzrə tədbirlərin və vasitələrin seçilməsi və reallaşdırılması barədə qərar qəbul edilməlidir.
Qərar qəbul edilərkən, riskin qiymətləndirilmiş səviyyəsi ilə yanaşı, təhlükəsizlik mexanizmlərinin
tətbiqinə və istismarına çəkilən xərclər, rəhbərliyin siyasəti, reallaşdırılmasının sadəliyi, ekspertlərin
rəyləri və s. nəzərə alına bilər. Riskin emalının dörd üsulundan birinin seçilməsi təklif edilir:
• Riskin azaldılması (ing. risk mitigation)
• Riskin transferi (bölüşdürülməsi) (ing. risk transfer)
• Riskin qəbulu (ing. risk acceptance)
• Riskdən imtina (ing. risk avoidance)
Riskin azaldılması. Risk yolverilməz hesab edilir və onun azaldılması üçün müvafiq təhlükəsizlik
tədbirləri və vasitələri seçilir və reallaşdırılır.
Risklərin bir çoxunu olduqca sadə və ucuz əks-tədbirlərin hesabına xeyli azaltmaq mümkündür.
Məsələn, parolların savadlı idarə edilməsi icazəsiz giriş riskini azaldır.
Risklərin müəyyən siniflərindən yayınmaq olar. Məsələn, xarici veb-serveri təşkilatın lokal
şəbəkəsinin hüdudlarından kənara çıxarmaq lokal şəbəkəyə veb-kliyentlər tərəfindən avtorizə
olunmamış giriş risklərindən qaçmağa imkan verir.
Risklərin bəzilərini nəzərə alınmayacaq kiçik qiymətə qədər azaltmaq olmur. Praktikada tədbirlərin
standart çoxluğu qəbul edildikdən sonra bəzi risklər azalır, lakin yenə də əhəmiyyətli səviyyədə
qalırlar. Buna görə də qalıq riskin kəmiyyətini bilmək zəruridir. Bu mərhələnin yerinə yetirilməsi
nəticəsində nəzərə alınan risklər üçün risklərin idarə edilməsi strategiyası təklif olunmalıdır.
Riskin transferi - Əgər riskdən yayınmaq və ya onu effektiv azaltmaq mümkün olmursa, onda
riskin xarakterini dəyişmək müəyyən sığortalama tədbirləri görmək olar:
– avadanlığın yanğından sığortalanması;
– hesablama texnikası vasitələri təchizatçıları ilə müşaiyətetmə və ştatdankənar vəziyyət
halında ziyanın kompensasiyası haqqında sazişlərin imzalanması.
Riskin qəbul edilməsi. Risk bəzi hallarda şüurlu olaraq (düşünülərək) məqbul hesab edilir —
təşkilat mümkün nəticələrlə barışmalı olur. Adətən bu o deməkdir ki, əks-tədbirlərin xərcləri
təhdidin reallaşması zamanı olan maliyyə itkilərindən çoxdur və ya təşkilat müvafiq təlükəsizlik
tədbirləri və vasitələri tapa bilmir.
Riskdən imtina. Riskin səbəbi olan biznes-proseslərdən imtina edilməsi. Məsələn, İnternet ilə
elektron ödənişlərdən imtina edilməsi.
55
Mühazirə 11. İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi
İnsident anlayışı
“İnformasiya təhlükəsizliyi insidenti” anlayışının müxtəlif təriflərinə rast gəlmək mümkündür.
Geniş mənada informasiya təhlükəsizliyi insidenti informasiya sistemində baş verən istənilən
qanunsuz, icazə verilməyən (o cümlədən, informasiya təhlükəsizliyi siyasəti ilə) və ya qəbul
edilməz hərəkətlərə deyilir.
İnformasiya təhlükəsizliyi insidentlərinin idarə edilməsi üzrə ISO/IEC TR 18044 standartında
insident anlayışı bir qədər dar mənada işlədilir. Bu standartda informasiya təhlükəsizliyi hadisəsi
anlayışı daxil edilir və onun vasitəsi ilə informasiya təhlükəsizliyi insidenti anlayışına tərif verilir:
İnformasiya təhlükəsizliyi hadisəsi sistem, xidmət və ya şəbəkənin informasiya təhlükəsizliyi
siyasətinin mümkün pozuntularını və ya mühafizə tədbirlərinin sıradan çıxmasını göstərən müəyyən
vəziyyətinin məlum təzahürü, yaxud da təhlükəsizliklə bağlı ola biləcək, əvvəllər məlum olmayan
vəziyyətinin meydana çıxmasıdır.
İnformasiya təhlükəsizliyi insidenti bir və ya bir neçə arzuolunmaz və ya gözlənilməz
informasiya təhlükəsizliyi hadisəsinin nəticəsi olan və biznes-əməliyyatları nüfuzdan salma və
informasiya təhlükəsizliyinə təhlükə yaratma ehtimalı böyük olan hadisədir.
Qeyd. Hazırda ISO/IEC TR 18044 standartı aşağıdakı standartlarla əvəz edilmişdir
ISO/IEC 27035-1:2016 İnsident menecmentinin prinsipləri
ISO/IEC 27035-2:2016 İnsident cavablandırılması üçün plan və hazırlıq qaydaları
ISO/IEC 27035-3 İKT insident cavablandırma əməliyyatları üçün qaydalar (ilkin versiya)
İnformasiya təhlükəsizliyi insidentlərinin aşağıdakı kateqoriyalarını və misal olaraq aşağıdakı
hadisələri göstərmək olar.
Daha bir neçə vacib terminə də baxaq. İnsidentlərin emalı (ing. incident handling), insidentlərin
cavablandırılması (ing. incident response), insidentlərin idarə edilməsi (ing. incident management)
kimi terminlər tez-tez işlədilir.
İnsidentlərin emalına insidentlərin aşkarlanması (hadisələr, insidentlər, həyəcan siqnalları
haqqında məlumatların alınması və analizi), sistemləşdirmə (insidentlərə prioritetlərin verilməsi),
analiz (nə baş verib, ziyan nə qədərdir, hansı təhdidə səbəb ola bilər, dəf etmək və bərpa üçün hansı
addımlar lazımdır) və insidentlərin cavablandırılması (planlaşdırma, koordinasiya və həyata
keçirilmə, koordinasiya və informasiyanın yayılması, əks-əlaqə və dərs çıxarma) daxildir.
İnsidentlərin idarə edilməsi təkcə insidentlərin emalı və insidentlərin cavablandırılmasını deyil,
onların qarşısının alınmasına yönəlmiş fəaliyyəti də bildirir. Bu fəaliyyətə boşluqların idarə
edilməsi, artefaktların idarə edilməsi, istifadəçilərin təlimi və məlumatlılıq səviyyəsinin artırılması
daxildir.
CERT-komandaları
İnformasiya təhlükəsizliyi insidentlərinə qarşı mübarizə vasitələrindən biri də Kompüter
İnsidentlərinə Qarşı Mübarizə Komandaları (Computer Emergency Response Team, CERT) kimi
qrupların təşkilidir. Hazırda müxtəlif ölkələrdə çox sayda CERT komandası fəaliyyət göstərir.
CERT termini ABŞ-da rəsmi qeydiyyatdan keçirilmişdir və müəlliflik hüququ Karnegi-Mellon
Universitetinə məxsusdur. Avropada daha çox CSIRT termini işlədilir (Computer Security and
56
Incident Response Team, Kompüter təhlükəsizliyi insidentlərini cavablandırma qrupu). Hazırda
Avropada 100-dən artıq CSIRT mövcuddur, onların siyahısını Trusted Introducer (TI) qurumu
tərtib edir.
Dünyada CERT-komandalarının əlaqələndiricisi kimi FIRST forumu çıxış edir (Forum of
Incident Response and Security Teams).
CSIRT-lər xidmət göstərdikləri sektorlara görə dövlət, hərbi, milli, akademik, kritik
infrastruktur, kommersiya, qurumdaxili (ing. self-service), kiçik və orta biznes, ticarət olmaqla
təsnif olunur.
Milli CSIRT – Milli səviyyədə işləyən CSIRT informasiya təhlükəsizliyi üzrə əsas
əlaqələndirici kimi çıxış edir. Milli CSIRT bir və ya bir neçə ölkəyə təsir edən böyük miqyaslı və/və
ya kritik informasiya təhlükəsizliyi insidentlərinin cavablandırılması ilə məşğul olur. Kritik
informasiya təhlükəsizliyi insidentləri iqtisadiyyata, kritik infrastruktura, dövlətin fəaliyyətinə və
milli təhlükəsizliyə təsir göstərə bilərlər. Təbiətlərinə görə, bu insidentlər çox zaman bir deyil, bir
neçə təşkilata təsir edir.
CSIRT xidmətləri
CSIRT-lərin göstərdikləri xidmətləri əsasən üç qrupda birləşdirmək olar
1) İnsidenti cavablandırma xidmətləri – CSIRT-in əsas xidmətidir. Bu xidmətlərə aşağıdakılar
daxildir:
Xəbərdarlıq xidməti təhlükəsizlik boşluğu, müdaxilə, kompüter virusu və s. kimi
problemlərin həlli üçün məlumat verilməsini və cavablandırma metodlarının təqdim
edilməsini nəzərdə tutur.
İnsidentlərin emalı xidməti – insident bildirişlərinin alınmasını, nizamlanmasını və
cavablandırılmasını, insidentlərin və hadisələrin analizini və prioritetinin müəyyən
edilməsini əhatə edir.
Boşluqların analizi və emalı xidməti – aparat vasitələrinin və proqram təminatının boşluğu
haqqında məlumatların alınmasını, boşluğun təsirlərinin analizini, boşluğun aşkarlanması və
aradan qaldırılması üçün cavablandırma strategiyasının işlənməsini nəzərdə tutur.
Artifakt analizi və emalı xidməti kompüter virusları, troya atları, soxulcanlar, skriptlər və
istifadə edilmiş digər alətlərlə əlaqədar artefaktların analizi, cavablandırılması,
koordinasiyası və emalından ibarətdir.
2) Profilaktika xidmətləri – təhlükəsizliklə bağlı xəbərlər, texnologiyaların izlənməsi,
təhlükəsizliyin qiymətləndirilməsi və auditi, təhlükəsizlik vasitələrinin, tətbiqi proqramların,
infrastrukturun və servislərin sazlanması, təhlükəsizlik alətlərinin yaradılması, müdaxilələrin
aşkarlanması, təhlükəsizliklə əlaqəli məlumatların yayılması
3) Təhlükəsizliyin keyfiyyətinin idarə edilməsi xidmətləri – risklərin analizi, biznes-proseslərin
fasiləsizliyinin və qəzalardan sonra bərpaetmənin planlaşdırılması, təhlükəsizlik konsaltinqi,
maarifləndirmə tədbirləri, təhsil və təlimlər, məhsulların qiymətləndirilməsi və ya
sertifikatlaşdırılması.
57
Cədvəl 11.1. İnsidentləri cavablandırma prosesləri
CSIRT praktikasında ən çox istifadə olunan modellərdən birini ətraflı araşdıraq. Bu model adı ilə
məhşurdur və insidentlərin emalı 4 əsas mərhələdə gerçəkləşir:
1. İnsidentin aşkarlanması (və qeydiyyatı): İnsident haqqında məlumat verilir və ya insident
hər hansı bir araşdırma vasitəsilə və ya alətlə aşkarlanır.
2. İnsidentin sinifləndirilməsi (ing. triage): İnsident qiymətləndirilir, sinifləndirilir, prioriteti
müəyyən olunur və emal üçün bilet (ticketing) açılır.
3. İnsidentin analizi: İnsident araşdırılır, baş verənlər müəyyənləşdirilir, insidentin təsir sahəsi
analiz olunur.
4. İnsidentin bağlanması (ing. insident closure): İnsident emal edilir, problem həll olunur,
nəticə barədə məlumat verilir.
Bu mərhələlərin ətraflı analizi aşağıdakı kimidir.
İnsidentin aşkarlanması və qeydiyyatı
İnsident haqqında məlumat iki yolla əldə edilir. İnsident hər hansı şəxs tərəfindən xüsusi
araşdırma və ya alətlər vasitəsilə əldə edilir və ya insident haqqında kənardan məlumat daxil olur.
Bu iki mərhələnin sxematik təsviri şəkil 11.1-də verilir.
İnsident haqda
məlumat
Yox
İnsident İnsident qeydə
realdır? alınmır
Yox İnsident qeydə
Hə alınmır
Hə
Hə İnsident digər CERT-ə
yönləndirilir
Bu insident
barədə daha İnsident digəri ilə
öncə məlumat Hə əlaqələndirilir
verilib?
Yox
İnsidentin qeydiyyatı
Növbəti mərhələlər
Şəkil 11. 1.
58
İlk növbədə daxil olan məlumatın real olub-olmaması yoxlanılır. Daha sonra məlumat verilən
insidentin CSIRT-in xidmət sahəsinə aid olub-olmadığı müəyyən edilir. Əgər insident CSIRT-in
xidmət sahəsinə aid deyilsə, tanıdığı digər CSIRT-in xidmət sahəsidirsə, insident barədə onlar
məlumatlandırılır. Burda ən vacib məsələlərdən biri insident barədə digər qurum və ya CSIRT-i
məlumatlandırarkən konfidensiallığa riayət olunması məsələsidir. Bu mövzu növbəti mərhələlərdə
ətraflı şərh olunur. Əgər insident CSIRT-in xidmət sahəsinə aiddirsə, o zaman bu insident barədə
daha öncə məlumat verilib-verilmədiyi yoxlanılır. Əgər insident barədə təkrar məlumat daxil olursa,
həmin insident daha öncə daxil olmuş insident ilə əlaqələndirilir. Əgər insident yenidirsə, o
qeydiyyata alınır və növbəti mərhələlərə yönləndirilir. Qeydiyyat mərhələsi burada ən əsas
məsələlərdən biridir. Qeydiyyat üçün xüsusi insident qeydiyyatı proqramlarından istifadə edilə bilər
və ya CSIRT öz sistemini yarada bilər. Əsas məsələ sistemin asan başa düşülən olması, sistemdə bir
çox seçimlərə görə süzgəcləmə imkanının olmasıdır. Süzgəcləmə insidentlərin araşdırılması,
analizi, bir-biri ilə əlaqəsinin müəyyən edilməsi baxımından ən çox istifadə olunan alətlərdən
biridir. İnsidentlərin qeydiyyat proqramı veb texnologiyalara əsaslanırsa, onun təhlükəsizliyi
(informasiya sızması və s.), kənar müdaxilələrdən və spamlardan qorunması diqqətə alınması vacib
olan əsas məsələlərdən biridir.
İnsidentin sinifləndirilməsi
“Triage” sözü fransız dilindən götürülmə bir söz olub, tibbi termindir. Mənası məhdud
imkanlarla xəstələrə ilkin diaqnoz qoymaq və xəstələri xəstəliyin ağırlığına görə qruplaşdıraraq
növbəyə qoymaqdır. Məhz insidentə yanaşma da bu tərzdə aparılmalıdır. Bütün bu mərhələlərə bir-
bir nəzər yetirək.
‒ İlk öncə əldə edilmiş insidentin doğruluğu və CSIRT-in xidmət sahəsinə aid olması müəyyən
edilir.
‒ Daha sonra insindentin növü müəyyənləşdirilir və insident sinifləndirilir. Adətən, ilkin
sinifləndirmə ya insident haqqında məlumat verən tərəfindən, ya da insidenti qəbul edən
tərəfindən aparılır.
‒ Növbəti addım qeydiyyata alınmış insidentin vaciblik dərəcəsini müəyyənləşdirməkdir. Vaciblik
dərəcəsinin müəyyənləşdirilməsində bir çox vasitələrdən istifadə edilə bilər. Bunlardan biri də
kart sistemidir. Kart sistemi iki formada qurula bilər. Bunlardan biri insidentin ciddiliyinə,
vacibliyinə görə olan sinifləndirmədir (cədvəl 1).
Digər kart sistemi isə xidmət sahəsinin və ya istifadəçilərin vaciblik dərəcəsinə görə kart
sinifləndirməsi sistemidir (cədvəl 2).
59
İlkin sinifləndirmədən sonra növbəti mərhələ analiz və qərar mərhələsidir. Bu mərhələ daha
uzun çəkən bir araşdırma prosesindən keçir ki, bəzən nəticə əldə etmək üçün bu prosesi bir neçə
dəfə təkrar keçmək lazım gəlir. Proses 5 mərhələdən ibarətdir: məlumatların təhlili, qərarın tədqiqi,
müəyyən fəaliyyət planının təklifi, fəaliyyət planının həyata keçirilməsi, insidentin aradan
qaldırılması və zərərin bərpası.
Məlumatların təhlili: Məlumatın təhlili zamanı ilkin görüləcək iş, əlaqədar tərəfləri
məlumatlandırmaq və onlardan lazımı məlumatları əldə etməkdir. Çünki insident haqda məlumat
verənlər həmişə insidentdən zərərçəkmiş tərəflər olmur. Bir çox hallarda insidentdən zərəçəkmiş
tərəfin insidentin baş verməsindən xəbəri olmur, insident haqqında məlumat 3-cü tərəf vasitəsi ilə
alınır. Tərəflərin məlumatlandırılması zamanı onlara insident barədə ilkin məsləhətlər və insidentin
aradan qaldırılması üçün görüləcək işlər barədə ilkin məlumat verilə bilər. İnsident təhlili üçün əsas
məsələlərdən biri tərəflərdən mümkün qədər maksimum informasiya əldə etməkdir. Bu informasiya
insidentin baş verməsinin detallarının açıqlanması, əlaqə vasitələri, loqlar, insidentin dəqiq
başvermə zamanı, əməliyyat sistemləri, şəbəkə sazlamaları, təhlükəsizlik vasitələrindən (məsələn,
antivirus, şəbəkələrarası ekran) istifadə və s. ola bilər.
Qərarın tədqiqi: Qərarın tədqiqi zamanı əsas faktorlardan biri bu tipli insidentlə əvvəlcə
qarşılaşmaqdır. Əgər bu tipli insident daha öncə baş veribsə, bu insident haqqında qeydiyyat
bazasında əldə edilmiş praktik bilgilərdən qərarın tədqiqi prosesində istifadə etmək mümkündür.
Əgər bu sahədə praktik bilgilər yoxdursa, baş vermiş insidentlərin araşdırılmasına və digər CSIRT-
lərin praktik bilgilərindən faydalanmağa ehtiyac yaranacaq.
Müəyyən fəaliyyət planının təklifi: Bu mərhələdə qəbul edilmiş hər bir konkret və praktiki
tapşırıq insidentdə iştirak edən bütün tərəflərə çatdırılmalıdır. Hədəf tərəf texniki əməkdaş olmaya
da bilər və təqdim edilmiş təkliflərdən heç nə anlamaya bilər. Buna görə də təkliflər və atılacaq
addımlar yuxarıda daha öncə göstərilən, məlumatlandırılması lazım olan tərəflərə onların
anlayacağı formada və aidiyyatı məlumatlar olmaq üzrə çatdırılmalıdır.
Fəaliyyət planının həyata keçirilməsi: CSIRT-in qərarının və təkliflərinin nə olmasından
asılı olmayaraq bir məsələni bilməlidir ki, CSIRT-in başqalarının nə edəcəyinə qərar vermək üçün
səlahiyyətləri məhduddur. Optimistik yanaşma odur ki, bütün tərəflər CSIRT-in təklifi ilə
razılaşacaq və CSIRT-in dediklərini yerinə yetirəcək. Bütün bunlarla yanaşı bəzi ilkin yoxlama
vasitələri var ki, CSIRT bu vasitələrlə fəaliyyət planının həyata keçirilməsinə nəzarət edə bilər.
Fəaliyyət planının həyata keçirilməsinə nəzarət aşağıdakı sualları cavablandırmaqla müəyyən edilə
bilər: Hücumun hədəfləndiyi xidmət aktiv və ya deaktivdir? Hücumun hədəfləndiyi xidmətdə
mövcud boşluqlar aradan qaldırılıb ya yox? Süzgəclənməsi nəzərdə tutulan trafik hələ də şəbəkədə
özünü göstərir ya yox?
İnsidentin aradan qaldırılması və zərərin bərpası: Bütün görülən işlərin bir əsas məqsədi var:
insidentin aradan qaldırılması və zərərin bərpasıdır. Yəni hər hansı bir xidmətə və ya sistemə hücüm
olmuşdursa, insidentin aradan qaldırılması sistemin əvvəlki işlək vəziyyətinə qaytarılması və
faəliyyətinin fasiləsizliyinin təmin edilməsidir.
İnsidentin bağlanması
Nəticələri və səbəbləri yetərli şəkildə aradan qaldırılmış informasiya təhlükəsizliyi
insidentlərini bağlamaq olar. Əgər insident bağlanırsa, onda bu barədə bütün maraqlı tərəfləri
məlumatlandırmaq zəruridir. İnsidentin bağlanması prosesində tətbiq edilmiş həllərin effektivliyi,
insident haqqında qeydiyyatın dəqiqliyi və dolğunluğu da yoxlanır.
İnsidentin bağlanması mərhələsi aşağıdakılardan ibarətdir:
Yekun məlumatlandırma: İnsidentin bağlanması zamanı insident haqqında qısa məlumat,
görülən tədbirlərin nəticəsi, aşkarlanan əsas boşluqlar və məsləhətlər yazılaraq tərəflərə ötürülməli
və insidentin bağlanması barədə tərəflər məlumatlandırılmalıdır.
Yekun sinifləndirmə: İnsidenti bağlayarkən, insidentə verilmiş ilkin sinif kateqoriyasının
düzgünlüyünü yoxlamaq lazımdır. Əgər insidentin kateqoriyası düzgün təyin edilməyibsə, onda
qeydiyyat yazısında düzgün kateqoriyanı göstərmək lazımdır. Əgər insident haqqında yazıda
60
informasiya çatışmırsa, onda zəruri informasiya əlavə edərək insident haqqında yazının
dolğunluğunu təmin etmək lazımdır..
Arxivləşdirmə: İnsident bağlandıqdan sonra onu arxivləşdirmək lazım gəlir. Arxivləşdirmə
əməliyyatı elə aparılmalıdır ki, gələcəkdə oxşar insidentlər baş verdikdə həmin insident numünə
kimi arxivdə daha rahat axtarılan və məlumatlar daha əlçatan olsun. Bunun üçün arxivləşdirmədə
insidentin klassifikasiyasına, qeydiyyat tarixinə və parametrlərə görə süzülməsini təmin etmək
lazımdır. Təbii ki, arxivləşdirmə zamanı nəzərə alınacaq digər məsələ backup və şifrləmə
əməliyyatıdır. Yadda saxlamaq lazımdır ki, insidentin emalı zamanı istifadə olunan məlumatlar
konfidensial məlumtlardır. İnsidentin klassifikasiyaya uyğun arxivləşdirilməsi aşağıdakı CSIRT-
taksonomiyaya uyğun aparıla bilər.
İnsidentin aradan qaldırılması üzrə həll tətbiq edildikdən sonra tətbiq edilmiş həlli yoxlamaq
zəruridir. Adətən, belə yoxlama həlli tətbiq edən qrup tərəfindən yerinə yetirilir. Zəruri olduqda,
həllin yoxlanması üçün istifadəçi ilə də əlaqə saxlanır. İnsidentin bağlanması prosesinin sonuncu
mərhələsində insidentin təkrar baş verməsi ehtimalı müəyyən edilir və uyğun bağlanma kateqoriyası
göstərilir.
İnsidentlə əlaqədar hadisələr, müraciətlər və ya dəyişikliklər olduqda, insident bağlanmır və
insidentin əlavə emalı tələb edilir. Məsələn, əgər insidentlə əlaqəli məhkəmə işi bağlanmırsa, onda
insident də bağlanmır.
Vacib yeni informasiya aldıqda insidenti yenidən açmaq və ya başqa insidentlə birləşdirmək
olar. Əgər bu əvvəlki təhqiqatın davamı deyilsə, yeni insindet açmaq daha yaxşı olardı.
61
Sübutların toplanması gündəliyində insidentin təhqiqatı zamanı edilən hər şey qeydə alınır.
Eyni zamanda sübutların toplanması nəticələri də qeydiyyata alınır.
Siyasətlərin yoxlanması zamanı əsas məsələ sübutların toplanması üçün səlahiyyətlərin olub-
olmamasını aydınlaşdırmaqdır.
Sübutların toplnaması strategiyasında hansı informasiyanın toplandığı, verilənlərin tipi,
sübutların toplanması üçün alətlər, sübutların toplanması nəticələrinin saxlanacağı yer, hansı giriş
hüquqlarının tələb edildiyi, periferiya qurğularının növləri, şəbəkəyə qoşulma və s. aydınlaşdırılır.
Verilənlər operativ yaddaşda (RAM), daimi yaddaşda, fləş-yaddaşlarında, Zip, Jazz, Firewire
(IEEE 1394), optik və maqnit daşıyıcılarında, “qeyri-standart” qurğularda, smartfonlarda, iPod (və
digər pleyerlərdə), Xbox, PSP, USB-saatlarda və s. saxlana bilər.
İnformasiya daşıyıcıları üzrə nəzərə almaq lazımdır ki, onlar qidalanmanın kəsilməsinə,
elektromaqnit və işıq təsirlərinə, yüksək və aşağı temperatura, yüksək nəmişliyə, statik elektrikə
qarşı həssasdırlar. Onları etibarlı yerdə tədqiq etmək və saxlamaq lazımdır. Bəzi qurğular yuxu
rejiminə gedə və sonra parol istəyə bilərlər.
Sübutların olduğu/saxlandığı yerlərin bir çoxu daimi elektrik mənbəyi tələb edir. Onlar
kəsildikdə sübutlar itə bilər. Fərdi kompüterdə sistemi ani olaraq söndürmək və sonra sistemin
surətini yaratmaq və onu analiz etmək tövsiyə edilir. Ani söndürmə zamanı UPS olmadığına əmin
olmaq və elektrik şəbəkəsindən ayırmaq lazımdır.
Sübutların toplanması prosesinə başlanması mərhələsi etibarlı yüklənməni, ötürmə və
saxlama metodlarını, nəticələrin tamlığını, analiz mühitinin dəyişməzliyini əhatə edir.
Sübutların toplanması zamanı bütün hərəkətlər (vaxt, zaman, daxil edilən komandaların
tarixi) qeydiyyata alınır. Bütün komandaların və alətlərin işə salınma vaxtı izlənir (loqların sonrakı
analizi üçün). Analiz edilən sistemin tipindən – əməliyyat sistemi, tətbiqi proqram, verilənlər
bazasını idarəetmə sistemi (VBİS), şəbəkə avadanlığı, mobil qurğular, printerlər və s. çıxış edərək
bütün zəruri məlumatlar toplanır.
İnformasiya təhlükəsizliyi insidentinə aid sübutların toplanması proseduru daxili reqlament
şəklində işlənməli və CERT-komandasının hər bir üzvünün və insidentin təhqiqatına cəlb edilmiş
bölmələrin mütəxəssislərinin diqqətinə çatdırılmalıdır.
İşıqfor protokolu
İşıqfor protokolu (Traffic Light Protocol, TLP) – informasiya təhlükəsizliyi insidenti haqqında
konfidensial informasiyanın yayılma auditoriyasını göstərmək üçün işarə sistemidir. İnformasiya
dörd rəngdən biri ilə işarələnir:
Rəng Paylaşılma şərtləri
Qırmızı Olduqca konfidensial informasiya; informasiyanın hazırlanması prosesinin
iştirakçılarından başqa heç bir əməkdaş və ya qurum arasında yayıla bilməz.
İnformasiyanın paylaşılması üçün bütün iştirakçıların imzası tələb olunur.
Sarımtıl Məhdud yayılma; paylaşılması lazım olduqda informasiyanı alan şəxs yalnız öz
təşkilatı daxilində paylaşa bilər.
Yaşıl Geniş yayılma; müəyyən icma daxilində geniş yayıla bilər, lakin KİV-də nəşr oluna
bilməz.
Ağ Qeyri-məhdud yayılma; müəlliflik hüququ qorunmaqla yayılması sərbəstdir.
62
Mühazirə 12. İnformasiya təhlükəsizliyinin auditi
Audit termininin etimologiyası. Hələ bizim eradan təxminən 200 il əvvəl Roma imperiyasında
kvestorlar (maliyyə və məhkəmə işlərinə baxan vəzifəli şəxslər) əyalətlərdə dövlət mühasiblərinə
nəzarəti həyata keçirirdilər. Kvestorların hesabatları Romaya göndərilirdi və ekzamenatorlar
tərəfindən dinlənilirdi. Bu praktika nəticəsində “auditor” termini (latınca “dinləmək”) meydana
çıxmışdı.
Information technology — Security techniques — Guidelines for information security
management systems auditing
Auditin tərifi
Hazırda informasiya təhlükəsizliyi nəzəriyyəsində auditin qərarlaşmış tərifi yoxdur.
İnformasiya sistemində informasiya təhlükəsizliyinin auditi termini ingilis dilli ədəbiyyatda
belə izah edilir:
• İnformasiya sistemində informasiya təhlükəsizliyinin auditi aşağıdakıları müəyyən
etməyə imkan verən məlumatların toplanması prosesidir:
– təşkilatın resurslarının (verilənlər daxil olmaqla) təhlükəsizliyi təmin olunurmu;
– verilənlərin tamlığının və əlyetərliyinin zəruri parametrləri təmin olunurmu;
– informasiya texnologiyalarının effektivliyi sahəsində təşkilatın məqsədlərinə nail
olunurmu?
Beləliklə, bu tərifdə audit informasiya təhlükəsizliyi sisteminin yoxlanmasına və onun
nəticələrinin müəyyən idealla müqayisəsinə gətirilir.
Auditin növləri
Auditin iki əsas növünü fərqləndirirlər:
• daxili (yalnız təşkilat əməkdaşlarının qüvvəsi ilə həyata keçirilir) və
• xarici (kənar təşkilatlar tərəfindən həyata keçirilir).
Auditin müxtəlif növləri üçün audit xidmətinin hər üç toplananı:
• yoxlamanın üsul və vasitələri,
• yoxlamanın nəticələri və
• yoxlama nəticəsinin müqayisə edildiyi ideal fərqlənir.
63
Aparılması formasından asılı olmayaraq, informasiya təhlükəsizliyinin auditi dörd əsas
mərhələdən ibarətdir:
1. Audit planının işlənməsi;
2. Auditor yoxlamalarının aparılması və məlumat toplanması;
3. Toplanmış məlumatların analizi və tövsiyələrin işlənməsi;
4. Audit hesabatının hazırlanması.
64
İlkin informasiyanın toplanması üçün aşağıdakı metodlar tətbiq edilir.
– Sifarişçinin zəruri informasiyaya malik əməkdaşlarından müsahibə alınması. Adətən,
müsahibə həm texniki mütəxəssislərlə, həm də təşkilatın rəhbər nümayəndələri ilə
aparılır. Müsahibə prosesində müzakirə edilməsi nəzərdə tutulan sualların siyahısı
əvvəlcədən razılaşdırlır.
– Sifarişçinin əməkdaşlarının müstəqil doldurduqları sorğu vərəqələrinin təqdim edilməsi.
Toplanmış məlumatlar zəruri suallara tam cavab verimirsə, əlavə müsahibə aparılır.
– Təşkilatın istifadə etdiyi təşkilati-texniki sənədlərin analizi
– Xüsusi instrumental vasitələrin istifadəsi – məsələn, təhlükəsizlik skanerlərinin köməyi
ilə şəbəkə resurslarını intervalaşdırmaq və onlarda olan boşluqları aşkarlamaq olar.
Təşkilatda qüvvədə olan informasiya təhlükəsizliyi siyasətinin analizi auditin aparılması üçün
çıxış nöqtəsidir. Kompleks auditin ilk məsələlərindən biri qüvvədə olan informasiya təhlükəsizliyi
siyasətinin təşkilatın təhlükəsizliklə əlaqədar tələblərinə nə dərəcəd uyğun olmasını, baxılan siyasət
çərçivəsində nəzərdə tutulmuş tədbirlərin informasiya təhlükəsizliyinin lazımi səviyyəsini təmin edə
bilməsini müəyyən etməkdir. Öz növbəsində bu təşkilatın əsas informasiya aktivlərinin
əhəmiyyətinin, boşluqlarının mövcud risklərin və təhdidlərin əlavə qiymətləndirilməsini tələb edə
bilər.
İnformasiya təhlükəsizliyinin əsas müddəaları yoxlandıqdan sonra audit prosesində informasiya
resurslarının kritiklik və konfidensiallıq üzrə təşkilatda qüvvədə olan təsnifat qaydaları və
informasiya təhlükəsizliyinə aid olan digər sənədlər də analiz edilə bilər.
65
Analizin nəticələri həm təşkiatda informasiya təhlükəsizliyinin səviyyəsini xarakterizə edən
ümumiləşdirilmiş qısa şəkildə (təşkilatın rəhbərliyi üçün), həm də ayrı-ayrı sahələrə aid konkret irad
və təkliflər şəklində təsvir oluna bilər (informasiya təhlükəsizliyi xidmətinin rəhbərinə, funksional
direktorlara və təşkilatın struktur bölmələrinin rəhbərlərinə ünvanlanır).
Təşkilatda informasiya təhlükəsizliyinin vəziyyətinin analizi nəticəsində auditorun verdiyi
tövsiyələr istifadə edilən yanaşma ilə, yoxlanan informasiya sisteminin xüsusiyyətləri ilə,
informasiya təhlükəsizliyinin vəziyyəti ilə və aparılan auditin təfsilat dərəcəsi ilə müəyyən edilir.
İstənilən halda, auditorun tövsiyələri konkret olmalı və baxılan informasiya sisteminə tətbiq edilə
bilən olmalıdır, analizin nəticələri ilə möhkəmləndirilməli və iqtisadi baxımdan əsaslandırılmalı,
vacibliyinə görə sıralanmalıdır. Bu zaman nəzərə almaq lazımdır ki, informasiya təhlükəsizliyi üzrə
təşkilati səviyyə tədbirləri informasiya təhlükəsizliyinin konkret proqram-texniki metodlarından
daha yüksək prioritetə malikdirlər.
66
– təhlükəsizlik siyasəti daxil olmaqla sifarişçinin əsas sənədlərinə ətraflı istinadlar, baxılan
təşkilata tətbiq edilən məcburi olmayan standartların və normaların təsviri.
Hazırda informasiya təhlükəsizliyi auditinin aşağıdakı sxemləri geniş yayılıb:
– ISO/IEC 27001 standartına uyğunluğun auditi;
– COBIT (ISACA) tələblərinə uyğunluğun auditi;
– AICPA (Amerika İctimai Mühasiblәr İnstitutu) tələblərinə uyğunluğun auditi;
– WebTrust beynəlxalq standartı tələblərinə uyğunluğun auditi. Elektron kommersiya
sistemlərinin və veb-servislərin yüksək təhlükəsizlik səviyyəsinin təsdiqlənməsi üçün tətbiq
edilir.
Avropada BS7799 və COBIT daha geniş yayılmışdır.
Standarta uyğunluq auditinin (və sertifikatlaşdırmanın) aparılması səbəblərini bu xidmətin
təşkilata münasibətdə məcburilik dərəcəsinə görə şərti olaraq bölmək olar: məcburi; obyektiv
«xarici» səbəblərlə sertifikatlaşdırma; uzunmüddətli perspektivdə mənfəət əldə etməyə imkan verən
sertifikatlaşdırma; könüllü sertifikatlaşdırma.
67
– Hissə 4: İnformasiya sistemlərinin auditinin aparılması üzrə tövsiyələr (Audit Guidelines).
Nüfuzetmə testləri
Nüfuzetmə testləri informasiya təhlükəsizliyi sahəsində bütün dünyada populyar xidmətlərdən
biridir. Bu xidmətin mahiyyəti informasiya təhlükəsizliyi sistemindən keçməyə icazəli cəhdlər
etməkdən ibarətdir. Nüfuzetmə testi zamanı auditorlar potensial bədniyyətlinin istifadə etdiyi
metodlardan istifadə etməklə təşkilatda tətbiq edilən informasiya təhlükəsizliyi mexanizmlərindən
keçməyə, sifarişçinin daxili şəbəkəsinə sızmağa və infrastrukturun kritik vacib komponentlərinə
giriş əldə etməyə cəhdlər edirlər.
Nüfuzetmә testi informasiya təhlükəsizliyinin səviyyəsi barədə obyektiv qiymət əldə etməyə,
informasiya təhlükəsizliyi sistemində ən zəif yerləri aşkarlamağa, bədniyyətlinin hansı üsullarla və
hansı boşluqlar vasitəsilə təşkiatın informasiya mühitinə sıza biləcəyini başa düşməyə, bu
hərəkətlərin mümkün nəticələrini qiymətləndirməyə imkan verir.
Nüfuzetmə testinin əsas mərhələləri aşağıdakılardır:
Təşkilat və onun informasiya mühiti barədə açıq informasiyanın analizi;
Sosial mühəndislik üsulları ilə tədqiqatın aparılması;
Daxili və xarici resursların boşluqlarının analizi;
Nüfuzetmənin həyata keçirilməsi;
Hesabat sənədlərinin hazırlanması.
Nüfuzetmə testi başa çatdıqdan sonra hazırlanmış hesabatda sifarişçiyə aşağıdakılar təqdim
edilir:
– təşkilatın biznes-prosesləri üçün təhdid təşkil edən aşkarlanmış boşluqların və nöqsanların,
onların risk səviyyəsinin ətraflı təsviri, bədniyyətlinin onlardan istifadə imkanlarının
qiymətləndirilməsi;
– nüfuzetmənin həyata keçirildiyi ssenarinin təsviri;
– test obyektlərinin strukturunun ətraflı təsviri;
– nüfuzetmə testinin keçirilməsi zamanı istifadə edilmiş metod və vasitələr;
– nüfuzetmə testlərinin uğurlu olmasının sübutları (məsələn, ələ keçirilmiş fayllar);
– aşkarlanmış boşluqların və nöqsanların aradan qaldırılması üzrə tövsiyələr.
Nüfuzetmə testi «Red teaming» texnologiyası üzrә, «sındırma» cәhdlәrinin kömәyi ilә aparılır,
yәni informasiya təhlükəsizliyi sistemi «haker» baxış bucağından sındırılır. Nüfuzetmə testləri üçün
bir sıra alətlər istifadə edilir: Metasploit, Nessus Vulnerability Scanner, Nmap, Burp Suite, OWASP
ZAP, SQLmap, Kali Linux, Jawfish, Social-Engineer Toolkit (SET) və s.
Nüfuzetmə testlərinin qaydaları və çərçivəsi aşağıdakı metodologiyalarda öz əksini tapır:
Open Source Security Testing Methodology Manual (OSSTMM)
Information Systems Security Assessment Framework (ISSAF)
System Administrator, Audit, Network, Security Institute: A Management Guide to
Penetration Testing
Payment Card Industry Data Security Standard (PCI DSS),
68
NIST SP800-115 Technical Guide to Information Security Testing and Assessment
NIST SP 800-42 - Guideline on Network Security Testing
Penetration Testing Execution Standard (PTES),
Open Web Application Security Project (OWASP) Testing Guide.
69
Mühazirə 13. Açıq açarlı kriptoqrafiya. RSA kriptosistemi
Məxfi açarlı kriptosistemlər minilliklər boyu hazırki dövrə kimi istifadə edilirlər və
informasiyanın məxfiliyinin təmin edilməsinin klassik prinsipinə: informasiyaya buraxılan
şəxslərdən başqa bütün şəxslər üçün istifadə edilən açarın məxfiliyi prinsipinə əsaslanırlar. Belə
kriptosistemləri simmetrik də adlandırırlar, çünki onlarda şifrləmə və deşifrləmə üçün istifadə
olunan açarlar müəyyən simmetriyaya malikdirlər (çox vaxt onlar üst-üstə düşürlər).
Açıq açarlı kriptosistemlər Uitfild Diffi və Martin Hellman tərəfindən 1975-ci ildə təklif
olunmuşdur. Onları asimmetrik sistemlər də adlandırırlar, çünki onlarda istifadə olunan şifrləmə və
deşifrləmə açarları simmetriya və ya bərabərlik münasibətləri ilə bağlı deyillər.
Şifrləmə açarı açıq, hamıya məlum ola bilər, lakin məlumatı yalnız məxfi deşifrləmə açarına
malik olan şəxs deşifrləyə bilər. Bu açarı simmetrik sistemin açarı ilə qarışdırmamaq üçün adətən
özəl açar adlandırırlar.
Açıq açara görə özəl açarın hesablanması, yəni şifrin çözülməsi həlli yüksək çətinliklə
xarakterizə olunan müəyyən riyazi məsələlər ilə bağlanır (əlaqələndirilir).
Asimmetrik alqoritmlərin ideyası biristiqamətli funksiyalar nəzəriyyəsinin inkişafı ilə sıx
bağlıdır.
Aşağıdakı iki xassəyə malik F: X Y funksiyası biristiqamətli adlanır:
1) F(x) qiymətlərinin hesablanması üçün polinomial alqoritm var .
2) F funksiyasını çevirmək (yəni F(x) = y tənliyinin x-ə nəzərən həlli) üçün polinomial alqoritm
yoxdur.
Bu gün biristiqamətli funksiyaların varlığı nəzəri olaraq isbat olunmayıb. Praktikada
biristiqamətli funksiya adına namizədlərdən istifadə edilir. Biristiqamətli funksiyaya namizəd kimi
U.Diffi və M.Hellman diskret qüvvətə yüksəltmə funksiyasını təklif etmişlər:
F(x) = ax mod p
burada x tam ədəd, 1 x p1, p sadə ədəddir, a<p ədədi isə p moduluna görə ibtidai kökdür.
Hətta çox böyük p modulu üçün də x verildikdə ax mod p qiymətini hesablamaq çox asandır.
Buna inanmaq üçün a25 qüvvətinin hesablanmasına baxaq: a25 = (((a2×a)2)2)2×a. Bu bərabərlik
göstərir ki, a25 qüvvətini cəmisi dörd kvadrata yüksəltmə və iki vurma əməlinin köməyi ilə
hesablamaq mümkündür. Qüvvət üstü x-in uzunluğu L bit olarsa, L-dən 2L-ə qədər sayda vurma və
kvadrata yüksəltmə əməli tələb olunur.
Modula görə qüvvətə yüksəltməyə tərs məsələ diskret loqarifm məsələsi adlanır: ax = b mod n
tənliyindən x-i tapmaq tələb olunur. Məsələn, 3x = 15 mod 17 tənliyindən x=6 tapmaq olar. Diskret
loqarifm məsələsinin həlli olmaya da bilər. Məsələn, 3 x = 7 mod 13 tənliyinin həlli yoxdur. Diskret
loqarifm məsələsini böyük ədədlər üçün həll etmək olduqca çətindir.
Biristiqamətli funksiyanı şifrləmə funksiyası kimi istifadə etmək olmaz, çünki F(x) şifrlənmiş
məlumatına görə heç kim, hətta qanuni istifadəçi də x-i bərpa edə bilməz. Bu problemi həll etmək
üçün U.Diffi və M.Hellman gizli girişli biristiqamətli funksiyalardan (one-way trapdoor function)
istifadə etmək ideyasını irəli sürmüşlər.
K parametrindən asılı olan FK: XY funksiyası aşağıdakı üç şərti ödədikdə gizli girişli
biristiqamətli funksiya adlanır:
1) istənilən x və K üçün FK(x) qiymətini hesablamaq asandır;
2) K məlum olduqda FK funksiyasının tərsini hesablamaq asandır;
3) K parametrini bilmədən FK funksiyasının tərsini hesablamaq çətindir.
Gizli girişli biristiqamətli funksiyanın düz istiqamətdə hesablanması alqoritmini bilən şəxs gizli
informasiyanı bilən şəxsə məlumat göndərmək üçün məlumatı biristiqamətli funksiya ilə
çevirməlidir. Yalnız gizli informasiyanı bilən şəxs tərs çevirməni edə və məlumatı bərpa edə bilər.
Funksiyanın düz istiqamətini bilmək tərsi hesablamağa imkan vermədiyindən bu funksiyanı açıq
nəşr etmək olar. Bu imkan da sahəyə açıq açarlı kriptoqrafiya adını verdi. Təsvir olunan sistemi
açıq açarlı kriptosistem adlandırırlar, çünki şifrləmə alqoritmi hamıya məlumdur, yəni açıqdır. Belə
sistemləri asimmetrik sistemlər də adlandırırlar, çünki alqoritmlərdə asimmetriya var: şifrləmə və
deşifrləmə alqoritmləri müxtəlifdir.
70
Müasir asimmetrik alqoritmlərin əksəriyyətinin dözümü həlli hazırda çətin hesab olunan iki
riyazi problemə əsaslanır:
böyük ədədlərin vuruqlara ayrılması (faktorizasiyası);
sonlu meydanlarda diskret loqarifmləmə.
Simmetrik sistemlərin hamı tərəfindən qəbul edilmiş üstünlüyü şifrləmənin daha yüksək sürəti,
istifadə olunan açarın uzunluğunun kiçik olması və kriptoqrafik dözümün təmin edilməsinə daha
əsaslı zəmanətin olmasıdır. Lakin asimmetrik kriptosistemlər informasiyanın autentikasiyası,
istifadəçilər arasında açarların paylanması kimi vacib məsələlərin həlli üçün daha rahat protokollar
təklif edirlər. Buna görə informasiyanın təhlükəsizliyi üçün hibrid kriptosistemlər istifadə edilə
bilər, bu sistemlərdə həm simmetrik, həm də asimmetrik sistemlərin prinsipləri istifadə edilir.
71
RSA alqoritmi
Açıq açarlı şifrləmə alqoritmlərindən ən geniş yayılanı RSA alqoritmi müəlliflərinin
familiyalarının ilk hərfi ilə adlandırılıb (Rivest R, Shamir A, Adelman L.). Müəlliflər bu metodu
1977ci ildə Massaçusets Texnologiya İnstitutunda birgə tədqiqatları zamanı təklif etmişlər.
Alqoritmi həm şifrləmə, həm də rəqəmsal imza üçün istifadə etmək olar.
Açarların generasiyası. İnformasiya mübadiləsinin hər bir iştitakçısı aşağıdakı qaydalara uyğun
olaraq açarlar cütü (açıq və özəl) generasiya edir:
1. Bir-birinə bərabər olmayan iki böyük p və q sadə ədədləri seçilir.
2. Sistemin modulu n = pq və Eyler funksiyası (n) = (p 1)(q1) hesablanır.
3. 1<e<(n) şərtini ödəyən və (n) ilə qarşılıqlı sadə olan e ədədi seçilir.
4. ed = 1 (mod (n)), 1 < d < (n) şərtlərini ödəyən d ədədi hesablanır.
5. (d, n) ədədlər cütü özəl açar, (e, n) ədədlər cütü açıq açardır.
Şifrləmə m məlumatı şifrlənir (m < n tam ədəddir): c = E(m) = me mod n.
Deşifrləmə: c şifrmətni deşifrlənir: m = D(c) = cd mod n.
Alqoritmin düzgün işlənməsinin əsaslandırılması. Istənilən mZn üçün D(E(m))=m olduğunu
isbat etmək lazımdır.
(n)-i p və q ilə ifadə edərək ed = 1+ k(n) = 1+ k(p1)(q1) alırıq. Əgər (m, p)=1 olarsa, onda
Fermanın kiçik teoreminə görə
cd (me)dm1+k(p1)(q1) m(mp1)(q−1) m1q−1(mod p) m (mod p).
Əgər (m, p)=0 olarsa, onda medm(mod p) olduğu aşkardır. Deməli, istənilən mZn üçün
cd m (mod p).
Analoji olaraq isbat edilir ki, istənilən mZn üçün aşağıdakı müqayisə ödənir:
cd m (mod q).
n=pq olduğu üçün qalıqlar haqqında Çin teoreminin nəticəsinə görə alırıq:
cd(me)d m (mod n).
m>n halında məlumatların şifrlənməsi aşağıdakı kimi aparılır.
1) məlumat mi bloklara bölünür, blokun uzunluğu 10 k−1 < n < 10k bərabərsizliyinə uyğun gələn tam
k ədədi ilə müəyyən olunur.
2) ci = mie (mod n) qiymətləri hesablanır.
Deşifrləmə mi = cid (mod n) qiymətlərinin hesablanmasından ibarətdir.
RSA alqoritminin əsas problemlərindən biri şifrləmə/deşifrləmə əməliyyatlarının sürətinin
aşağı olmasıdır. RSA təxminən 100-1000 dəfə DES-dən yavaş işləyir. Uzun məlumatlar üçün
onin istifadəsi səmərəli olmur. Buna görə asimmetrik alqoritmlər əsasən açıq rabitə kanalları ilə
seans açarlarının paylanması üçün istifadə edilir. Simmetrik açar asimmetrik şifrləmə
alqoritminin köməyi ilə şifrlənmiş şəkildə ötürülür, bundan sonra verilənlərin mübadiləsi
simmetrik şifrləmə alqoritmlərdən istifadə etməklə aparılır. Açıq açarlı alqoritmlər həmçinin
rəqəmsal imza üçün də istifadə edilir.
Parametrlərin seçilməsi. RSA-nın dözümünü təmin etmək üçün kriptosistemin parametrlərinin
seçilməsinə aşağıdakı tələblər irəli sürülür:
1) p və q sadə ədədləri böyük olmalıdırlar;
2) |p q| fərqi böyük olmalıdır;
3) p 1, q 1, r1, s1 ədədləri böyük sadə vuruqlara malik olmalıdırlar (r və s uyğun olaraq p − 1
və q − 1-in ən böyük bölənləridir);
4) ƏBOB(p1, q1) kiçik olmalıdır.
Müasir qiymətləndirmələrə görə 20 il ərzində verilənlərin qorunmasını təmin etmək üçün n
ədədinin uzunluğu təxminən 2048 bit olmalıdır. Mümkün olsa, uzunluğu 4096 bit ətrafında olan
modullardan istifadə etmək tövsiyə olunur. Perspektivdə daha uzun modullar tələb edilə bilər,
məsələn, 8192 bit.
72
Böyük sadə ədədlərin hesablanması üçün müxtəlif alqoritmlərdən istifadə etmək olar. Rabin-
Miller testi daha geniş istifadə edilir.
Tutaq ki, n − tək ədəddir və n − 1 = 2st, t − tək ədəddir. Əgər n ədədi sadədirsə, onda istənilən
a > 1 üçün
an−1 ≡ 1 (mod n)
müqayisəsi ödənir. Buna görə {at, a2t, …, a2s−1t} elementlərinə baxaraq görmək olar ki, ya onların
arasında −1 (mod n)-ə bərabər olanı tapılar, ya da at ≡ 1 (mod n).
Aşağıdakı sadəliyin ehtimali testi bu qeydin əsasında qurulub:
1. {1, 2, …, n−1} intervalından a təsadüfi ədədini seçirik və Evklid alqoritminin köməyi ilə
(a, n) = 1 şərtini yoxlayırıq;
2. Əgər şərt ödənmirsə, onda cavab «n − mürəkkəbdir»;
3. at (mod n) hesablanır;
4. Əgər at ≡ ±1 (mod n) olarsa, onda addım 1-ə keçirik;
5. −1 alınana qədər a2t, …, a2s−1t hesablanır;
6. Əgər bu ədədlərdən heç biri −1-ə bərabər deyilsə, onda cavab «n − mürəkkəbdir»;
7. Əgər −1 alınsa, onda cavab məlum deyil (və testi bir daha təkrar etmək olar).
Mürəkkəb ədəd 1 ⁄ 4 ehtimalı ilə mürəkkəb ədəd kimi müəyyən olunmayacaq.
RSA-nın dözümü. RSA kriptosisteminin dözümü böyük tam ədədləri vuruqlara ayırma
(faktorizasiya) məsələsinin çətinliyinə əsaslanır. Doğrudan da, deşifrləmə üçün nam nujno znatğ
pokazatelğ d. Məlum e-yə görə d-ni tapmaq üçün (n) Eyler funksiyasının qiymətini bilmək
lazımdır. (n)-ni hesablamaq üçün n ədədini p və q vuruqlarına ayırmaq lazım gələcək. Buna görə
n-in vuruqlara ayrılması məlumdursa, onda şifrlənmiş mətnə görə məlumatı asanlıqla tapmaq olar.
Faktorizasiyanın riyazi metodlarını inkişaf etdirmək məqsədi ilə RSA Data Security, Inc
korporasiyası RSA-modulların faktorizasiyası üzrə açıq müsabiqə elan etmişdir.
73
Mühazirə 14. Rəqəmsal imza sxemləri
74
İmzanı yoxlama alqoritmi. m məlumatı üçün A-nın (r, s) imzasını yoxlamaq üçün B aşağıdakı
əməliyyatları yerinə yetirir.
(a) A-nın (p, g , y) autentik açıq açarını əldə edir.
(b) 1rp 1 şərtinin ödənməsini yoxlayır, əgər şərt ödənmirsə, onda imza rədd edilir.
(c) v1 = y rr s mod p hesablayır.
(d) v2 = gm mod p hesablayır.
(e) Əgər v1 = v 2 , olarsa, onda imza doğru hesab edilir.
İmza yoxlamanın düzgünlüyünün əsaslandırılması. Əgər imza A tərəfindən yaradılıbsa, onda
s k1(m xr) (mod p1). Mu müqayisənin hər bir tərəfini k-ya vuraraq
ks mxr (mod p 1) alırıq. Buradan m xr+ks(mod p1). Bu g m g xr+ks (g x)r r s y r r s(mod p),
yəni tələb edildiyi kimi v1 = v 2 bərabərliyini verir.
Əl-Qamal kriptosisteminin dözümü sonlu meydanda diskret loqarifm məsələsinin
hesablamaların həcmi cəhətdən çətinliyinə əsaslanır. GF(p) sonlu meydanında diskret loqarifm
məsələsi belə ifadə olunur: p, r sadə ədədləri və tərtibi r olan g<p natural ədədi verilib, yəni
gr º 1 (mod p), y = gx (mod p) qiymətini bilərək xÎZ qiymətini tapmaq tələb olunur.
75
Mühazirə 15. Elektron imza. Açıq açarlar infrastrukturu
….
..
Şəbəkə arxitekturasında bütün SM-lər bərabər və ya eyniranqlı olurlar, yəni iyerarxiyanın eyni
səviyyələrində yerləşirlər. Şəbəkə modeli 1991-ci ildə F.Zimmerman tərəfindən ümumi istifadə
üçün yaradılmış PGP kriptoqrafik paketində realizə olunub və bütün dünyada bu proqramın
milyonlarla tərəfdarı tərəfindən istifadə edilir.
Şəbəkə modelinin fərqləndirici xüsusiyyəti - kriptosistemin bütün tərəfdarlarına
sertifikatlaşdırma funksiyasının verilməsidir. Eyni zamanda sistemin hər bir iştirakçısının digər
iştirakçıya, onun üçüncü şəxslərin açarını cavabdeh sertifikasiya etmə qabiliyyəti nöqteyi-
nəzərindən bəslədiyi inamın səviyyəsini müəyyən etmək imkanı var. Hər SM “yaxın” SM-in açıq
açarını bilir və bu “yaxın” SM onun üçün sertifikat buraxır. Sertifikatların yoxlanması verilən SM-
dən başlayan sertifikasiya zəncirinin yoxlanmasından ibarətdir. Şəbəkədə bərabər SM-lər arasında
inam münasibətləri SM-lərin müstəqil qarşılıqlı çapaz-sertifikasiyası vasitəsilə saxlanır. SM-lər
çapaz-sertifikatlar buraxırlar, yəni bir-biri üçün sertifikatlar buraxırlar və bu sertifikatları çapaz-
sertifikat cütündə birləşdirirlər. Belə arxitektura açıq şəbəkələrdə tətbiq edilir və İnternet vasitəsilə
elektron kommersiya sahəsində xüsusilə geniş yayılmışdır.
Azərbaycan Respublikası Rabitə və Yüksək Texnologiyalar Nazirliyi Məlumat Hesablama
Mərkəzi tabeliyində Milli Sertifikat Xidmətləri Mərkəzi fəaliyyət göstərir. Mərkəzin strukturu,
funksiyaları və Mərkəzdən sertifikatların alınması haqqında geniş məlumatı http://e-imza.az/
saytından əldə etmək olar.
"Elektron imza və elektron sənəd haqqında" Qanunda rəqəmsal sertifikatlara aid aşağıdakı
təriflər verilir:
77
Sertifikat – imza sahibini identikləşdirmək üçün nəzərdə tutulan və elektron imzanı yoxlama
məlumatlarının imza sahibinə məxsus olması barədə sertifikat xidmətləri mərkəzinin verdiyi kağız
və ya elektron sənəd;
Təkmil sertifikat – akkreditə edilmiş sertifikat xidmətləri mərkəzi tərəfindən gücləndirilmiş
elektron imzanı yoxlama məlumatları barəsində verilən sertifikat;
Rəqəmsal sertifikat bu qlobal şəbəkədə qüvvədə olan, xüsusi subyektin Sertifikat Xidmətləri
Mərkəzinin rəqəmsal imzası ilə təsdiqlənmiş bir növ şəxsiyyət vəsiqəsidir. Faktiki olaraq rəqəmsal
sertifikat istifadəçinin fərdi verilənləri ilə onun açıq açarını bir yerdə əlaqələndirir. Rəqəmsal
sertifikatların formatını müəyyənləşdirən beynəlxalq ISO/IEC 9594-8 (ITU Rec. X. 509) standartı
var. X.509 sertifikatına əsas sahələr və genişlənmə sahələri daxildir. Əsas sahələr PKI
standartlarına uyğun olaraq işlənmiş istənilən proqram təminatı tərəfindən eyni cür interpretasiya
olunmalıdır. Sertifikata aşağıdakı sahələr aiddir:
Versiya. Sertifikatın formatının versiyasını göstərir.
Sıra nömrəsi (Serial Number). Verilən sertifikatla birqiymətli əlaqələndirilən, baxılan sertifikasiya
mərkəzi üçün unikal olan tam qiymət.
İmzalama alqoritminin identifikatoru (Signature algorithm). Sertifikatın imzasını yaratmağa
xidmət edən alqoritm, bütün zəruri parametrlərlə birlikdə.
Sertifikatı verən obyektin adı (Issuer). Sertifikatı yaradan və imza edən sertifikat xidmətləri
mərkəzinin X.500 standartı üzrə adı.
Sertifikatın fəaliyyət müddəti. İki tarix daxildir: sertifikatın fəaliyyət müddətinin başlanğıcı
(Valid from) və sonu (Valid to).
Subyektin adı (Subject). Sertifikatın yönəldiyi istifadəçinin adı, yəni baxılan sertifikat uyğun özəl
açarın məxsus olduğu subyektin açıq açarını təsdiqləyir.
Subyektin açıq açarı haqqında informasiya. Subyektin açıq açarı, bu açarın istifadə edilməli
olduğu alqoritmin identifikatoru, həmçinin bütün zəruri parametrlər.
Sertifikatı verən obyekytin unikal identifikatoru. Məcburi olmayan bitlər sətri, X.500 adını
müxtəlif obyektlər üçün istifadə etmək tələb edildikdə sertifikatı verən SM-in birqiymətli
identifikasiyası üçün istifadə edilir.
Subyektin unikal identifikatoru. Məcburi olmayan bitlər sətridir, X.500 adını müxtəlif obyektlər
üçün istifadə etmək tələb edildikdə subyektin birqiymətli identifikasiyası üçün istifadə edilir .
Genişlənmə. Bir və ya daha çox genişlənmə sahələri. Genişlənmələr versiya 3-də əlavə edilib.
İmza. Sertifikat onu verən sertifikat xidmətləri mərkəzinin rəqəmsal imzası ilə təsdiq edilir.
Sertifikatın bütün qalan sahələrini əhatə edir, tərkibinə qalan sahələrin sertifikat xidmətləri
mərkəzinin özəl açarı ilə şifrlənmiş heş qiyməti daxildir. Bu sahədə həmçinin imzalama
alqoritminin identifikatoru da olur.
78
Sertifikatda aşağıdakı verilənlər olur: sertifikatın seriya nömrəsi; sertifikatın sahibinin adı;
sertifikatın sahibinin açıq açarı; sertifikatın fəaliyyət müddəti; elektron imza alqoritminin
identifikatoru; sertifikat xidmətləri mərkəzinin adı və s.
Asan imza (Mobil imza)
Elektron imzanın yaradılması və yoxlanması prosesləri proqram və aparat təminatı vasitələri ilə
həyata keçirilir. Yaxın zamanlara kimi, bu məqsədlə smart-kartlardan istifadə edilirdi. Elektron
imza yaratma və elektron imzanı yoxlama məlumatları və elektron imza sertifikatları smart-kartda
saxlanılır və elektron imzanın istifadəsi üçün kompüterə qoşulan kart oxuyucusu və xüsusi proqram
təminatı tələb edilir.
Elektron imzanın reallaşdırılması üçün geniş yayılan digər üsul mobil telefonlardan istifadə
edilməsidir. Bu yanaşmanın yuxarıda qeyd edilən yanaşmadan bir çox üstünlükləri vardır. Smart-
kart, kart oxuyucusu, kompüter tələb edilmir, hər hansı proqram təminatına da ehtiyac yoxdur.
İnternetə çıxışı olan mobil telefonla istənilən yerdən və istənilən an sənədləri rahatlıqla imzalamaq
mümkündür. Mobil telefonların elektron imza üçün istifadə edilməsində bəzi problemlərin olmasına
baxmayaraq (məsələn, ekranın ölçüləri, kommunikasiya xərcləri, məhdud hesablama resursları və
s.), rahat olması və təmin etdiyi mobillik onların potensialından istifadə etməyə imkan verir.
Asan imzadan istifadə etmək üçün mobil rabitə operatorlarından Asan İmza (Mobil ID) SIM-
kartı alaraq xidməti aktivləşdirmək üçün Vergilər Nazirliyinin Asan Sertifikat Xidmətləri Mərkəzinə
müraciət etmək lazımdır. Müvafiq təlimatları və asan imzaya aid ətraflı məlumatı
http://www.asanimza.az/az/ saytından əldə etmək olar.
79