İnformasiya mühafizəsi problemləri
İnformasiya hər bir cəmiyyətin müntəzəm olaraq artan resursudur. İnsan fəaliyyətinin bütün sahələrinə hesablama texnikası və kommunikasiya texnologiyalarının kütləvi surətdə tətbiqi elektron növ informasiya həcminin artmasına səbəb olur. İnformasiya cəmiyyətinin inkişaf istiqamətlərindən biri olan “Elektron hökumət” bu prosesi daha da sürətləndirir.
Son vaxtlar kütləvi informasiya vasitələrində də informasiya hücumları və kompüter “dağıntıları” haqqında məlumatlara daha tez-tez rast gəlinir.
İnformasiya hücumları haqqında bir neçə statistik rəqəmlər göstərmək olar. Elektron növ informasiyanın korlanması səbəbləri aşağıdakı kimi paylanmışdır: insanların bilməyərəkdən (diqqətsizlik və təcrübəsizlikdən) təsadüfi səhvinə görə -52%, qəsdən törədikləri -10%,texnikanın imtinası və nasazlığı nəticəsində -10%, yanğınlar nəticəsində -15%, su basma halları və ya rütubətdən -10% təşkil edir.
Belə bir sual yaranır: “İnformasiyaya hücum” nə deməkdir? İnformasiya, xüsusilə onun elektron təsviri yüzlərlə növə malik olduğu üçün, bu hərəkətə dəqiq tərif vermək çətindir. Sənədləri, hesablama cədvəllərini, təqdimat slaydlarını, qrafik təsvirləri və s. özündə əks etdirən ayrı-ayrı fayllar, arxivlər, verilənlər bazası və s. informasiya hesab edilə bilər. Bütün bu informasiya obyektləri müəyyən sosial qrup şəxsləri tərəfindən müxtəlif hücumlara məruz qalırlar. Hər bir informasiya mülkiyyətçisi onun saxlanması və istifadə olunması zamanı xüsusi iş qaydaları (protokol) təyin edir. Bu qaydaların bilərəkdən pozulması informasiyaya hücum kimi təsnifatlaşdırılır.
Bəs informasiya hücumlarının hansı nəticələri mümkündür?
İnformasiyaya olan tələbatı ödəmək üçün yaradılmış sistemlərin sıradan çıxması şəbəkə inzibatçılarına, təşkilat və müəsisələrə, o cümlədən ayrı-ayrı istifadəçilərə təkcə texnoloji cəhətdən ziyanların vurulmasından ibarət deyil.
Burada iqtisadi itkilər də diqqəti cəlb edir:
- Kommersiya xarakterli informasiyanın (sirrin) yayılması müəsisə üçün ciddi itkilərə səbəb ola bilər.
- Böyük həcmdə informasiyanın oğurlanması haqqında məlumatın yayılması adətən şirkətin nüfuzunu aşağı salır;
- Rəqabətdə olduğu şirkətlərə sızmış informasiya hesabına şirkət tamamilə müflisləşə bilər;
- Ötürülməsi, eləcədə saxlanması mərhələlərində informasiyanın saxtalaşdırılması şirkətin böyük itkilərinə səbəb ola bilər və s.
İnformasiya hücumları böyük mənəvi ziyanlar da vura bilər. Hesab olunur ki, heç bir müəllif (istifadəçi) yazdığı adi məktubun (məlumatın) belə ünvanlandığı müsahibindən əlavə başqalarının əlinə keçəcəyini və ya saxtalaşdırılacağını düşünmək belə istəmir.
İnformasiya təqdimat formasından asılı olmayaraq obyektlər, proseslər, hadisələr və s. haqqında məlumatdır. Eşbiyə görə informasiya müxtəlifləri və ya seçim variantlarını azaldır. Şennona görə isə informasiya qeyri-müəyyənliyi aradan qaldırır. Qeyri-müəyyənliyi iki dəfə azaldan məlumat 1 bit informasiya daşıyır. Bit (ing. Binary digit) informasiya miqdarının ən kiçik ölçü vahidi olub 2 hərfli əlifbanın {0,1}- sıfır və vahiddən ibarət bir işarəsini təsvir edir.
Səkkiz bit 1 bayt təşkil edir. Bayt kompüterlərdə təsvir olunan informasiyanın əsas ölçü vahidi – ünvanlanan ən kiçik yaddaş hissəsi hesab edilir.
İnformasiya insanlar, avtomatlar və sistemlər arasında müxtəlif təyinatlı məqsədlər üçün istifadə olunur. İstifadəçilər üçün informasiyanın bir sıra vacib xassələrini qeyd etmək olar. Müsahib (qəbul edən) üçün başa düşülən dildə ifadə olunmuş məlumat aydın (açıq) informasiya adlanır. Etibarlı informasiya gerçəkliyi əks etdirir. Hal-hazırda mövcud olan və ən vacib məlumat obyektiv informasiya hesab olunur. Faydalı informasiya məqsədə çatmaq dərəcəsini artırır. Başa düşülməsi və qərar qəbul edilməsi üçün kifayət edən məlumat tam (bütöv) informasiya hesab edilir. İstifadəsi nəticəsində vaxt və müxtəlif növ itkilərin azalma dərəcəsi informasiyanın dəyərlilik göstəricisini müəyyən edir. Bu itkiləri artıran məlumat isə zərərli ( mənfi ) informasiya hesab olunur.
İnformasiya sistemi verilənlərin yığılıb toplanması, saxlanması, axtarışı, emalı və mübadiləsini reallaşdıran texniki vəsaitlər, müvafiq proqram təminatı və personaldan (heyətdən) ibarət qarşılıqlı əlaqəli elementlər çoxluğunu təsvir edir. Avtomatlaşdırılmış informasiya sistemləri və şəbəkələrin əsas aparat vasitələri hesablama texnikası və kommunikasiya vasitələri hesab olunur.
İnformasiyanın təsvir olunması üçün sonlu sayda şərti işarələr sistemi təşkil edən kodlardan istifadə olunur. Daha münasib formada saxlanması, mübadiləsi, işlənməsi (emalı) və mühafizə olunması üçün informasiya bir təsvir formasından digərinə çevrilə bilər.
İnformasiyanın təsvir formasının dəyişdirilməsində məqsəd məlumatların yığcamlaşdırılması ( sıxlaşdırması), məxfiləşdirilməsi ( şifrələnməsi), əlverişli və şəffav istifadə edilməsi (kodlanması) ola bilər.
Bu üç çevirmə növü bir-birini qismən tamamlayır və onların birgə tətbiq edilməsi informasiyanın etibarlı mühafizəsini nəzərə almaqla yaddaş sahəsinin və rabitə kanallarının effektli istifadə olunmasına imkan verir. Şifrələmə və kodlama metodları xüsusi maraq doğurur. Təsdiq etmək olar ki, mahiyyətinə görə kodlama elementar şifrələmə, şifrələmə isə maneyə davamlı kodlamadır. Digər imkan şifrələmə və sıxlaşdırma alqoritmlərinin kombinasiya edilməsidir.
Arxivləşdirmə məlumatın eyni əlifba daxilində elə çevrilməsindən ibarətdir ki, onun uzunluğu qısalsın, bu zaman əlavə heç bir informasiya istifadə etmədən bərpa olunsun. Informasiya ayrı-ayrl kod və ya onların müftəlif kombinasiyaları ilə təsvir oluna bilər.
Təhlükəsizlik baxımından informasiya aşağıdakı kateqoriyalara bölünür.
- Konfidensiallıq (məxfilik) – konkret informasiyanın yalnız aiddiyatı olduğu dairələr tərəfindən istifadə olunmasına zəmanət. Bu kateqoriyanın pozulması informasiyanın oğurlanması və məxfiliyinin açılması kimi qiymətləndirilir.
- Bütövlük (tamlıq) – informasiyanın ilkin vəziyyətindəki kimi mövcud olmasına, yəni onun saxlanması və mübadiləsi zamanı heç bir icazəsiz dəyişikliyə məruz qalmadığına zəmanət. Bu kateqoriyanın pozulması məlumatın saxtalaşdırılması kimi qiymətləndirilir.
- Açıqlıq – səlahiyyətli istifadəcilərin icazəli vaxtlarda informasiyaya daxilolma imkanına zəmanət. Bu imkanın olmaması informasiyanın təcdirləşdirilməsi kimi qiymətləndirilir.
- Autentiklik və apellyasiyalıq- informasiya mənbəyinin məhz müəllif kimi elan edilmiş subyektin olmasına və zəruri hallarda məlumat müəllifinin başqası deyil, məhz elan edilmiş subyektin (şəxsin) olmasını sübut etməyə zəmanət. Bu kateqoriyaların pozulması zamanı məlumatın müəllifin saxtalaşdırılması baş verir və müəllif özü imzaladığı sənədin ona məxsusluğundan imtina etməyə cəhd edir.
Informasiya-hesablama şəbəkələrinə nəzərən digər kateqoriyalar da tətbiq edilir:
- Etibarlılıq – sistemin normal və ştatdankənar rejimlərdə özünü yalnız planlaşdırdığı kimi aparmasına zəmanət;
- Dəqiqlik – bütün əmrlərin dəqiq və tam yerinə yetirilməsinə zəmanət;
- Müraciət və identifikasiya nəzarəti – informasiya obyektinə ayrı-ayrı şəxs və qrupların müraciəti müxtəlif cür məhdudlaşdırılır və bu məhdudiyyətlərin müntəzəm olaraq yerinə yetirilməsinə və sistemə verilmiş anda qoşulan abunəçinin məhz özünün olmasına zəmanət;
- Qəsdlə edilən səhvlərə dayanıqlıq — əvvəlcədən razılaşdırılmış qayda daxilində bilərəkdən yol verilmiş xətalar zamanı sistemin əvvəlcədən planlaşdırdığı kimi fəaliyyət göstərməsinə zəmanət.
Verilənlər, hər biri mühafizə təminatına görə öz xüsusi tələblərinə malik olan dörd təhlükəsizlik sinfinə bölünür: böhranlı informasiya, kommersiya sirri, fərdi informasiya, daxili istifadəli.
- Ø Böhranlı informasiya: bu, icazəsiz dəyişiklik və daşıyıcılardan silinməyən mühafizə olunmasına görə bütövlük zəmanətini təmin etmək üçün xüsusi təhlükəsizlik tədbirləri tələb edən informasiyaya tətbiq olunur. Bu informasiya dəqiqlik və tamlığa nisbətən daha yüksək zəmanət tələb edir. Böhranlı informasiyaya nümunə kimi kommersiya və maliyyə əməliyyatlarındakı informasiyanı, rəhbərliyin sərəncamlarını və ya xidmət sifarişini göstərmək olar.
- Ø Kommersiya sirri: bu yalnız təşkilat daxilində istifadə olunması üçün təyin edilmiş bphranlı kommersiya informasiyasına tətbiq edilir. Onun icazəsiz və müəllifsiz yayılması meəsisəyə, onun aksionerlərinə, işgüzar tərəfdarlarına və ya müştərilərinə ciddi ziyanlar vura bilər.
- Ø Fərdi informasiya: bu, əməkdaş haqqnda yalnız müəsisə daxilində istifadə olunmasına icazə verilən informasiyaya tətbiq edilir. Onun icazəsiz və müəllifsiz yayılması müəsisəyə və ya əməkdaşlarına ciddi ziyanlar vura bilər.
- Ø Daxili istifadəli: bu sinfə yuxarıda göstərilən əlamətlərə malik olmayan informasiya aid edilir. Onun icazəsiz və müəllifsiz yayılması təhlükəsizlik siyasətini pozmasa da, müəsisəyə, onun əməkdaşlarına və ya müştərilərinə ciddi ziyanlar vura bilər.
Rabitə şəbəkələrində verilənlər “məlumat” və “abunəçi informasiyası” anlayışlarına görə təsnifatlaşdırılır. Informasiya hasil və ya istifadə edən hər bir obyekt bu şəbəkələrdə abunəçi hesab olunur. Abunəçi məxsusi və xidməti informasiyadan ibarət məlumat hasil edir. Rabitə şəbəkəsi isə siqnallar ilə təsvir olunan bu məlumatın mübadiləsini təmin edir.
Təhlükə (təhdid) kiminsə maraqlarına ziyan vura biləcək potensial mümkün hadisə, fəaliyyət, proses, qəziyyə hesab olunur. Təhlükəsizliyin pozulması (ziyanın vurulması) həmin təhdidin informasiya sistemləri və şəbəkələrində mümkün potensial təhlükələrin təhlili əsasında yaranma təbiətinə görə onları iki sinfə ayırırlar: təbii və süni təhlükələr reallaşması nəticəsində baş verir.
Təbii təhlükələr – insanlardan asılı olmadan baş verən obyektiv fiziki proseslərin və ya təbiət hadisələrinin kompüter sistemlərinə və şəbəkələrinə, eləcə də onların elementlərinə təsiri nəticəsində yaranan təhlükələrdir. Yanğın, su basma, zəlzələ və digər təbii hadisələr baş verdikdə kompüter texnikasının, kommunikasiya qurğularının və digər informasiya daşıyıcılarının mühafizəsi və saxlanması üçün qabaqlayıcı tədbirlər görülməlidir. Texnikada baş verən nasazlıq, kabellərin və kommunikasiya vasitələrinin sıradan çıxması nəticəsində də ciddi informasiya itkisi yarana bilər.
Süni təhlükələr – informasiya sistemləri və şəbəkələrində insan fəaliyyəti və təsiri nəticəsində meydana çıxan təhlükələrdir. Yaranma səbəblərini və hərəkətlərin əsaslarını nəzərə alaraq süni təhlükələri iki yerə ayırmaq olar:
* Qəsdən törədilən (qərəzli) təhlükələr – ziyankarların bəd niyyətli, qərəzli fəaliyyəti nəticəsində yaranan təhlükələrdir.
* Qəsdən törədilməyən (təsadüfən baş verən) təhlükələr – telekommunikasiya və kompüter sistemlərinin və onların elementlərinin layihələndirilməsi prosesində, proqram təminatında, işçi personalın fəaliyyətində və s. buraxılan səhvlər nəticəsində yaranır.
İnformasiya caniləri sistemə daxil olmazdan qabaq təhlükəsizlik vasitələrini hərtərəfli öyrənirlər.
0 şərh