Kompyuter xavfsizligi

Kompyuter xavfsizligi, kiberxavfsizlik yoki axborot texnologiyalari xavfsizligi (IT xavfsizligi) — bu kompyuter tizimlari va tarmoqlarini maʼlumotlarni oshkor qilish, oʻgʻirlash yoki ularning apparat, dasturiy taʼminot yoki elektron maʼlumotlariga zarar etkazish, shuningdek, buzilishdan himoya qilish. Ular taqdim etadigan xizmatlarni notoʻgʻri yoʻnaltirish^[1]^[2].

Axborot texnalogiyalari xavfsizligi sohasi kompyuter tizimlari, Internet, Bluetooth, Wi-Fi kabi simsiz tarmoq standartlariga boʻlgan ishonchning kengayishi. Aqlli qurilmalar, jumladan, smartfonlar, televizorlar va turli xil qurilmalarning oʻsishi tufayli muhim ahamiyatga ega boʻldi. Buyumlarning internetini(IoT) tashkil etuvchi qurilmalar. Kiberxavfsizlik ham siyosiy foydalanish, ham texnologiya nuqtai nazaridan axborot tizimlarining murakkabligi tufayli bugungi kunda muhim muammolardan biri hisoblanadi. Uning asosiy maqsadi: tizimning ishonchliligi, yaxlitligi hamda maʼlumotlar maxfiyligini taʼminlashdan iborat.

Tarixi[tahrir | manbasini tahrirlash]

Internet paydo boʻlganidan beri va soʻnggi yillarda boshlangan raqamli transformatsiya hamda kiberxavfsizlik tushunchasi professional va shaxsiy hayotimizda tanish mavzuga aylandi. Kiberxavfsizlik va kibertahdidlar texnologik oʻzgarishlari soʻnggi 50 yilida doimiy ravishda mavjud boʻlib kelmoqda. 1970-1980-yillarda kompyuter xavfsizligi, asosan Internet kontseptsiyasi paydo boʻlgunga qadar akademik qoidalar bilan cheklangan. Bu yerda ulanishning kuchayishi bilan kompyuter viruslari va tarmoq hujumlari avj ola boshladi. 1990-yillarda viruslar tarqalgach, 2000-yillarda kibertahdidlar hamda kiberxavfsizlikni institutsionalizatsiyani belgiladi.

1967-yil aprel oyida Uillis Uor tomonidan bahorgi qoʻshma kompyuter konferentsiyasida uyushtirilgan sessiya va Ware hisobotining keyinchalik nashr etilishi kompyuter xavfsizligi sohasi tarixida poydevor boʻlgan^[3]. Warening ishi moddiy, madaniy, siyosiy va ijtimoiy muammolar kesishgan^[3].

1977-yilgi NIST nashri^[4] asosiy xavfsizlik maqsadlarini tavsiflashning aniq va sodda usuli sifatida Maxfiylik, yaxlitlik va mavjudlik „CIA triadasi“ni taqdim etgan^[5]. Hali ham dolzarb boʻlsa-da, keyinchalik koʻplab ishlab chiqilgan ramkalar taklif qilindi^[6]^[7].

Biroq, 1970-1980-yillarda jiddiy kompyuter tahdidlari hali mavjud boʻlmagan, chunki kompyuterlar va internet hali ham rivojlanmoqda va xavfsizlik tahdidlarini osongina aniqlash mumkin boʻlgan. Koʻpincha tahdidlar maxfiy hujjatlar hamda fayllarga ruxsatsiz kirish huquqiga ega boʻlgan zararli insayderlar tomonidan yaratilgan. Zararli dasturiy taʼminot hamda tarmoq buzilishi dastlabki yillarda mavjud boʻlsa-da, ular bu soha faoliyatidan moliyaviy foyda olish uchun foydalanmagan. 1970-yillarning ikkinchi yarmiga kelib, IBM kabi kompyuter firmalari tashkil etilgan. Bunda tijorat kirishni boshqarish tizimlari va kompyuter xavfsizligi dasturiy mahsulotlarini taklif qila boshladilar^[8].

Bu 1971-yilda Creeper bilan boshlangan. Creeper BBN da Bob Tomas tomonidan yozilgan eksperimental kompyuter dasturi edi. Bu birinchi kompyuter qurti hisoblanadi. 1972-yilda Reaper deb nomlangan birinchi antivirus dasturi yaratildi. U Rey Tomlinson tomonidan ARPANET boʻylab harakatlanishi hamda Creeper qurtiga qarshi kurashishi uchun yaratilgan.

1986-yil sentyabrdan 1987-yil iyungacha bir guruh nemis xakerlari birinchi hujjatlashtirilgan kiber josuslik ishini amalga oshirdilar. Guruh amerikalik mudofaa pudratchilari, universitetlari hamda harbiy bazalari tarmoqlariga buzib kirishgan. Toʻplangan maʼlumotlarni Sovet KGBsiga sotgan. Guruhni 1987-yil 29-iyunda hibsga olingan Markus Xess boshqargan. 1990-yil 15-fevralda u josuslikda ayblangan (ikkita sherik bilan birga).

1988-yilda Morris worm deb nomlangan birinchi kompyuter qurtlaridan biri Internet orqali tarqatildi. Bu ommaviy axborot vositalarining katta eʼtiborini tortdi.

1993-yilda Milliy Superkompyuter ilovalari markazi (NCSA) 1993-yilda birinchi veb-brauzer Mosaic 1.0 ni ishga tushirganidan koʻp oʻtmay, Netscape SSL protokolini ishlab chiqishni boshladi. Netscape 1994-yilda SSL 1.0 versiyasini tayyorlagan. Lekin koʻplab jiddiy xavfsizlik zaifliklari tufayli u hech qachon ommaga chiqarilmadi. Ushbu zaif tomonlarga takroriy hujumlar hamda xakerlarga foydalanuvchilar tomonidan yuborilgan shifrlanmagan aloqalarni oʻzgartirish imkonini beruvchi zaiflik kiradi. Biroq, 1995-yil fevral oyida Netscape 2.0 versiyasini ishga tushirgan.

Muvaffaqiyatsiz hujum strategiyasi[tahrir | manbasini tahrirlash]

Milliy xavfsizlik agentligi (NSA) AQSh axborot tizimlarini himoya qilish, shuningdek, xorijiy razvedka maʼlumotlarini yigʻish uchun javobgar hisoblangan^[9]. Bu ikki vazifa bir-biriga zid boʻlgan. Axborot tizimlarini himoya qilish dasturiy taʼminotni baholash, xavfsizlik kamchiliklarini aniqlash hamda kamchiliklarni tuzatish choralarini koʻrishni oʻz ichiga olgan. Razvedka maʼlumotlarini toʻplash uchun xavfsizlik kamchiliklaridan foydalanishni oʻz ichiga oladi. Bu esa tajovuzkor harakat hisoblangan. Xavfsizlik kamchiliklarini tuzatish kamchiliklarni NSA ekspluatatsiyasi uchun imkonsiz qilgan

Agentlik Amerika Qoʻshma Shtatlaridagi raqobatchilarga qarshi tajovuzkor maqsadlarda saqlaydigan xavfsizlik kamchiliklarini aniqlash uchun keng tarqalgan dasturiy taʼminotni tahlil qilagan. Agentlik kamdan-kam hollarda dasturiy taʼminot ishlab chiqaruvchilariga kamchiliklar haqida xabar bergan. Ularni bartaraf etish uchun ham himoya choralarini shu davrda kamdan-kam koʻrilgan^[10].

Hujum strategiyasi bir muncha vaqt ishladi, ammo oxir-oqibat boshqa davlatlar, jumladan, Rossiya, Eron, Shimoliy Koreya va Xitoy ham oʻzlarining hujum qobiliyatiga ega boʻlishdi. Undan AQShga qarshi foydalanishdi. NSA pudratchilari AQSh agentliklari va yaqin ittifoqchilariga „klik va oʻq“ hujum vositalarini yaratdilar, sotdilar. 2016-yilda NSAning shaxsiy xakerlik vositalari buzib kirilgan va ulardan Rossiya va Shimoliy Koreya foydalangan. NSA xodimlari va pudratchilari kiberurushda raqobatlashishdan xavotirda boʻlganlar va qarshi tomonlardan yuqori maoshga yollangan^[10].

Bunga misol 2007-yilda Qoʻshma Shtatlar va Isroil Eronda yadroviy materiallarni qayta ishlash uchun ishlatiladigan uskunalarga hujum qilish va ularga zarar etkazish uchun Microsoft Windows operatsion tizimidagi xavfsizlik kamchiliklaridan foydalana boshlagandan soʻng Eron ham bunga javoban oʻzining kiberurush qobiliyatiga katta sarmoya kiritgan. AQShga qarshi foydalanishni boshlagan^[10].

Terminologiyalari[tahrir | manbasini tahrirlash]

Kompyuter xavfsizligi uchun ishlatiladigan quyidagi atamalar quyida tushuntiriladi:

Kirish avtorizatsiyasi autentifikatsiya tizimlaridan foydalanish orqali bir guruh foydalanuvchilar uchun kompyuterga kirishni cheklaydi. Ushbu tizimlar interaktiv kirish ekrani kabi butun kompyuterni yoki FTP serveri kabi alohida xizmatlarni himoya qilishi mumkin. Parollar, identifikatsiya kartalari, smart -kartalar va biometrik tizimlar kabi foydalanuvchilarni aniqlash va autentifikatsiya qilishning koʻplab usullari mavjud.
Antivirus dasturlari kompyuter viruslari va boshqa zararli dasturlarni (zararli dastur) aniqlash, oldini olish va yoʻq qilishga harakat qiladigan kompyuter dasturlaridan iborat.
Ilovalar bajariladigan koddir, shuning uchun umumiy amaliyot foydalanuvchilarga ularni oʻrnatishga ruxsat bermaslikdir; faqat obroʻli deb maʼlum boʻlganlarni oʻrnatish — va imkon qadar kamroq oʻrnatish orqali hujum yuzasini kamaytirish. Ular odatda eng kam imtiyozlar bilan ishlaydi, ular uchun chiqarilgan xavfsizlik yamoqlari yoki yangilanishlarini aniqlash, sinab koʻrish va oʻrnatish uchun mustahkam jarayon mavjud.
Autentifikatsiya usullaridan aloqa soʻnggi nuqtalari ular aytganidek ekanligiga ishonch hosil qilish uchun foydalanish mumkin.
Avtomatlashtirilgan teoremani isbotlash va boshqa tekshirish vositalari xavfsiz tizimlarda ishlatiladigan muhim algoritmlar va kodlarni ularning spetsifikatsiyalariga javob berishini matematik jihatdan isbotlash uchun ishlatilishi mumkin.
Zaxira nusxalari — bu muhim kompyuter fayllarining bir yoki bir nechta nusxalari. Odatda, bir nechta nusxalar turli joylarda saqlanadi, shuning uchun nusxa oʻgʻirlangan yoki shikastlangan boʻlsa, boshqa nusxalar saqlanib qoladi.
Imtiyozlarni ajratish va kirishni majburiy boshqarishni taʼminlash uchun imkoniyatlar va kirishni boshqarish roʻyxati texnikasidan foydalanish mumkin. Imkoniyatlar vs. ACLlar ulardan foydalanishni muhokama qiladi.
Ishonch zanjiri usullaridan barcha yuklangan dasturiy taʼminot tizim dizaynerlari tomonidan haqiqiyligi sertifikatlanganligiga ishonch hosil qilish uchun foydalanish mumkin.
Maxfiylik — boshqa vakolatli shaxsdan tashqari maʼlumotlarning oshkor qilinmasligi^[11].
Kriptografik usullar tizimlar oʻrtasida tranzitda maʼlumotlarni himoya qilish uchun ishlatilishi mumkin, bu tizimlar oʻrtasidagi maʼlumotlar almashinuvini ushlab turish yoki oʻzgartirish ehtimolini kamaytiradi.
Kiberurush — bu axborot va axborot tizimlariga siyosiy sabablarga koʻra hujumlarni oʻz ichiga olgan Internetga asoslangan mojaro. Bunday hujumlar, masalan, rasmiy veb-saytlar va tarmoqlarni oʻchirib qoʻyishi, muhim xizmatlarni toʻxtatishi yoki oʻchirib qoʻyishi, maxfiy maʼlumotlarni oʻgʻirlashi yoki oʻzgartirishi va moliyaviy tizimlarni buzishi mumkin.
Maʼlumotlar yaxlitligi — bu saqlangan maʼlumotlarning aniqligi va izchilligi, bu maʼlumotlar yozuvining ikki yangilanishi oʻrtasida maʼlumotlarda hech qanday oʻzgarishlarning yoʻqligi bilan koʻrsatiladi^[12].

Shifrlash xabarning maxfiyligini himoya qilish uchun ishlatiladi. Kriptografik jihatdan xavfsiz shifrlar ularni buzishning har qanday amaliy urinishini amalga oshirib boʻlmaydigan qilish uchun moʻljallangan. Simmetrik kalitli shifrlar umumiy kalitlardan foydalangan holda ommaviy shifrlash uchun javob beradi va raqamli sertifikatlar yordamida ochiq kalitli shifrlash kalitni oldindan almashganda xavfsiz muloqot qilish muammosini amaliy hal qilishi mumkin.
Oxirgi nuqta xavfsizligi dasturi tarmoqlarga noutbuklar, mobil qurilmalar va USB drayvlar kabi potentsial infektsiyalangan qurilmalarning tarqalishi tufayli zaif boʻlgan tarmoq kirish nuqtalarida zararli dasturlarning infektsiyasi va maʼlumotlar oʻgʻirlanishining oldini olishda yordam beradi^[13].
Faervollar faqat belgilangan qoidalarga mos keladigan trafikni taʼminlaydigan tarmoqlar oʻrtasida darvozabon tizimi boʻlib xizmat qiladi. Ular koʻpincha batafsil jurnalni oʻz ichiga oladi va hujumni aniqlash va kirishni oldini olish xususiyatlarini oʻz ichiga olishi mumkin. Ular kompaniyaning mahalliy tarmoqlari va Internet oʻrtasida deyarli universaldir, lekin tarmoq segmentatsiyasi sozlangan boʻlsa, tarmoqlar oʻrtasida yoʻl harakati qoidalarini oʻrnatish uchun ichki foydalanish mumkin.
Hacker — bu himoya tizimini buzish va kompyuter tizimi yoki tarmoqdagi zaif tomonlardan foydalanishga intiladigan odam.
Asal kostryulkalar — bu krakerlar tomonidan ataylab himoyasiz qoldirilgan kompyuterlar. Ulardan krakerlarni tutish va ularning texnikasini aniqlash uchun foydalanish mumkin.
Bosqinlarni aniqlash tizimlari tarmoqlar yoki tizimlarni zararli faoliyat yoki siyosat buzilishini kuzatuvchi qurilmalar yoki dasturiy ilovalardir.
Mikroyadro — bu eng imtiyozli darajada ishlaydigan va operatsion tizimning boshqa elementlarini, masalan, qurilma drayverlari, protokollar steklari va fayl tizimlarini xavfsizroq, kamroq ishlatadigan operatsion tizim dizayniga yondashuv. imtiyozli foydalanuvchi maydoni .
Pinging . Standart „ping“ ilovasidan IP-manzil ishlatilayotganligini tekshirish uchun foydalanish mumkin. Agar shunday boʻlsa, tajovuzkorlar qaysi xizmatlar koʻrsatilishini aniqlash uchun portni skanerlashi mumkin.
Port skanerlash kirish mumkin boʻlgan tarmoq xizmatlari va ilovalarini aniqlash uchun ochiq portlar uchun IP-manzilni tekshirish uchun ishlatiladi.
Kalit qaydnomasi foydalanuvchi kompyuter klaviaturasida yozgan har bir tugmani jimgina yozib oladigan va saqlaydigan josuslik dasturidir.
Ijtimoiy muhandislik — bu odamlarni xavfsizlikni buzish uchun manipulyatsiya qilish uchun yolgʻondan foydalanish.
Mantiqiy bombalar — bu qonuniy dasturga qoʻshilgan zararli dastur turi boʻlib, u maʼlum bir hodisa tomonidan ishga tushirilgunga qadar harakatsiz qoladi.
Nolinchi ishonch xavfsizligi tarmoq ichida yoki tashqarisida sukut boʻyicha hech kimga ishonilmasligini anglatadi va tarmoqdagi resurslarga kirishga harakat qilayotgan har bir kishidan tekshirish talab qilinadi.

Sohaning taniqli olimlari[tahrir | manbasini tahrirlash]

Manbalar[tahrir | manbasini tahrirlash]

↑ Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). "Towards a More Representative Definition of Cyber Security" (en). Journal of Digital Forensics, Security and Law 12 (2). ISSN 1558-7215. https://commons.erau.edu/jdfsl/vol12/iss2/8/.
↑ „computer security | Definition & Facts | Britannica“ (en-US). www.britannica.com. Qaraldi: 2022-yil 12-iyul.
↑ ^3,0 ^3,1 Misa, Thomas J. (2016). "Computer Security Discourse at RAND, SDC, and NSA (1958-1970)". IEEE Annals of the History of Computing 38 (4): 12–25. doi:10.1109/MAHC.2016.48. https://dl.acm.org/doi/10.1109/MAHC.2016.48.
↑ A. J. Neumann, N. Statland and R. D. Webb. „Post-processing audit tools and techniques“ (en-US). nist.gov 11-3–11-4. US Department of Commerce, National Bureau of Standards (1977). Qaraldi: 2020-yil 19-iyun.
↑ Irwin. „How NIST can protect the CIA triad, including the often overlooked 'I' – integrity“. www.itgovernanceusa.com (2018-yil 5-aprel). Qaraldi: 2021-yil 16-yanvar.
↑ Perrin. „The CIA Triad“. techrepublic.com (2008-yil 30-iyun). Qaraldi: 2012-yil 31-may.
↑ Stoneburner, G.; Hayden, C.; Feringa, A. (2004). Engineering Principles for Information Technology Security. csrc.nist.gov. doi:10.6028/NIST.SP.800-27rA. Archived from the original on 2011-08-15. https://web.archive.org/web/20110815124528/http://csrc.nist.gov/publications/nistpubs/800-27A/SP800-27-RevA.pdf. Qaraldi: 2022-11-26. Kompyuter xavfsizligi]]
↑ Yost, Jeffrey R. (April 2015). "The Origin and Early History of the Computer Security Software Products Industry". IEEE Annals of the History of Computing 37 (2): 46–58. doi:10.1109/MAHC.2015.21. ISSN 1934-1547. https://ieeexplore.ieee.org/document/7116464.
↑ Nakashima, Ellen. „Bush Order Expands Network Monitoring: Intelligence Agencies to Track Intrusions“. The Washington Post (2008-yil 26-yanvar). Qaraldi: 2021-yil 8-fevral.
↑ ^10,0 ^10,1 ^10,2 Nicole Perlroth. „How the U.S. Lost to Hackers“. The New York Times (2021-yil 7-fevral). 2021-yil 28-dekabrda asl nusxadan arxivlangan. Qaraldi: 2021-yil 9-fevral.
↑ „Confidentiality“. Qaraldi: 2011-yil 31-oktyabr.
↑ „Data Integrity“. 2011-yil 6-noyabrda asl nusxadan arxivlangan. Qaraldi: 2011-yil 31-oktyabr.
↑ „Endpoint Security“ (2010-yil 10-noyabr). 2014-yil 16-martda asl nusxadan arxivlangan. Qaraldi: 2014-yil 15-mart.

Qoʻshimcha oʻqish uchun[tahrir | manbasini tahrirlash]

Jeremi Bob, Yona (2021) " IDFning sobiq kiber-razvedka xodimi kiberhuquqning sirlarini ochib berdi ". The Jerusalem Post
Filial, J. (2020). " Ismda nima bor? Metaforalar va kiberxavfsizlik. " Xalqaro tashkilot.
978-9284501960
Fuller, Kristofer J. "Qoʻshma Shtatlarning kiber (in) xavfsizligining ildizlari, Diplomatik tarix 43:1 (2019): 157-185. onlayn
978-1494932633
978-3319172439
Montagnani, Mariya Lilla va Kavallo, Mirta Antonella (2018 yil 26 iyul). " Katta maʼlumotlar dunyosida kiberxavfsizlik va javobgarlik ". SSRN.
978-0199918119
978-1466572133
M. Shariati va boshqalar. / Procedia Computer Science 3 (2011) 537-543. Korxona axborot xavfsizligi, oʻzaro ishlash nuqtai nazaridan arxitektura va ramkalarni koʻrib chiqish

[:2-1] Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). "Towards a More Representative Definition of Cyber Security" (en). Journal of Digital Forensics, Security and Law 12 (2). ISSN 1558-7215. https://commons.erau.edu/jdfsl/vol12/iss2/8/.

[2] „computer security | Definition & Facts | Britannica“ (en-US). www.britannica.com. Qaraldi: 2022-yil 12-iyul.

[MAHC.2016.48-3] 3,0 ^3,1 Misa, Thomas J. (2016). "Computer Security Discourse at RAND, SDC, and NSA (1958-1970)". IEEE Annals of the History of Computing 38 (4): 12–25. doi:10.1109/MAHC.2016.48. https://dl.acm.org/doi/10.1109/MAHC.2016.48.

[NIST1977-4] A. J. Neumann, N. Statland and R. D. Webb. „Post-processing audit tools and techniques“ (en-US). nist.gov 11-3–11-4. US Department of Commerce, National Bureau of Standards (1977). Qaraldi: 2020-yil 19-iyun.

[5] Irwin. „How NIST can protect the CIA triad, including the often overlooked 'I' – integrity“. www.itgovernanceusa.com (2018-yil 5-aprel). Qaraldi: 2021-yil 16-yanvar.

[6] Perrin. „The CIA Triad“. techrepublic.com (2008-yil 30-iyun). Qaraldi: 2012-yil 31-may.

[NIST-7] Stoneburner, G.; Hayden, C.; Feringa, A. (2004). Engineering Principles for Information Technology Security. csrc.nist.gov. doi:10.6028/NIST.SP.800-27rA. Archived from the original on 2011-08-15. https://web.archive.org/web/20110815124528/http://csrc.nist.gov/publications/nistpubs/800-27A/SP800-27-RevA.pdf. Qaraldi: 2022-11-26. Kompyuter xavfsizligi]]

[8] Yost, Jeffrey R. (April 2015). "The Origin and Early History of the Computer Security Software Products Industry". IEEE Annals of the History of Computing 37 (2): 46–58. doi:10.1109/MAHC.2015.21. ISSN 1934-1547. https://ieeexplore.ieee.org/document/7116464.

[Nakashima2008-9] Nakashima, Ellen. „Bush Order Expands Network Monitoring: Intelligence Agencies to Track Intrusions“. The Washington Post (2008-yil 26-yanvar). Qaraldi: 2021-yil 8-fevral.

[perlroth-10] 10,0 ^10,1 ^10,2 Nicole Perlroth. „How the U.S. Lost to Hackers“. The New York Times (2021-yil 7-fevral). 2021-yil 28-dekabrda asl nusxadan arxivlangan. Qaraldi: 2021-yil 9-fevral.

[11] „Confidentiality“. Qaraldi: 2011-yil 31-oktyabr.

[12] „Data Integrity“. 2011-yil 6-noyabrda asl nusxadan arxivlangan. Qaraldi: 2011-yil 31-oktyabr.

[13] „Endpoint Security“ (2010-yil 10-noyabr). 2014-yil 16-martda asl nusxadan arxivlangan. Qaraldi: 2014-yil 15-mart.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]