Kompyuter xavfsizligi

 

Kompyuter xavfsizligining aksariyat jihatlari elektron parollar va shifrlash kabi raqamli choralarni o'z ichiga olgan bo'lsa-da, ruxsatsiz buzishning oldini olish uchun metall qulflar kabi jismoniy xavfsizlik choralari hali ham qo'llaniladi.

Kompyuter xavfsizligi, kiberxavfsizlik yoki axborot texnologiyalari xavfsizligi (IT xavfsizligi) - bu kompyuter tizimlari va tarmoqlarini ma'lumotlarni oshkor qilish, o'g'irlash yoki ularning apparat, dasturiy ta'minot yoki elektron ma'lumotlariga zarar etkazish, shuningdek, buzilishdan himoya qilish. Ular taqdim etadigan xizmatlarni noto'g'ri yo'naltirish[1][2].

Axborot texnalogiyalari xavfsizligi sohasi kompyuter tizimlari, Internet, Bluetooth, Wi-Fi kabi simsiz tarmoq standartlariga bo'lgan ishonchning kengayishi. Aqlli qurilmalar, jumladan, smartfonlar, televizorlar va turli xil qurilmalarning o'sishi tufayli muhim ahamiyatga ega bo'ldi. Buyumlarning internetini(IoT) tashkil etuvchi qurilmalar. Kiberxavfsizlik ham siyosiy foydalanish, ham texnologiya nuqtai nazaridan axborot tizimlarining murakkabligi tufayli bugungi kunda muhim muammolardan biri hisoblanadi. Uning asosiy maqsadi: tizimning ishonchliligi, yaxlitligi hamda maʼlumotlar maxfiyligini taʼminlashdan iborat[3][4].

TarixiTahrirlash

Internet paydo bo'lganidan beri va so'nggi yillarda boshlangan raqamli transformatsiya hamda kiberxavfsizlik tushunchasi professional va shaxsiy hayotimizda tanish mavzuga aylandi. Kiberxavfsizlik va kibertahdidlar texnologik o'zgarishlari so'nggi 50 yilida doimiy ravishda mavjud bo'lib kelmoqda. 1970-1980-yillarda kompyuter xavfsizligi, asosan Internet kontseptsiyasi paydo bo'lgunga qadar akademik qoidalar bilan cheklangan. Bu yerda ulanishning kuchayishi bilan kompyuter viruslari va tarmoq hujumlari avj ola boshladi. 1990-yillarda viruslar tarqalgach, 2000-yillarda kibertahdidlar hamda kiberxavfsizlikni institutsionalizatsiyani belgiladi.

1967-yil aprel oyida Uillis Uor tomonidan bahorgi qo'shma kompyuter konferentsiyasida uyushtirilgan sessiya va Ware hisobotining keyinchalik nashr etilishi kompyuter xavfsizligi sohasi tarixida poydevor bo'lgan[5]. Warening ishi moddiy, madaniy, siyosiy va ijtimoiy muammolar kesishgan[5].

1977-yilgi NIST nashri[6] asosiy xavfsizlik maqsadlarini tavsiflashning aniq va sodda usuli sifatida Maxfiylik, yaxlitlik va mavjudlik "CIA triadasi"ni taqdim etgan[7]. Hali ham dolzarb bo'lsa-da, keyinchalik ko'plab ishlab chiqilgan ramkalar taklif qilindi[8][9].

Biroq, 1970-1980-yillarda jiddiy kompyuter tahdidlari hali mavjud bo'lmagan, chunki kompyuterlar va internet hali ham rivojlanmoqda va xavfsizlik tahdidlarini osongina aniqlash mumkin bo'lgan. Ko'pincha tahdidlar maxfiy hujjatlar hamda fayllarga ruxsatsiz kirish huquqiga ega bo'lgan zararli insayderlar tomonidan yaratilgan. Zararli dasturiy ta'minot hamda tarmoq buzilishi dastlabki yillarda mavjud bo'lsa-da, ular bu soha faoliyatidan moliyaviy foyda olish uchun foydalanmagan. 1970-yillarning ikkinchi yarmiga kelib, IBM kabi kompyuter firmalari tashkil etilgan. Bunda tijorat kirishni boshqarish tizimlari va kompyuter xavfsizligi dasturiy mahsulotlarini taklif qila boshladilar[10].

Bu 1971-yilda Creeper bilan boshlangan. Creeper BBN da Bob Tomas tomonidan yozilgan eksperimental kompyuter dasturi edi. Bu birinchi kompyuter qurti hisoblanadi. 1972-yilda Reaper deb nomlangan birinchi antivirus dasturi yaratildi. U Rey Tomlinson tomonidan ARPANET bo'ylab harakatlanishi hamda Creeper qurtiga qarshi kurashishi uchun yaratilgan.

1986-yil sentyabrdan 1987-yil iyungacha bir guruh nemis xakerlari birinchi hujjatlashtirilgan kiber josuslik ishini amalga oshirdilar. Guruh amerikalik mudofaa pudratchilari, universitetlari hamda harbiy bazalari tarmoqlariga buzib kirishgan. Toʻplangan maʼlumotlarni Sovet KGBsiga sotgan. Guruhni 1987-yil 29-iyunda hibsga olingan Markus Xess boshqargan. 1990-yil 15-fevralda u josuslikda ayblangan (ikkita sherik bilan birga).

1988-yilda Morris worm deb nomlangan birinchi kompyuter qurtlaridan biri Internet orqali tarqatildi. Bu ommaviy axborot vositalarining katta e'tiborini tortdi.

1993-yilda Milliy Superkompyuter ilovalari markazi (NCSA) 1993-yilda birinchi veb-brauzer Mosaic 1.0 ni ishga tushirganidan ko'p o'tmay, Netscape SSL protokolini ishlab chiqishni boshladi. Netscape 1994-yilda SSL 1.0 versiyasini tayyorlagan. Lekin ko'plab jiddiy xavfsizlik zaifliklari tufayli u hech qachon ommaga chiqarilmadi. Ushbu zaif tomonlarga takroriy hujumlar hamda xakerlarga foydalanuvchilar tomonidan yuborilgan shifrlanmagan aloqalarni o'zgartirish imkonini beruvchi zaiflik kiradi. Biroq, 1995-yil fevral oyida Netscape 2.0 versiyasini ishga tushirgan.

Muvaffaqiyatsiz hujum strategiyasiTahrirlash

Milliy xavfsizlik agentligi (NSA) AQSh axborot tizimlarini himoya qilish, shuningdek, xorijiy razvedka ma'lumotlarini yig'ish uchun javobgar hisoblangan[11]. Bu ikki vazifa bir-biriga zid bo`lgan. Axborot tizimlarini himoya qilish dasturiy ta'minotni baholash, xavfsizlik kamchiliklarini aniqlash hamda kamchiliklarni tuzatish choralarini ko'rishni o'z ichiga olgan. Razvedka ma'lumotlarini to'plash uchun xavfsizlik kamchiliklaridan foydalanishni o'z ichiga oladi. Bu esa tajovuzkor harakat hisoblangan. Xavfsizlik kamchiliklarini tuzatish kamchiliklarni NSA ekspluatatsiyasi uchun imkonsiz qilgan

Agentlik Amerika Qo'shma Shtatlaridagi raqobatchilarga qarshi tajovuzkor maqsadlarda saqlaydigan xavfsizlik kamchiliklarini aniqlash uchun keng tarqalgan dasturiy ta'minotni tahlil qilagan. Agentlik kamdan-kam hollarda dasturiy ta'minot ishlab chiqaruvchilariga kamchiliklar haqida xabar bergan. Ularni bartaraf etish uchun ham himoya choralarini shu davrda kamdan-kam ko'rilgan[12].

Hujum strategiyasi bir muncha vaqt ishladi, ammo oxir-oqibat boshqa davlatlar, jumladan, Rossiya, Eron, Shimoliy Koreya va Xitoy ham o'zlarining hujum qobiliyatiga ega bo'lishdi. Undan AQShga qarshi foydalanishdi. NSA pudratchilari AQSh agentliklari va yaqin ittifoqchilariga "klik va o'q" hujum vositalarini yaratdilar, sotdilar. 2016-yilda NSAning shaxsiy xakerlik vositalari buzib kirilgan va ulardan Rossiya va Shimoliy Koreya foydalangan. NSA xodimlari va pudratchilari kiberurushda raqobatlashishdan xavotirda bo'lganlar va qarshi tomonlardan yuqori maoshga yollangan[12].

Bunga misol 2007-yilda Qo'shma Shtatlar va Isroil Eronda yadroviy materiallarni qayta ishlash uchun ishlatiladigan uskunalarga hujum qilish va ularga zarar etkazish uchun Microsoft Windows operatsion tizimidagi xavfsizlik kamchiliklaridan foydalana boshlagandan so`ng Eron ham bunga javoban o'zining kiberurush qobiliyatiga katta sarmoya kiritgan. AQShga qarshi foydalanishni boshlagan[12].

TerminologiyalariTahrirlash

Kompyuter xavfsizligi uchun ishlatiladigan quyidagi atamalar quyida tushuntiriladi:

  • Kirish avtorizatsiyasi autentifikatsiya tizimlaridan foydalanish orqali bir guruh foydalanuvchilar uchun kompyuterga kirishni cheklaydi. Ushbu tizimlar interaktiv kirish ekrani kabi butun kompyuterni yoki FTP serveri kabi alohida xizmatlarni himoya qilishi mumkin. Parollar, identifikatsiya kartalari, smart -kartalar va biometrik tizimlar kabi foydalanuvchilarni aniqlash va autentifikatsiya qilishning ko'plab usullari mavjud.
  • Antivirus dasturlari kompyuter viruslari va boshqa zararli dasturlarni (zararli dastur) aniqlash, oldini olish va yo'q qilishga harakat qiladigan kompyuter dasturlaridan iborat.
  • Ilovalar bajariladigan koddir, shuning uchun umumiy amaliyot foydalanuvchilarga ularni o'rnatishga ruxsat bermaslikdir ; faqat obro'li deb ma'lum bo'lganlarni o'rnatish - va imkon qadar kamroq o'rnatish orqali hujum yuzasini kamaytirish. Ular odatda eng kam imtiyozlar bilan ishlaydi, ular uchun chiqarilgan xavfsizlik yamoqlari yoki yangilanishlarini aniqlash, sinab ko'rish va o'rnatish uchun mustahkam jarayon mavjud.
  • Autentifikatsiya usullaridan aloqa so'nggi nuqtalari ular aytganidek ekanligiga ishonch hosil qilish uchun foydalanish mumkin.
  • Avtomatlashtirilgan teoremani isbotlash va boshqa tekshirish vositalari xavfsiz tizimlarda ishlatiladigan muhim algoritmlar va kodlarni ularning spetsifikatsiyalariga javob berishini matematik jihatdan isbotlash uchun ishlatilishi mumkin.
  • Zaxira nusxalari - bu muhim kompyuter fayllarining bir yoki bir nechta nusxalari. Odatda, bir nechta nusxalar turli joylarda saqlanadi, shuning uchun nusxa o'g'irlangan yoki shikastlangan bo'lsa, boshqa nusxalar saqlanib qoladi.
  • Imtiyozlarni ajratish va kirishni majburiy boshqarishni ta'minlash uchun imkoniyatlar va kirishni boshqarish ro'yxati texnikasidan foydalanish mumkin. Imkoniyatlar vs. ACLlar ulardan foydalanishni muhokama qiladi.
  • Ishonch zanjiri usullaridan barcha yuklangan dasturiy ta'minot tizim dizaynerlari tomonidan haqiqiyligi sertifikatlanganligiga ishonch hosil qilish uchun foydalanish mumkin.
  • Maxfiylik - boshqa vakolatli shaxsdan tashqari ma'lumotlarning oshkor qilinmasligi[13].
  • Kriptografik usullar tizimlar o'rtasida tranzitda ma'lumotlarni himoya qilish uchun ishlatilishi mumkin, bu tizimlar o'rtasidagi ma'lumotlar almashinuvini ushlab turish yoki o'zgartirish ehtimolini kamaytiradi.
  • Kiberurush - bu axborot va axborot tizimlariga siyosiy sabablarga ko'ra hujumlarni o'z ichiga olgan Internetga asoslangan mojaro. Bunday hujumlar, masalan, rasmiy veb-saytlar va tarmoqlarni o'chirib qo'yishi, muhim xizmatlarni to'xtatishi yoki o'chirib qo'yishi, maxfiy ma'lumotlarni o'g'irlashi yoki o'zgartirishi va moliyaviy tizimlarni buzishi mumkin.
  • Ma'lumotlar yaxlitligi - bu saqlangan ma'lumotlarning aniqligi va izchilligi, bu ma'lumotlar yozuvining ikki yangilanishi o'rtasida ma'lumotlarda hech qanday o'zgarishlarning yo'qligi bilan ko'rsatiladi[14].
 
Kriptografik usullar ma'lumotni o'zgartirishni, uni shifrlashni o'z ichiga oladi, shuning uchun uzatish paytida uni o'qib bo'lmaydi. Belgilangan qabul qiluvchi xabarni ochishi mumkin; Ideal holda, tinglovchilar buni qila olmaydi.
  • Shifrlash xabarning maxfiyligini himoya qilish uchun ishlatiladi. Kriptografik jihatdan xavfsiz shifrlar ularni buzishning har qanday amaliy urinishini amalga oshirib bo'lmaydigan qilish uchun mo'ljallangan. Simmetrik kalitli shifrlar umumiy kalitlardan foydalangan holda ommaviy shifrlash uchun javob beradi va raqamli sertifikatlar yordamida ochiq kalitli shifrlash kalitni oldindan almashganda xavfsiz muloqot qilish muammosini amaliy hal qilishi mumkin.
  • Oxirgi nuqta xavfsizligi dasturi tarmoqlarga noutbuklar, mobil qurilmalar va USB drayvlar kabi potentsial infektsiyalangan qurilmalarning tarqalishi tufayli zaif bo'lgan tarmoq kirish nuqtalarida zararli dasturlarning infektsiyasi va ma'lumotlar o'g'irlanishining oldini olishda yordam beradi[15].
  • Faervollar faqat belgilangan qoidalarga mos keladigan trafikni ta'minlaydigan tarmoqlar o'rtasida darvozabon tizimi bo'lib xizmat qiladi. Ular ko'pincha batafsil jurnalni o'z ichiga oladi va hujumni aniqlash va kirishni oldini olish xususiyatlarini o'z ichiga olishi mumkin. Ular kompaniyaning mahalliy tarmoqlari va Internet o'rtasida deyarli universaldir, lekin tarmoq segmentatsiyasi sozlangan bo'lsa, tarmoqlar o'rtasida yo'l harakati qoidalarini o'rnatish uchun ichki foydalanish mumkin.
  • Hacker - bu himoya tizimini buzish va kompyuter tizimi yoki tarmoqdagi zaif tomonlardan foydalanishga intiladigan odam.
  • Asal kostryulkalar - bu krakerlar tomonidan ataylab himoyasiz qoldirilgan kompyuterlar. Ulardan krakerlarni tutish va ularning texnikasini aniqlash uchun foydalanish mumkin.
  • Bosqinlarni aniqlash tizimlari tarmoqlar yoki tizimlarni zararli faoliyat yoki siyosat buzilishini kuzatuvchi qurilmalar yoki dasturiy ilovalardir.
  • Mikroyadro - bu eng imtiyozli darajada ishlaydigan va operatsion tizimning boshqa elementlarini, masalan, qurilma drayverlari, protokollar steklari va fayl tizimlarini xavfsizroq, kamroq ishlatadigan operatsion tizim dizayniga yondashuv. imtiyozli foydalanuvchi maydoni .
  • Pinging . Standart "ping" ilovasidan IP-manzil ishlatilayotganligini tekshirish uchun foydalanish mumkin. Agar shunday bo'lsa, tajovuzkorlar qaysi xizmatlar ko'rsatilishini aniqlash uchun portni skanerlashi mumkin.
  • Port skanerlash kirish mumkin bo'lgan tarmoq xizmatlari va ilovalarini aniqlash uchun ochiq portlar uchun IP-manzilni tekshirish uchun ishlatiladi.
  • Kalit qaydnomasi foydalanuvchi kompyuter klaviaturasida yozgan har bir tugmani jimgina yozib oladigan va saqlaydigan josuslik dasturidir.
  • Ijtimoiy muhandislik - bu odamlarni xavfsizlikni buzish uchun manipulyatsiya qilish uchun yolg'ondan foydalanish.
  • Mantiqiy bombalar - bu qonuniy dasturga qo'shilgan zararli dastur turi bo'lib, u ma'lum bir hodisa tomonidan ishga tushirilgunga qadar harakatsiz qoladi.
  • Nolinchi ishonch xavfsizligi tarmoq ichida yoki tashqarisida sukut bo'yicha hech kimga ishonilmasligini anglatadi va tarmoqdagi resurslarga kirishga harakat qilayotgan har bir kishidan tekshirish talab qilinadi.

Sohaning taniqli olimlariTahrirlash

ManbalarTahrirlash

  1. Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). "Towards a More Representative Definition of Cyber Security" (en). Journal of Digital Forensics, Security and Law 12 (2). ISSN 1558-7215. https://commons.erau.edu/jdfsl/vol12/iss2/8/. 
  2. Definition & Facts | Britannica“ (en-US). www.britannica.com. Qaraldi: 12-iyul 2022-yil.
  3. Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). "Systematically Understanding Cybersecurity Economics: A Survey". Sustainability 13 (24): 13677. doi:10.3390/su132413677. 
  4. Stevens, Tim (11 June 2018). "Global Cybersecurity: New Directions in Theory and Methods". Politics and Governance 6 (2): 1–4. doi:10.17645/pag.v6i2.1569. https://kclpure.kcl.ac.uk/portal/files/97261726/PaG_6_2_Global_Cybersecurity_New_Directions_in_Theory_and_Methods.pdf. 
  5. 5,0 5,1 Misa, Thomas J. (2016). "Computer Security Discourse at RAND, SDC, and NSA (1958-1970)". IEEE Annals of the History of Computing 38 (4): 12–25. doi:10.1109/MAHC.2016.48. https://dl.acm.org/doi/10.1109/MAHC.2016.48. 
  6. A. J. Neumann, N. Statland and R. D. Webb. „Post-processing audit tools and techniques“ (en-US). nist.gov 11-3–11-4. US Department of Commerce, National Bureau of Standards (1977). Qaraldi: 19-iyun 2020-yil.
  7. Irwin. „How NIST can protect the CIA triad, including the often overlooked 'I' – integrity“. www.itgovernanceusa.com (5-aprel 2018-yil). Qaraldi: 16-yanvar 2021-yil.
  8. Perrin. „The CIA Triad“. techrepublic.com (30-iyun 2008-yil). Qaraldi: 31-may 2012-yil.
  9. Stoneburner, G.; Hayden, C.; Feringa, A. (2004). Engineering Principles for Information Technology Security. csrc.nist.gov. doi:10.6028/NIST.SP.800-27rA. http://csrc.nist.gov/publications/nistpubs/800-27A/SP800-27-RevA.pdf. 
  10. Yost, Jeffrey R. (April 2015). "The Origin and Early History of the Computer Security Software Products Industry". IEEE Annals of the History of Computing 37 (2): 46–58. doi:10.1109/MAHC.2015.21. ISSN 1934-1547. https://ieeexplore.ieee.org/document/7116464. 
  11. Nakashima, Ellen. „Bush Order Expands Network Monitoring: Intelligence Agencies to Track Intrusions“. The Washington Post (26-yanvar 2008-yil). Qaraldi: 8-fevral 2021-yil.
  12. 12,0 12,1 12,2 Nicole Perlroth. „How the U.S. Lost to Hackers“. The New York Times (7-fevral 2021-yil). Qaraldi: 9-fevral 2021-yil. Manba xatosi: Invalid <ref> tag; name "perlroth" defined multiple times with different content Manba xatosi: Invalid <ref> tag; name "perlroth" defined multiple times with different content
  13. „Confidentiality“. Qaraldi: 31-oktabr 2011-yil.
  14. „Data Integrity“. 6-noyabr 2011-yilda asl nusxadan arxivlandi. Qaraldi: 31-oktabr 2011-yil.
  15. „Endpoint Security“ (10-noyabr 2010-yil). 16-mart 2014-yilda asl nusxadan arxivlandi. Qaraldi: 15-mart 2014-yil.

Qo'shimcha o'qish uchunTahrirlash