د مطالعې نورو برخو ته لینکونه
- (تاسو دلته یاست)
دا مقاله د خپرونو لړۍ بشپړوي چې د بانک غیر نغدي تادیاتو معلوماتو امنیت تضمین کولو لپاره وقف شوي. دلته به موږ د ګواښ ځانګړي ماډلونه وګورو چې ورته اشاره شوې :
- .
- .
- .
- .
خبرتیا!!! ګرانو خبريالانو، دا په زړه پورې ليکنه نه ده.
د کټ لاندې پټ شوي 40+ پاڼې د موادو هدف دی د کار او مطالعې سره مرسته هغه خلک چې په بانکداري یا د معلوماتو امنیت کې تخصص لري. دا مواد د څیړنې وروستی محصول دی او په وچ، رسمي ټون کې لیکل شوي. په اصل کې، دا د داخلي معلوماتو امنیتي اسنادو لپاره خالي ځایونه دي.ښه، دودیز - "د مادې څخه د غیرقانوني موخو لپاره د معلوماتو کارول د قانون له مخې مجازات دي". ګټور لوستل!
د لوستونکو لپاره معلومات چې د دې خپرونې سره پیل شوي مطالعې سره آشنا کیږي.
مطالعه د څه په اړه ده؟
تاسو د یو متخصص لپاره لارښود لوستل کوئ چې په بانک کې د تادیاتو معلوماتو امنیت تضمین کولو مسؤلیت لري.
د وړاندې کولو منطق
په پیل کې и د خوندي شوي څیز توضیحات ورکړل شوي. بیا دننه د امنیت سیسټم جوړولو څرنګوالی تشریح کوي او د ګواښ ماډل رامینځته کولو اړتیا په اړه خبرې کوي. IN په دې اړه خبرې کوي چې کوم ګواښ موډلونه شتون لري او څنګه رامینځته کیږي. IN и د اصلي بریدونو تحلیل چمتو شوی. и د ګواښ ماډل تشریح لري، د ټولو پخوانیو برخو څخه د معلوماتو په پام کې نیولو سره جوړ شوی.
عادي ګواښ ماډل. د شبکې پیوستون
د ساتنې څیز چې د ګواښ ماډل (سکوپ) پلي کیږي
د محافظت څیز هغه معلومات دي چې د شبکې اتصال له لارې لیږدول کیږي چې د ډیټا شبکې کې د TCP/IP سټیک پراساس رامینځته شوي.
معمارۍ
د معمارۍ عناصرو توضیحات:
- "د پای نوډونه" - نوډونه د خوندي معلوماتو تبادله کوي.
- "منځنۍ نوډونه" - د ډیټا لیږد شبکې عناصر: روټرونه، سویچونه، د لاسرسي سرورونه، پراکسي سرورونه او نور تجهیزات - د هغې له لارې د شبکې ارتباط ترافیک لیږدول کیږي. په عموم کې، د شبکې پیوستون کولی شي د منځني نوډونو پرته کار وکړي (مستقیم د پای نوډونو ترمنځ).
د لوړې کچې امنیتي ګواښونه
تخریب
U1. لیږدول شوي معلوماتو ته غیر مجاز لاسرسی.
U2. د لیږد شوي معلوماتو غیر مجاز تعدیل.
U3. د لیږدول شوي معلوماتو د لیکوالۍ سرغړونه.
U1. لیږدول شوي معلوماتو ته غیر مجاز لاسرسی
تخریب
U1.1. <…>، په وروستي یا منځمهاله نوډونو کې ترسره شوي:
U1.1.1. <…> د معلوماتو لوستلو سره پداسې حال کې چې دا د کوربه ذخیره کولو وسیلو کې وي:
U1.1.1.1. <…> په رام کې.
د U1.1.1.1 لپاره توضیحات.
د مثال په توګه، د کوربه شبکې سټیک لخوا د معلوماتو پروسس کولو پرمهال.
U1.1.1.2. <…> په غیر بې ثباته حافظه کې.
د U1.1.1.2 لپاره توضیحات.
د مثال په توګه، کله چې لیږدول شوي ډاټا په زیرمه کې ذخیره کړئ، لنډمهاله فایلونه یا فایلونه بدل کړئ.
U1.2. <…>، د ډیټا شبکې د دریمې ډلې نوډونو کې ترسره شوي:
U1.2.1. <…> د کوربه شبکې انٹرفیس ته د رسیدو ټولو کڅوړو د نیولو طریقه:
د U1.2.1 لپاره توضیحات.
د ټولو پیکټو نیول د شبکې کارت په بدلولو سره ترسره کیږي (د وائی فای اډاپټرو لپاره د مبایل حالت یا د وائی فای اډاپټرونو لپاره د څار حالت).
U1.2.2. <…> د مینځني مینځني (MiTM) بریدونو په ترسره کولو سره، مګر پرته له دې چې لیږدول شوي ډاټا بدل کړي (د شبکې پروتوکول خدماتو ډاټا نه شمیرل کیږي).
U1.2.2.1. لینک: .
U1.3. <…>، د فزیکي نوډونو یا ارتباطي لینونو څخه د تخنیکي چینلونو (TKUI) له لارې د معلوماتو لیک له امله ترسره شوي.
U1.4. <…>، د ځانګړو تخنیکي وسیلو (STS) په پای کې یا منځني نوډونو نصبولو سره ترسره کیږي، د معلوماتو پټ راټولولو لپاره.
U2. د لیږد شوي معلوماتو غیر مجاز تعدیل
تخریب
U2.1. <…>، په وروستي یا منځمهاله نوډونو کې ترسره شوي:
U2.1.1. <…> د معلوماتو لوستلو او بدلونونو کولو سره پداسې حال کې چې دا د نوډونو ذخیره کولو وسیلو کې وي:
U2.1.1.1. <…> په رام کې:
U2.1.1.2. <…> په غیر بې ثباته حافظه کې:
U2.2. <…>، د ډیټا لیږد شبکې دریمې ډلې نوډونو کې ترسره شوي:
U2.2.1. <…> په مینځ کې د مینې (MiTM) بریدونو په ترسره کولو او د برید کونکو نوډ ته د ترافیک په لیږلو سره:
U2.2.1.1. د برید کونکي تجهیزاتو فزیکي اړیکه د شبکې اړیکې ماتیدو لامل کیږي.
U2.2.1.2. د شبکې پروتوکولونو باندې بریدونه ترسره کول:
U2.2.1.2.1. <…> د مجازی محلي شبکو مدیریت (VLAN):
U2.2.1.2.1.1. .
U2.2.1.2.1.2. په سویچونو یا روټرونو کې د VLAN تنظیماتو غیر مجاز ترمیم.
U2.2.1.2.2. <…> ترافیکي لار
U2.2.1.2.2.1. د راوټرونو د جامد روټینګ جدولونو غیر مجاز تعدیل.
U2.2.1.2.2.2. د متحرک روټینګ پروتوکولونو له لارې د برید کونکو لخوا د غلطو لارو اعلان.
U2.2.1.2.3. <…> اتوماتیک ترتیب:
U2.2.1.2.3.1. .
U2.2.1.2.3.2. .
U2.2.1.2.4. <…> پته او د نوم حل:
U2.2.1.2.4.1. .
U2.2.1.2.4.2. .
U2.2.1.2.4.3 د ځایی کوربه نوم فایلونو کې غیر مجاز بدلونونه (میزبان، lmhosts، او نور)
U3. د لیږدول شوي معلوماتو د کاپي حق څخه سرغړونه
تخریب
U3.1. د معلوماتو د لیکوال یا د معلوماتو سرچینې په اړه د غلط معلوماتو په ګوته کولو سره د معلوماتو د لیکوالۍ ټاکلو لپاره د میکانیزمونو بې طرفه کول:
U3.1.1. په لیږدول شوي معلوماتو کې د لیکوال په اړه د معلوماتو بدلول.
U3.1.1.1. د لیږد شوي معلوماتو د بشپړتیا او لیکوالۍ د کریپټوګرافیک محافظت بې طرفه کول:
U3.1.1.1.1. لینک: .
U3.1.1.2. د لیږد شوي معلوماتو د کاپي حق محافظت بې طرفه کول، د یو ځل تایید کوډونو په کارولو سره پلي کیږي:
U3.1.1.2.1. .
U3.1.2. د لیږد شوي معلوماتو سرچینې په اړه د معلوماتو بدلول:
U3.1.2.1. .
U3.1.2.2. .
عادي ګواښ ماډل. د معلوماتو سیسټم د مراجعینو - سرور جوړښت په اساس جوړ شوی
د ساتنې څیز چې د ګواښ ماډل (سکوپ) پلي کیږي
د ساتنې اعتراض د معلوماتو سیسټم دی چې د پیرودونکي - سرور جوړښت پراساس جوړ شوی.
معمارۍ
د معمارۍ عناصرو توضیحات:
- "پیرودونکي" - یوه وسیله چې د پیرودونکي برخه د معلوماتو سیسټم فعالیت کوي.
- "سرور" - یوه وسیله چې په کې د معلوماتو سیسټم سرور برخه فعالیت کوي.
- "د معلوماتو ذخیره" - د معلوماتو سیسټم د سرور زیربنا برخه، د معلوماتو سیسټم لخوا پروسس شوي ډاټا ذخیره کولو لپاره ډیزاین شوې.
- "د شبکې پیوستون" - د پیرودونکي او سرور ترمینځ د معلوماتو تبادله چینل د ډیټا شبکې څخه تیریږي. د عنصر ماډل نور تفصیلي توضیحات ورکړل شوي .
محدودیتونه
کله چې د یو شی ماډل کول، لاندې محدودیتونه ټاکل شوي دي:
- کارونکي د معلوماتو سیسټم سره په محدود وخت کې اړیکه نیسي، چې د کاري غونډو په نوم یادیږي.
- د هرې کاري ناستې په پیل کې، کاروونکي پیژندل کیږي، تصدیق شوی او مجاز دی.
- ټول خوندي شوي معلومات د معلوماتو سیسټم په سرور برخه کې زیرمه شوي.
د لوړې کچې امنیتي ګواښونه
تخریب
U1. د یو مشروع کارونکي په استازیتوب د برید کونکو لخوا غیر مجاز عملونه ترسره کول.
U2. د معلوماتو سیسټم د سرور برخې لخوا د پروسس کولو پرمهال د خوندي معلوماتو غیر مجاز ترمیم.
U1. د یو مشروع کارونکي په استازیتوب د برید کونکو لخوا غیر مجاز عملونه ترسره کول
تشریحات
عموما د معلوماتو سیسټمونو کې، کړنې د کارونکي سره تړاو لري چې دوی یې په کارولو سره ترسره کړي:
- د سیسټم عملیاتي لاګ (لاګ).
- د ډیټا شیانو ځانګړي ځانګړتیاوې چې د هغه کارونکي په اړه معلومات لري چې دوی یې رامینځته یا بدل کړي.
د کاري ناستې په تړاو، دا ګواښ کیدای شي په لاندې ډول تحلیل شي:
- <…> د کارونکي په ناسته کې ترسره شوی.
- <…> د کارونکي ناستې څخه بهر اجرا شوی.
د کارونکي سیشن پیل کیدی شي:
- پخپله د کارونکي لخوا.
- ناوړه ګټه اخیستونکي.
په دې مرحله کې، د دې ګواښ منځنی تخریب به داسې ښکاري:
U1.1. غیر مجاز عملونه د کارونکي ناستې کې ترسره شوي:
U1.1.1. <…> د برید شوي کارونکي لخوا نصب شوی.
U1.1.2. <…> د برید کونکو لخوا نصب شوی.
U1.2. غیر مجاز عملونه د کارونکي ناستې څخه بهر ترسره شوي.
د معلوماتو د زیربنا توکو له نظره چې د برید کونکو لخوا اغیزمن کیدی شي، د منځنیو ګواښونو تخریب به داسې ښکاري:
توکي
د تخریب ګواښ
U1.1.1.
U1.1.2.
U1.2.
پیرودونکی
U1.1.1.1.
U1.1.2.1.
د شبکې پیوستون
U1.1.1.2.
سیریل
U1.2.1.
تخریب
U1.1. غیر مجاز عملونه د کارونکي ناستې کې ترسره شوي:
U1.1.1. <…> د برید شوي کارونکي لخوا نصب شوی:
U1.1.1.1. برید کوونکي د پیرودونکي څخه په خپلواکه توګه عمل وکړ:
U1.1.1.1.1 برید کونکو د معلوماتو سیسټم ته د لاسرسي معیاري وسیلې کارولې:
У1.1.1.1.1.1. برید کوونکو د پیرودونکي فزیکي ان پټ/آؤټ پټ وسیله (کیبورډ، ماوس، مانیټر یا د ګرځنده وسیلې ټچ سکرین) کارولې:
U1.1.1.1.1.1.1. برید کوونکو د هغه وخت په جریان کې عملیات وکړل کله چې غونډه فعاله وه، د I/O اسانتیاوې شتون درلود، او کاروونکي شتون نه درلود.
У1.1.1.1.1.2. برید کونکي د پیرودونکي اداره کولو لپاره د لیرې ادارې وسیلې (معیاري یا د ناوړه کوډ لخوا چمتو شوي) کارولې:
U1.1.1.1.1.2.1. برید کوونکو د هغه وخت په جریان کې عملیات وکړل کله چې غونډه فعاله وه، د I/O اسانتیاوې شتون درلود، او کاروونکي شتون نه درلود.
У1.1.1.1.1.2.2. برید کوونکو د ریموټ ادارې وسایل کارولي، کوم چې عملیات د برید کونکي کارونکي ته نه ښکاري.
U1.1.1.2. برید کونکي د پیرودونکي او سرور ترمینځ د شبکې اړیکې کې ډیټا بدله کړه ، دا یې په داسې ډول بدله کړه چې دا د مشروع کارونکي عمل په توګه وپیژندل شو:
U1.1.1.2.1. لینک: .
U1.1.1.3. بریدګر دې ته اړ کړل چې هغه کړنې ترسره کړي چې دوی یې د ټولنیز انجینرۍ میتودونو په کارولو سره مشخص کړي.
У1.1.2 <…> د برید کونکو لخوا نصب شوی:
U1.1.2.1. برید کوونکو د مشتري څخه عمل وکړ (И):
U1.1.2.1.1. برید کوونکو د معلوماتو سیسټم د لاسرسي کنټرول سیسټم بې طرفه کړ:
U1.1.2.1.1.1. لینک: .
У1.1.2.1.2. برید کوونکو د معلوماتو سیسټم ته د لاسرسي معیاري وسیلې کارولې
U1.1.2.2. برید کونکي د ډیټا شبکې له نورو نوډونو څخه کار کاوه ، له کوم څخه چې د سرور سره د شبکې اړیکې رامینځته کیدی شي (И):
U1.1.2.2.1. برید کوونکو د معلوماتو سیسټم د لاسرسي کنټرول سیسټم بې طرفه کړ:
U1.1.2.2.1.1. لینک: .
U1.1.2.2.2. برید کوونکو د معلوماتو سیسټم ته د لاسرسي لپاره غیر معیاري وسیله کارولې.
توضیحات U1.1.2.2.2.
برید کونکي کولی شي د دریمې ډلې نوډ کې د معلوماتو سیسټم معیاري پیرودونکي نصب کړي یا غیر معیاري سافټویر وکاروي چې د پیرودونکي او سرور ترمینځ معیاري تبادلې پروتوکول پلي کوي.
U1.2 غیر مجاز عملونه د کارونکي ناستې څخه بهر ترسره شوي.
U1.2.1 برید کونکو غیر مجاز عملونه ترسره کړل او بیا یې د معلوماتو سیسټم عملیاتي لاګونو یا د ډیټا څیزونو ځانګړي ځانګړتیاو کې غیر مجاز بدلونونه رامینځته کړل ، دا په ګوته کوي چې هغه عملونه چې دوی ترسره کړي د قانوني کارونکي لخوا ترسره شوي.
U2. د معلوماتو سیسټم د سرور برخې لخوا د پروسس کولو پرمهال د خوندي معلوماتو غیر مجاز ترمیم
تخریب
U2.1. برید کوونکي د معیاري معلوماتو سیسټم وسیلو په کارولو سره خوندي شوي معلومات بدلوي او دا د یو مشروع کارونکي په استازیتوب کوي.
U2.1.1. لینک: .
U2.2. برید کوونکي د معلوماتو د لاسرسي میکانیزمونو په کارولو سره خوندي شوي معلومات بدلوي چې د معلوماتو سیسټم نورمال عملیات لخوا ندي چمتو شوي.
U2.2.1. برید کوونکي هغه فایلونه بدلوي چې خوندي شوي معلومات لري:
U2.2.1.1. <…>، د عملیاتي سیسټم لخوا چمتو شوي د فایل اداره کولو میکانیزمونو په کارولو سره.
U2.2.1.2. <…> د غیر مجاز بدل شوي بیک اپ کاپي څخه د فایلونو بیا رغولو هڅولو سره.
U2.2.2. برید کوونکي په ډیټابیس کې ساتل شوي خوندي معلومات بدلوي (И):
U2.2.2.1. برید کوونکي د DBMS لاسرسي کنټرول سیسټم بې طرفه کوي:
U2.2.2.1.1. لینک: .
U2.2.2.2. برید کوونکي معلوماتو ته د لاسرسي لپاره د معیاري DBMS انٹرفیسونو په کارولو سره معلومات بدلوي.
U2.3. برید کونکي د سافټویر عملیاتي الګوریتمونو کې چې دا پروسس کوي د غیر مجاز تعدیل له لارې خوندي معلومات بدلوي.
U2.3.1. د سافټویر سرچینې کوډ د تعدیل تابع دی.
U2.3.1. د سافټویر ماشین کوډ د تعدیل تابع دی.
U2.4. برید کوونکي د معلوماتو سیسټم سافټویر کې د زیانونو په کارولو سره خوندي معلومات بدلوي.
U2.5. برید کوونکي خوندي معلومات بدلوي کله چې دا د معلوماتو سیسټم د سرور برخې برخې برخې (د مثال په توګه، د ډیټابیس سرور او د غوښتنلیک سرور) ترمنځ لیږدول کیږي:
U2.5.1. لینک: .
عادي ګواښ ماډل. د لاسرسي کنټرول سیسټم
د ساتنې څیز چې د ګواښ ماډل (سکوپ) پلي کیږي
د محافظت څیز چې د دې ګواښ ماډل پلي کیږي د ګواښ ماډل محافظت څیز سره مطابقت لري: "د ګواښ عادي ماډل. د معلوماتو سیسټم د پیرودونکي - سرور جوړښت باندې جوړ شوی.
د ګواښ په دې ماډل کې، د کارونکي لاسرسي کنټرول سیسټم معنی د معلوماتو سیسټم یوه برخه ده چې لاندې دندې پلي کوي:
- د کارونکي پیژندنه.
- د کارن تصدیق.
- د کارونکي جوازونه.
- د کارن عملونو ننوتل.
د لوړې کچې امنیتي ګواښونه
تخریب
U1. د مشروع کارونکي په استازیتوب د ناستې غیر مجاز تاسیس کول.
U2. د معلوماتو سیسټم کې د کارونکي امتیازاتو کې غیر مجاز زیاتوالی.
U1. د مشروع کارونکي په استازیتوب د ناستې غیر مجاز تاسیس کول
تشریحات
د دې ګواښ تخریب به عموما د کارونکي پیژندنې او تصدیق کولو سیسټمونو ډول پورې اړه ولري.
په دې ماډل کې، یوازې د کارونکي پیژندنې او تصدیق کولو سیسټم به په پام کې ونیول شي چې د متن ننوتل او پټنوم کاروي. په دې حالت کې، موږ به فرض کړو چې د کاروونکي ننوتل په عامه توګه موجود معلومات دي چې برید کونکو ته پیژندل شوي.
تخریب
U1.1. <…> د اعتبار د موافقت له امله:
U1.1.1. برید کوونکو د ذخیره کولو په وخت کې د کارونکي اعتبار سره موافقت وکړ.
توضیحات U1.1.1.
د مثال په توګه، اسناد کیدای شي په یوه چپکشی نوټ کې ولیکل شي چې څارونکي ته ودریږي.
U1.1.2. کارونکي په ناڅاپي یا ناوړه توګه برید کونکو ته د لاسرسي توضیحات انتقال کړل.
U1.1.2.1. کارونکي د ننوتلو سره سم اسناد په لوړ غږ وویل.
U1.1.2.2. کارونکي په قصدي ډول خپل اسناد شریک کړل:
U1.1.2.2.1. <…> د کار همکارانو ته.
توضیحات U1.1.2.2.1.
د مثال په توګه، د دې لپاره چې دوی کولی شي د ناروغۍ په وخت کې ځای ونیسي.
U1.1.2.2.2. <…> د ګمارونکي قراردادیانو ته چې د معلوماتو زیربنا توکو باندې کار کوي.
U1.1.2.2.3. <…> دریم اړخ ته.
توضیحات U1.1.2.2.3.
یو، مګر د دې ګواښ پلي کولو لپاره یوازینۍ لاره نه ده چې د برید کونکو لخوا د ټولنیز انجینري میتودونو کارول دي.
U1.1.3. برید کوونکو د وحشي ځواک میتودونو په کارولو سره اسناد غوره کړل:
U1.1.3.1. <…> د معیاري لاسرسي میکانیزمونو کارول.
U1.1.3.2. <...> د اسنادو ذخیره کولو لپاره د مخکینیو مداخلو کوډونو (د مثال په توګه، د پټنوم هشونه) کارول.
U1.1.4. برید کوونکو د کارونکي اعتبارونو د مخنیوي لپاره ناوړه کوډ کارولی.
U1.1.5. برید کونکي د پیرودونکي او سرور تر مینځ د شبکې اړیکې څخه اسناد استخراج کړل:
U1.1.5.1. لینک: .
U1.1.6. برید کوونکو د کار د څارنې د سیستمونو له ریکارډونو څخه اسناد استخراج کړل:
U1.1.6.1. <…> د ویډیو څارنې سیسټمونه (که چیرې په کیبورډ کې کیسټروکونه د عملیاتو پرمهال ثبت شوي وي).
U1.1.6.2. <…> په کمپیوټر کې د کارمندانو د کړنو د څارنې لپاره سیسټمونه
توضیحات U1.1.6.2.
د دې ډول سیسټم یوه بیلګه ده .
U1.1.7. برید کوونکو د لیږد بهیر کې د نیمګړتیاوو له امله د کارونکي اعتبار سره موافقت وکړ.
توضیحات U1.1.7.
د مثال په توګه، د بریښنالیک له لارې په روښانه متن کې د پاسورډونو لیږل.
U1.1.8. برید کونکو د لیرې ادارې سیسټمونو په کارولو سره د کارونکي ناستې نظارت کولو سره اعتبار ترلاسه کړ.
U1.1.9. برید کوونکو د تخنیکي چینلونو (TCUI) له لارې د دوی د لیک په پایله کې اسناد ترلاسه کړل:
U1.1.9.1. برید کونکو ولیدل چې څنګه کارونکي د کیبورډ څخه اسناد ته ننوتل:
U1.1.9.1.1 برید کونکي د کارونکي سره نږدې موقعیت درلود او په خپلو سترګو یې د اسنادو ننوتل لیدلي.
توضیحات U1.1.9.1.1
په دې قضیو کې د کاري همکارانو کړنې یا هغه قضیه شامله ده کله چې د کارونکي کیبورډ سازمان ته لیدونکو ته لیدل کیږي.
U1.1.9.1.2 برید کوونکو اضافي تخنیکي وسایل لکه دوربین یا بې پیلوټه الوتکې کارولې، او د یوې کړکۍ له لارې یې د اسنادو ننوتل لیدلي.
U1.1.9.2. برید کوونکو د کیبورډ او کمپیوټر سیسټم واحد ترمنځ د راډیو اړیکو څخه اسناد ترلاسه کړل کله چې دوی د راډیو انټرفیس (د مثال په توګه، بلوتوت) سره وصل وو.
U1.1.9.3. برید کوونکو د جعلي الکترومقناطیسي وړانګو او مداخلې (PEMIN) چینل له لارې د لیکولو له لارې اسناد مداخله وکړه.
توضیحات U1.1.9.3.
د بریدونو بیلګې и .
U1.1.9.4. برید کوونکي د ځانګړو تخنیکي وسیلو (STS) په کارولو سره چې په پټه توګه د معلوماتو ترلاسه کولو لپاره ډیزاین شوي د کیبورډ څخه د اعتباراتو ننوتلو مخه ونیوله.
توضیحات U1.1.9.4.
مثالونه .
U1.1.9.5. برید کوونکي د کیبورډ په کارولو سره د اعتبارونو ان پټ ته مخه کړه
د Wi-Fi سیګنال تحلیل د کارونکي کیسټروک پروسې لخوا ماډل شوی.
توضیحات U1.1.9.5.
بېلګه: .
U1.1.9.6. برید کوونکو د کیبورډ څخه د کیبورډ څخه د اسنادو ان پټ د کیسټروک غږونو تحلیل کولو سره مداخله وکړه.
توضیحات U1.1.9.6.
بېلګه: .
U1.1.9.7. برید کوونکو د اکیلرومیټر لوستلو تحلیل کولو سره د ګرځنده وسیلې کیبورډ څخه د اعتبارونو ننوتلو مخه ونیوله.
توضیحات U1.1.9.7.
بېلګه: .
U1.1.10. <…>، مخکې په پیرودونکي کې خوندي شوی.
توضیحات U1.1.10.
د مثال په توګه، یو کارن کولی شي یو ځانګړي سایټ ته د لاسرسي لپاره په براوزر کې د ننوتلو او پټنوم خوندي کړي.
U1.1.11. برید کونکو د کارونکي لاسرسي لغوه کولو پروسې کې د نیمګړتیاو له امله اعتبار سره موافقت وکړ.
توضیحات U1.1.11.
د مثال په توګه، وروسته له دې چې یو کارن له دندې ګوښه شو، د هغه حسابونه بند پاتې شول.
U1.2. <...> د لاسرسي کنټرول سیسټم کې د زیانونو په کارولو سره.
U2. د معلوماتو سیسټم کې د کارونکي امتیازاتو غیر مجاز لوړوالی
تخریب
U2.1 <…> په ډیټا کې د غیر مجاز بدلونونو په کولو سره چې د کارونکي امتیازاتو په اړه معلومات لري.
U2.2 <…> د لاسرسي کنټرول سیسټم کې د زیانونو کارولو له لارې.
U2.3. <…> د کارونکي لاسرسي مدیریت پروسې کې د نیمګړتیاوو له امله.
توضیحات U2.3.
بېلګه 1. یو کارونکي ته د کار لپاره ډیر لاسرسی ورکړل شوی و چې د سوداګرۍ دلایلو لپاره یې اړتیا درلوده.
2 بېلګه: وروسته له دې چې یو کاروونکي بل ځای ته لیږدول شوی، مخکې د لاسرسي حقونه لغوه شوي ندي.
عادي ګواښ ماډل. د ادغام ماډل
د ساتنې څیز چې د ګواښ ماډل (سکوپ) پلي کیږي
د ادغام ماډل د معلوماتو د زیربنا د شیانو مجموعه ده چې د معلوماتو سیسټمونو ترمینځ د معلوماتو تبادله تنظیم کولو لپاره ډیزاین شوې.
د دې حقیقت په پام کې نیولو سره چې په کارپوریټ شبکو کې دا تل امکان نلري چې په واضح ډول یو د معلوماتو سیسټم له بل څخه جلا کړي، د ادغام ماډل هم د یو معلوماتو سیسټم کې د اجزاوو ترمنځ د نښلولو لینک په توګه ګڼل کیدی شي.
معمارۍ
د ادغام ماډل عمومي شوی ډیاګرام داسې ښکاري:
د معمارۍ عناصرو توضیحات:
- "د تبادلې سرور (SO)" - د معلوماتو سیسټم یو نوډ / خدمت / برخه چې د بل معلوماتو سیسټم سره د معلوماتو تبادله فعالیت ترسره کوي.
- "منځګړی" - یو نوډ/خدمت چې د معلوماتو سیسټمونو ترمینځ متقابل عمل تنظیم کولو لپاره ډیزاین شوی ، مګر د دوی برخه نه ده.
مثالونه "منځګړیتوب" دلته ممکن د بریښنالیک خدمتونه وي ، د تصدۍ خدماتو بسونه (د تصدۍ خدماتو بس / SoA جوړښت) ، د دریمې ډلې فایل سرورونه او داسې نور. په عموم کې، د ادغام ماډل ممکن "منځګړیتوب" ونه لري. - "د معلوماتو پروسس کولو سافټویر" - د برنامو یوه ټولګه چې د ډیټا تبادلې پروتوکولونه پلي کوي او د تبادلې بڼه.
د مثال په توګه، د UFEBS فارمیټ څخه د ABS فارمیټ ته د معلوماتو بدلول، د لیږد پرمهال د پیغام حالت بدلول، او داسې نور. - "د شبکې پیوستون" د معیاري "شبکې اتصال" ګواښ ماډل کې تشریح شوي اعتراض سره مطابقت لري. په پورتني ډیاګرام کې ښودل شوي ځینې شبکې اړیکې ممکن شتون ونلري.
د ادغام ماډلونو بیلګې
سکیم 1. د دریمې ډلې فایل سرور له لارې د ABS او AWS KBR ادغام
د تادیاتو اجرا کولو لپاره، د بانک یو مجاز کارمند د اصلي بانکداري سیسټم څخه د بریښنایی تادیاتو سندونه ډاونلوډ کوي او په فایل سرور کې د شبکې فولډر (...SHARE) کې فایل (په خپل شکل کې، د بیلګې په توګه د SQL ډمپ) کې خوندي کوي. بیا دا فایل د کنورټر سکریپټ په کارولو سره د UFEBS ب formatه کې د فایلونو سیټ کې بدلیږي ، کوم چې بیا د CBD ورک سټیشن لخوا لوستل کیږي.
له دې وروسته، مجاز کارمند - د اتوماتیک کاري ځای KBR کارونکي - ترلاسه شوي فایلونه کوډ کوي او لاسلیک کوي او د روسیې بانک د تادیې سیسټم ته یې لیږي.
کله چې د روسیې بانک څخه تادیات ترلاسه شي، د KBR اتوماتیک کاري ځای دوی ډیکریټ کوي او بریښنایی لاسلیک ګوري، وروسته له هغه چې دا د فایل سرور کې د UFEBS په بڼه کې د فایلونو سیټ په بڼه ثبتوي. ABS ته د تادیاتو سندونو واردولو دمخه، دوی د یو کنورټر سکریپټ په کارولو سره د UFEBS فارمیټ څخه ABS فارمیټ ته بدلیږي.
موږ به فرض کړو چې په دې سکیم کې، ABS په یو فزیکي سرور کې کار کوي، د KBR ورک سټیشن په یو وقف شوي کمپیوټر کې کار کوي، او د کنورټر سکریپټ د فایل سرور پرمخ ځي.
د ادغام ماډل ماډل عناصرو سره د پام شوي ډیاګرام د شیانو مطابقت:
"د ABS اړخ څخه د تبادلې سرور" - د ABS سرور.
"د AWS KBR اړخ څخه د تبادلې سرور" - د کمپیوټر کارځای KBR.
"منځګړی" - د دریمې ډلې فایل سرور.
"د معلوماتو پروسس کولو سافټویر" - د کنورټر سکریپټ.
سکیم 2. د ABS او AWS KBR ادغام کله چې په AWS KBR کې د تادیاتو سره د شریک شبکې فولډر ځای په ځای کول
هرڅه د سکیم 1 سره ورته دي، مګر یو جلا فایل سرور نه کارول کیږي؛ پرځای یې، د بریښنایی تادیاتو اسنادو سره د شبکې فولډر (...SHARE) په کمپیوټر کې د CBD د کار سټیشن سره ایښودل شوی. د کنورټر سکریپټ د CBD ورک سټیشن کې هم کار کوي.
د ادغام ماډل ماډل عناصرو سره د پام شوي ډیاګرام د شیانو مطابقت:
د سکیم 1 سره ورته، مګر "منځګړی" نه کارول کیږي
سکیم 3. د IBM WebSphera MQ له لارې د ABS او اتوماتیک کاري ځای KBR-N ادغام او "د ABS اړخ کې" د بریښنایی اسنادو لاسلیک کول
ABS په داسې پلیټ فارم کې کار کوي چې د CIPF SCAD لاسلیک لخوا نه ملاتړ کیږي. د وتلو بریښنایی اسنادو لاسلیک په ځانګړي بریښنایی لاسلیک سرور (ES سرور) کې ترسره کیږي. ورته سرور د روسیې د بانک څخه د راتلونکو اسنادو بریښنایی لاسلیک ګوري.
ABS د تادیې اسنادو سره یو فایل په خپل شکل کې د ES سرور ته اپلوډ کوي.
د ES سرور، د کنورټر سکریپټ په کارولو سره، فایل د UFEBS بڼه کې بریښنایی پیغامونو ته بدلوي، وروسته له دې چې بریښنایی پیغامونه لاسلیک کیږي او د IBM WebSphere MQ ته لیږدول کیږي.
د KBR-N ورک سټیشن IBM WebSphere MQ ته لاسرسی لري او له هغه ځایه د تادیې لاسلیک شوي پیغامونه ترلاسه کوي ، وروسته له دې چې یو با اختیار کارمند - د KBR ورک سټیشن کارونکی - دوی کوډ کوي او د روسیې بانک د تادیې سیسټم ته یې لیږي.
کله چې د روسیې بانک څخه تادیات ترلاسه شي، د کار ځای اتوماتیک KBR-N دوی ډیکریټ کوي او بریښنایی لاسلیک تاییدوي. په UFEBS فارمیټ کې د کوډ شوي او لاسلیک شوي بریښنایی پیغامونو په بڼه په بریالیتوب سره پروسس شوي تادیات IBM WebSphere MQ ته لیږدول کیږي، له هغه ځایه دوی د بریښنایی لاسلیک سرور لخوا ترلاسه کیږي.
د بریښنایی لاسلیک سرور د ترلاسه شوي تادیاتو بریښنایی لاسلیک تاییدوي او د ABS ب formatه کې په فایل کې خوندي کوي. له دې وروسته، مجاز کارمند - د ABS کارونکي - پایله شوې فایل په ټاکل شوي ډول ABS ته اپلوډ کوي.
د ادغام ماډل ماډل عناصرو سره د پام شوي ډیاګرام د شیانو مطابقت:
"د ABS اړخ څخه د تبادلې سرور" - د ABS سرور.
"د AWS KBR اړخ څخه د تبادلې سرور" - د کمپیوټر کارځای KBR.
"منځګړی" - ES سرور او IBM WebSphere MQ.
"د معلوماتو پروسس کولو سافټویر" - سکریپټ کنورټر، په ES سرور کې د CIPF SCAD لاسلیک.
سکیم 4. د API له لارې د RBS سرور او اصلي بانکداري سیسټم ادغام د وقف شوي تبادلې سرور لخوا چمتو شوی
موږ به فرض کړو چې بانک د څو لیرې پرتو بانکي سیسټمونو (RBS) څخه کار اخلي:
- د افرادو لپاره "د انټرنیټ پیرودونکي بانک" (IKB FL)؛
- "د انټرنیټ پیرودونکي بانک" د قانوني ادارو لپاره (IKB LE).
د معلوماتو امنیت ډاډمن کولو لپاره، د ABS او لیرې پرتو بانکي سیسټمونو ترمنځ ټول تعامل د ABS معلوماتو سیسټم په چوکاټ کې د تبادلې د وقف شوي سرور له لارې ترسره کیږي.
بیا به موږ د IKB LE او ABS د RBS سیسټم تر مینځ د متقابل عمل پروسه په پام کې ونیسو.
د RBS سرور، د پیرودونکي څخه د تادیې تصدیق شوي امر ترلاسه کولو سره، باید د دې پر بنسټ په ABS کې ورته سند جوړ کړي. د دې کولو لپاره، د API په کارولو سره، دا د تبادلې سرور ته معلومات لیږدوي، کوم چې په پایله کې، ډاټا ABS ته ننوځي.
کله چې د پیرودونکي حساب بیلانس بدل شي ، ABS بریښنایی خبرتیاوې رامینځته کوي ، کوم چې د تبادلې سرور په کارولو سره لیرې بانکي سرور ته لیږدول کیږي.
د ادغام ماډل ماډل عناصرو سره د پام شوي ډیاګرام د شیانو مطابقت:
"د RBS اړخ څخه د تبادلې سرور" - د IKB YUL RBS سرور.
"د ABS اړخ څخه د تبادلې سرور" - د تبادلې سرور.
"منځګړی" - غیر حاضر.
"د معلوماتو پروسس کولو سافټویر" - د RBS سرور اجزا د تبادلې سرور API کارولو لپاره مسؤل دي ، د تبادلې سرور اجزا د اصلي بانکداري API کارولو لپاره مسؤل دي.
د لوړې کچې امنیتي ګواښونه
تخریب
U1. د ادغام ماډل له لارې د برید کونکو لخوا د غلط معلوماتو انجیکشن.
U1. د ادغام ماډل له لارې د برید کونکو لخوا د غلط معلوماتو انجیکشن
تخریب
U1.1. د مشروع معلوماتو غیر مجاز تعدیل کله چې د شبکې ارتباطاتو ته لیږدول کیږي:
U1.1.1 لینک: .
U1.2. د تبادلې د مشروع ګډون کونکي په استازیتوب د مخابراتو چینلونو له لارې د غلط معلوماتو لیږد:
U1.1.2 لینک: .
U1.3. د تبادلې سرورونو یا منځګړیتوب کې د پروسس کولو پرمهال د قانوني معلوماتو غیر مجاز تعدیل:
U1.3.1. لینک: .
U1.4. د تبادلې په سرورونو یا منځګړیتوب کې د مشروع تبادلې ګډون کونکي په استازیتوب د غلط معلوماتو رامینځته کول:
U1.4.1. لینک:
U1.5. کله چې د ډیټا پروسس کولو سافټویر په کارولو سره پروسس کیږي د معلوماتو غیر مجاز تعدیل:
U1.5.1. <…> د برید کونکو له امله چې د معلوماتو پروسس کولو سافټویر تنظیماتو (ترتیباتو) کې غیر مجاز بدلونونه رامینځته کوي.
U1.5.2. <...> د برید کونکو له امله چې د ډیټا پروسس کولو سافټویر اجرایوي فایلونو کې غیر مجاز بدلونونه رامینځته کوي.
U1.5.3. <…> د برید کونکو لخوا د معلوماتو پروسس کولو سافټویر متقابل کنټرول له امله.
عادي ګواښ ماډل. د کریپټوګرافیک معلوماتو محافظت سیسټم
د ساتنې څیز چې د ګواښ ماډل (سکوپ) پلي کیږي
د محافظت اعتراض د کریپټوګرافیک معلوماتو محافظت سیسټم دی چې د معلوماتو سیسټم امنیت ډاډمن کولو لپاره کارول کیږي.
معمارۍ
د هر معلوماتي سیسټم اساس د غوښتنلیک سافټویر دی چې خپل هدف فعالیت پلي کوي.
د کریپټوګرافیک محافظت معمولا د غوښتنلیک سافټویر د سوداګرۍ منطق څخه د کریپټوګرافیک پریمیټیو په زنګ وهلو سره پلي کیږي ، کوم چې په ځانګړي کتابتونونو کې موقعیت لري - کریپټو کور.
کریپټوګرافیک ابتدايي د ټیټې کچې کریپټوګرافیک افعال شامل دي لکه:
- د معلوماتو یو بلاک کوډ کول / کوډ کول؛
- د ډیټا بلاک بریښنایی لاسلیک رامینځته کول / تصدیق کول؛
- د ډیټا بلاک هش فعالیت محاسبه کړئ؛
- کلیدي معلومات تولید / پورته کول / اپلوډ کول؛
- او داسې نور.
د اپلیکیشن سافټویر سوداګریز منطق د کریپټوګرافیک ابتدايي په کارولو سره د لوړې کچې فعالیت پلي کوي:
- د ټاکل شوي ترلاسه کونکو کیلي په کارولو سره فایل کوډ کړئ؛
- د خوندي شبکې پیوستون رامینځته کړئ؛
- د بریښنایی لاسلیک د چک کولو پایلو په اړه خبرتیا؛
- او داسې نور.
د سوداګرۍ منطق او کریپټو کور متقابل عمل ترسره کیدی شي:
- په مستقیم ډول، د سوداګرۍ منطق په واسطه د کریپټو کرنل متحرک کتابتونونو څخه کریپټوګرافیک لومړني غږونه (. د وینډوز لپاره DLL، د لینکس لپاره SO)؛
- په مستقیم ډول، د کریپټوګرافیک انٹرفیسونو له لارې - ریپرونه، د بیلګې په توګه، MS Crypto API، Java Cryptography Architecture، PKCS#11، او داسې نور. پدې حالت کې، د سوداګرۍ منطق د کریپټو انٹرفیس ته السرسی لري، او دا تلیفون اړونده کریپټو کور ته ژباړي، کوم چې دا قضیه د کریپټو چمتو کونکي په نوم یادیږي. د کریپټوګرافیک انٹرفیس کارول د غوښتنلیک سافټویر ته اجازه ورکوي چې د ځانګړي کریپټوګرافیک الګوریتمونو څخه خلاص شي او ډیر انعطاف وړ وي.
د کریپټو کور تنظیم کولو لپاره دوه ځانګړي سکیمونه شتون لري:
سکیم 1 - مونولیتیک کریپټو کور
سکیم 2 - د کریپټو کور تقسیم کړئ
په پورتني ډیاګرامونو کې عناصر کیدای شي د انفرادي سافټویر ماډلونه وي چې په یو کمپیوټر کې روان وي یا د شبکې خدمتونه چې په کمپیوټر شبکه کې متقابل عمل کوي.
کله چې د سکیم 1 سره سم جوړ شوي سیسټمونه کاروئ، د غوښتنلیک سافټویر او کریپټو کور د کریپټو وسیلې (SFC) لپاره په یو واحد عملیاتي چاپیریال کې کار کوي، د بیلګې په توګه، په ورته کمپیوټر کې، ورته عملیاتي سیسټم چلوي. د سیسټم کارونکي، د یوې قاعدې په توګه، کولی شي نور پروګرامونه پرمخ بوځي، پشمول هغه چې ناوړه کوډ لري، په ورته عملیاتي چاپیریال کې. د داسې شرایطو لاندې، د شخصي کریپټوګرافیک کیلي لیکیدو جدي خطر شتون لري.
د خطر کمولو لپاره، سکیم 2 کارول کیږي، په کوم کې چې کریپټو کور په دوو برخو ویشل شوی:
- لومړۍ برخه، د اپلیکیشن سافټویر سره یوځای، په یو بې باوره چاپیریال کې کار کوي چیرې چې د ناوړه کوډ سره د انفیکشن خطر شتون لري. موږ به دې برخې ته د "سافټویر برخه" وایو.
- دویمه برخه په یو باوري چاپیریال کې په وقف شوي وسیله کار کوي، کوم چې د شخصي کیلي ذخیره لري. له اوس څخه به موږ دې برخې ته "هارډویر" وایو.
د سافټویر او هارډویر برخو کې د کریپټو کور ویش خورا خپل سري دی. په بازار کې داسې سیسټمونه شتون لري چې د ویشل شوي کریپټو کور سره د سکیم مطابق جوړ شوي، مګر د "هارډویر" برخه چې د مجازی ماشین عکس په بڼه وړاندې کیږي - مجازی HSM ().
د کریپټو کور د دواړو برخو متقابل عمل په داسې ډول پیښیږي چې شخصي کریپټوګرافیک کیلي هیڅکله د سافټویر برخې ته نه لیږدول کیږي او په وینا یې د ناوړه کوډ په کارولو سره غلا نشي کیدی.
د تعامل انٹرفیس (API) او د کریپټو کور لخوا د غوښتنلیک سافټویر ته چمتو شوي د کریپټوګرافیک لومړني سیټ په دواړو حالتونو کې یو شان دي. توپیر په هغه طریقه کې دی چې دوی پلي کیږي.
پدې توګه ، کله چې د ویشل شوي کریپټو کور سره سکیم کارول ، د سافټویر او هارډویر تعامل د لاندې اصولو سره سم ترسره کیږي:
- کریپټوګرافیک لومړني توکي چې د شخصي کیلي کارولو ته اړتیا نلري (د مثال په توګه ، د هش فنکشن محاسبه کول ، د بریښنایی لاسلیک تصدیق کول ، او داسې نور) د سافټویر لخوا ترسره کیږي.
- کریپټوګرافیک لومړني توکي چې شخصي کیلي کاروي (د بریښنایی لاسلیک رامینځته کول ، د ډیټا کوډ کول او نور) د هارډویر لخوا ترسره کیږي.
راځئ چې د بریښنایی لاسلیک رامینځته کولو مثال په کارولو سره د ویشل شوي کریپټو کور کار روښانه کړو:
- د سافټویر برخه د لاسلیک شوي ډیټا هش فعالیت محاسبه کوي او دا ارزښت د کریپټو کور ترمینځ د تبادلې چینل له لارې هارډویر ته لیږدوي.
- د هارډویر برخه د شخصي کیلي او هش په کارولو سره د بریښنایی لاسلیک ارزښت رامینځته کوي او د تبادلې چینل له لارې د سافټویر برخې ته لیږدوي.
- د سافټویر برخه د غوښتنلیک سافټویر ته ترلاسه شوي ارزښت بیرته راګرځوي.
د بریښنایی لاسلیک درستیت چیک کولو ځانګړتیاوې
کله چې ترلاسه کوونکی ګوند په بریښنایی توګه لاسلیک شوی ډاټا ترلاسه کړي، نو باید د تایید څو مرحلې ترسره کړي. د بریښنایی لاسلیک چیک کولو مثبت پایله یوازې هغه وخت ترلاسه کیږي کله چې د تایید ټولې مرحلې په بریالیتوب سره بشپړې شي.
مرحله 1. د معلوماتو بشپړتیا او د معلوماتو لیکوالۍ کنټرول.
د مرحلې محتويات. د معلوماتو بریښنایی لاسلیک د مناسب کریپټوګرافیک الګوریتم په کارولو سره تایید شوی. د دې مرحلې په بریالیتوب سره پای ته رسیدل په ګوته کوي چې ډاټا د لاسلیک کیدو راهیسې نه ده بدله شوې، او همدارنګه دا چې لاسلیک د شخصي کیلي سره جوړ شوی و چې د بریښنایی لاسلیک تصدیق کولو لپاره د عامه کیلي سره مطابقت لري.
د مرحلې موقعیت: کریپټو کور.
مرحله 2. د لاسلیک کونکي په عامه کیلي کې د باور کنټرول او د بریښنایی لاسلیک خصوصي کیلي د اعتبار موده کنټرول.
د مرحلې محتويات. مرحله د دوه منځنیو فرعي مرحلو څخه جوړه ده. لومړی دا دی چې دا معلومه کړي چې ایا د بریښنایی لاسلیک تصدیق کولو لپاره عامه کیلي د معلوماتو لاسلیک کولو په وخت کې باوري و. دوهم دا ټاکي چې ایا د بریښنایی لاسلیک خصوصي کیلي د معلوماتو لاسلیک کولو په وخت کې اعتبار لري. په عموم کې، د دې کیلي د اعتبار موده ممکن سره سمون ونلري (د بیلګې په توګه، د بریښنایی لاسلیک تصدیق کولو کیلي وړ سندونو لپاره). د لاسلیک کونکي په عامه کیلي کې د باور رامینځته کولو میتودونه د متقابل اړخونو لخوا منل شوي د بریښنایی سند مدیریت مقرراتو لخوا ټاکل کیږي.
د مرحلې موقعیت: د غوښتنلیک سافټویر / کریپټو کور.
دریمه مرحله. د لاسلیک کونکي واک کنټرول.
د مرحلې محتويات. د بریښنایی اسنادو مدیریت رامینځته شوي مقرراتو سره سم ، دا معاینه کیږي چې ایا لاسلیک کونکی د خوندي معلوماتو تصدیق کولو حق لري. د مثال په توګه، راځئ چې د واک څخه د سرغړونې وضعیت وړاندې کړو. فرض کړئ چې یو سازمان شتون لري چیرې چې ټول کارمندان بریښنایی لاسلیک لري. د داخلي بریښنایی سند مدیریت سیسټم د مدیر څخه امر ترلاسه کوي ، مګر د ګودام مدیر بریښنایی لاسلیک سره لاسلیک شوی. په دې اساس، دا ډول سند مشروع نه ګڼل کیږي.
د مرحلې موقعیت: غوښتنلیک سافټویر.
هغه انګیرنې چې د ساتنې څیز بیانوي
- د معلوماتو لیږد چینلونه، د کلیدي تبادلې چینلونو استثنا سره، د غوښتنلیک سافټویر، API او کریپټو کور څخه هم تیریږي.
- په عامه کیلي او (یا) سندونو کې د باور په اړه معلومات ، په بیله بیا د عامه کیلي مالکینو د واکونو په اړه معلومات د عامه کیلي پلورنځي کې ځای په ځای شوي.
- د اپلیکیشن سافټویر د عامه کیلي پلورنځي سره د کریپټو کرنل له لارې کار کوي.
د معلوماتو سیسټم یوه بیلګه چې د CIPF په کارولو سره ساتل کیږي
د دې لپاره چې مخکې وړاندې شوي ډیاګرامونه روښانه کړئ، راځئ چې د فرضي معلوماتو سیسټم په پام کې ونیسو او ټول جوړښتي عناصر یې په ګوته کړو.
د معلوماتو سیسټم توضیحات
دواړو سازمانونو پریکړه وکړه چې په خپل منځ کې د قانوني پلوه د پام وړ بریښنایی سند مدیریت (EDF) معرفي کړي. د دې کولو لپاره، دوی یو تړون ته ننوتل چې په هغه کې دوی ویلي چې اسناد به د بریښنالیک له لارې لیږدول کیږي، او په ورته وخت کې دوی باید کوډ شي او د وړ بریښنایی لاسلیک سره لاسلیک شي. د مایکروسافټ دفتر 2016 بسته څخه د دفتر برنامې باید د اسنادو رامینځته کولو او پروسس کولو لپاره د وسیلو په توګه وکارول شي ، او CIPF CryptoPRO او د کوډ کولو سافټویر CryptoARM باید د کریپټوګرافیک محافظت وسیلې په توګه وکارول شي.
د سازمان د زیربنا توضیحات 1
سازمان 1 پریکړه وکړه چې دا به د کارونکي کار سټیشن کې CIPF CryptoPRO او CryptoARM سافټویر نصب کړي - یو فزیکي کمپیوټر. د کوډ کولو او بریښنایی لاسلیک کیلي به د ruToken کلیدي میډیا کې زیرمه شي ، د ترلاسه کولو وړ کلیدي حالت کې فعالیت کوي. کاروونکی به په خپل کمپیوټر کې په محلي توګه بریښنایی اسناد چمتو کړي، بیا به یې کوډ کړي، لاسلیک کړي او د ځایی نصب شوي بریښنالیک پیرودونکي په کارولو سره یې واستوي.
د سازمان د زیربنا توضیحات 2
سازمان 2 پریکړه وکړه چې د کوډ کولو او بریښنایی لاسلیک دندې وقف شوي مجازی ماشین ته واړوي. په دې حالت کې، ټول کریپټوګرافیک عملیات به په اوتومات ډول ترسره شي.
د دې کولو لپاره، دوه شبکې فولډر په وقف شوي مجازی ماشین کې تنظیم شوي: "...ان"، "... بهر". د کاونټر پارټي څخه په خلاص فارم کې ترلاسه شوي فایلونه به په اوتومات ډول د شبکې په فولډر "... کې" کې ځای په ځای شي. دا فایلونه به ډیکرپټ شي او بریښنایی لاسلیک به تایید شي.
کارونکي به فایلونه په "...Out" فولډر کې ځای په ځای کړي چې کوډ شوي، لاسلیک شوي او مقابل لوري ته لیږلو ته اړتیا لري. کارونکي به فایلونه پخپله په خپل کاري سټیشن کې چمتو کړي.
د کوډ کولو او بریښنایی لاسلیک دندو ترسره کولو لپاره، CIPF CryptoPRO، CryptoARM سافټویر او یو بریښنالیک مراجع په مجازی ماشین کې نصب شوي. د مجازی ماشین د ټولو عناصرو اتوماتیک مدیریت به د سیسټم مدیرانو لخوا رامینځته شوي سکریپټونو په کارولو سره ترسره شي. د سکریپټونو کار د لاګ فایلونو کې ننوتل دی.
د بریښنایی لاسلیک لپاره کریپټوګرافیک کیلي به د نه ترلاسه کیدونکي JaCarta GOST کیلي سره په نښه کې کیښودل شي ، کوم چې کارونکي به د هغه ځایي کمپیوټر سره وصل شي.
نښه به د کارونکي په کاري سټیشن او مجازی ماشین کې نصب شوي ځانګړي USB-over-IP سافټویر په کارولو سره مجازی ماشین ته واستول شي.
په سازمان 1 کې د کارونکي کار سټیشن کې د سیسټم ساعت به په لاسي ډول تنظیم شي. په سازمان 2 کې د وقف شوي مجازی ماشین سیسټم ساعت به د هایپروایزر سیسټم ساعت سره همغږي شي ، کوم چې په پایله کې به په انټرنیټ کې د عامه وخت سرورونو سره همغږي شي.
د CIPF ساختماني عناصرو پیژندنه
د معلوماتي ټکنالوجۍ زیربنا د پورته توضیحاتو پراساس، موږ به د CIPF ساختماني عناصر روښانه کړو او په جدول کې به یې ولیکو.
جدول - د معلوماتو سیسټم عناصرو ته د CIPF ماډل عناصرو مطابقت
د توکي نوم
سازمان ۱
سازمان ۱
د غوښتنلیک سافټویر
CryptoARM سافټویر
CryptoARM سافټویر
د کریپټو کور سافټویر برخه
CIPF CryptoPRO CSP
CIPF CryptoPRO CSP
د کریپټو کور هارډویر
غیر حاضر
JaCarta GOST
API
MS CryptoAPI
MS CryptoAPI
عامه کیلي پلورنځی
د کارونکي کاري سټیشن:
- HDD؛
- د وینډوز معیاري سند پلورنځی.
لوړپوړونکی:
- HDD.
مجازی ماشین:
- HDD؛
- د وینډوز معیاري سند پلورنځی.
شخصي کیلي ذخیره کول
د ruToken کلیدي کیریر د ترلاسه کولو وړ کلیدي حالت کې کار کوي
د JaCarta GOST کلیدي کیریر د نه لرې کولو کیلي حالت کې کار کوي
د عامه کلیدي تبادلې چینل
د کارونکي کاري سټیشن:
- RAM.
لوړپوړونکی:
- RAM.
مجازی ماشین:
- RAM.
د شخصي کلیدي تبادلې چینل
د کارونکي کاري سټیشن:
- USB بس؛
- RAM.
غیر حاضر
د کریپټو کور ترمنځ د تبادلې چینل
ورک شوی (نه کریپټو کور هارډویر)
د کارونکي کاري سټیشن:
- USB بس؛
- رام؛
- د USB-over-IP سافټویر ماډل؛
- د شبکې انٹرفیس.
د سازمان کارپوریټ شبکه 2.
لوړپوړونکی:
- رام؛
- د شبکې انٹرفیس.
مجازی ماشین:
- د شبکې انٹرفیس؛
- رام؛
- د USB-over-IP سافټویر ماډل.
د ډیټا چینل خلاص کړئ
د کارونکي کاري سټیشن:
- د ننوتو-آتود معنی؛
- رام؛
- HDD.
د کارونکي کاري سټیشن:
- د ننوتو-آتود معنی؛
- رام؛
- HDD؛
- د شبکې انٹرفیس.
د سازمان کارپوریټ شبکه 2.
لوړپوړونکی:
- د شبکې انٹرفیس؛
- رام؛
- HDD.
مجازی ماشین:
- د شبکې انٹرفیس؛
- رام؛
- HDD.
د خوندي معلوماتو تبادلې چینل
انټرنیټ.
د سازمان کارپوریټ شبکه 1.
د کارونکي کاري سټیشن:
- HDD؛
- رام؛
- د شبکې انٹرفیس.
انټرنیټ.
د سازمان کارپوریټ شبکه 2.
لوړپوړونکی:
- د شبکې انٹرفیس؛
- رام؛
- HDD.
مجازی ماشین:
- د شبکې انٹرفیس؛
- رام؛
- HDD.
د وخت چینل
د کارونکي کاري سټیشن:
- د ننوتو-آتود معنی؛
- رام؛
- د سیسټم ټایمر.
انټرنیټ.
د سازمان کارپوریټ شبکه 2،
لوړپوړونکی:
- د شبکې انٹرفیس؛
- رام؛
- د سیسټم ټایمر.
مجازی ماشین:
- رام؛
- د سیسټم ټایمر.
د کنټرول کمانډ لیږد چینل
د کارونکي کاري سټیشن:
- د ننوتو-آتود معنی؛
- RAM.
(د CryptoARM سافټویر ګرافیکي کاروونکي انٹرفیس)
مجازی ماشین:
- رام؛
- HDD.
(آټومیشن سکریپټ)
د کار پایلو ترلاسه کولو چینل
د کارونکي کاري سټیشن:
- د ننوتو-آتود معنی؛
- RAM.
(د CryptoARM سافټویر ګرافیکي کاروونکي انٹرفیس)
مجازی ماشین:
- رام؛
- HDD.
(د اتوماتیک سکریپټونو لاګ فایلونه)
د لوړې کچې امنیتي ګواښونه
تشریحات
د ګواښونو د تخریب په وخت کې ترسره شوي انګیرنې:
- قوي کریپټوګرافیک الګوریتم کارول کیږي.
- کریپټوګرافیک الګوریتمونه په خوندي ډول د عملیاتو په سمو طریقو کې کارول کیږي (د بیلګې په توګه د ډیټا لوی مقدار کوډ کولو لپاره نه کارول کیږي ، په کیلي کې د جواز وړ بار په پام کې نیول کیږي ، او داسې نور).
- برید کوونکي ټول کارول شوي الګوریتمونه، پروتوکولونه او عامه کیلي پیژني.
- برید کوونکي کولی شي ټول کوډ شوي معلومات ولولي.
- برید کوونکي کولی شي په سیسټم کې د سافټویر عناصر بیا تولید کړي.
تخریب
U1. د شخصي کریپټوګرافیک کیلي سره جوړجاړی.
U2. د مشروع لیږونکي په استازیتوب د جعلي معلوماتو کوډ کول.
U3. د هغو کسانو لخوا د کوډ شوي ډیټا ډیکریپشن چې د معلوماتو قانوني ترلاسه کونکي ندي (برید کونکي).
U4. د غلط معلوماتو لاندې د قانوني لاسلیک کونکي بریښنایی لاسلیک رامینځته کول.
U5. د جعلي معلوماتو بریښنایی لاسلیک چیک کولو څخه مثبت پایله ترلاسه کول.
U6. د اجرا لپاره د بریښنایی اسنادو غلط منل د بریښنایی اسنادو جریان تنظیم کولو کې د ستونزو له امله.
U7. د CIPF لخوا د دوی پروسس کولو پرمهال خوندي معلوماتو ته غیر مجاز لاسرسی.
U1. د شخصي کریپټوګرافیک کیلي سره جوړجاړی
U1.1. د شخصي کیلي پلورنځي څخه شخصي کیلي ترلاسه کول.
U1.2. د کریپټو وسیلې عملیاتي چاپیریال کې د شیانو څخه د شخصي کیلي ترلاسه کول ، په کوم کې چې دا ممکن په لنډمهاله توګه استوګن وي.
توضیحات U1.2.
هغه شیان چې په لنډمهاله توګه شخصي کیلي ذخیره کولی شي پدې کې شامل دي:
- رام،
- لنډمهاله فایلونه
- فایلونه بدلول،
- د هایبرنیشن فایلونه
- د مجازی ماشینونو د "ګرم" حالت سنیپ شاټ فایلونه، په شمول د وقف شوي مجازی ماشینونو د رام مینځپانګې فایلونه.
U1.2.1. د RAM انډولونو منجمد کولو سره د کاري RAM څخه شخصي کیلي استخراج کول، د دوی لیرې کول او بیا د معلوماتو لوستل (فریز برید).
توضیحات U1.2.1.
بېلګه: .
U1.3. د شخصي کیلي تبادلې چینل څخه د شخصي کیلي ترلاسه کول.
توضیحات U1.3.
د دې ګواښ د پلي کولو مثال به ورکړل شي .
U1.4. د کریپټو کور غیر مجاز تعدیل ، د دې په پایله کې شخصي کیلي برید کونکو ته پیژندل کیږي.
U1.5. د تخنیکي معلوماتو لیک کولو چینلونو (TCIL) کارولو په پایله کې د خصوصي کیلي سره جوړجاړی.
توضیحات U1.5.
بېلګه: .
U1.6. د ځانګړي تخنیکي وسیلو (STS) کارولو په پایله کې د شخصي کیلي سره جوړجاړی د پټو معلوماتو ترلاسه کولو لپاره ډیزاین شوی ("بګ").
U1.7. د CIPF څخه بهر د دوی د ذخیره کولو پرمهال د شخصي کیلي سره موافقت.
توضیحات U1.7.
د مثال په توګه، یو کارن خپل کلیدي میډیا په ډیسټاپ دراز کې ذخیره کوي، له هغې څخه دوی په اسانۍ سره د برید کونکو لخوا ترلاسه کیدی شي.
U2. د قانوني لیږونکي په استازیتوب د جعلي معلوماتو کوډ کول
تشریحات
دا ګواښ یوازې د لیږونکي تصدیق سره د ډیټا کوډ کولو سکیمونو لپاره په پام کې نیول کیږي. د دې ډول سکیمونو مثالونه د معیاري کولو سپارښتنو کې ښودل شوي . د نورو کریپټوګرافیک سکیمونو لپاره، دا ګواښ شتون نلري، ځکه چې کوډ کول د ترلاسه کونکي په عامه کلیدونو کې ترسره کیږي، او دوی عموما برید کونکو ته پیژندل کیږي.
تخریب
U2.1. د لیږونکي شخصي کیلي سره موافقت کول:
U2.1.1. لینک: .
U2.2. په خلاص ډیټا تبادله چینل کې د ان پټ ډیټا ځای په ځای کول.
یادښتونه U2.2.
د دې ګواښ د پلي کولو بیلګې په لاندې ډول دي. и .
U3. د هغو کسانو لخوا د کوډ شوي ډیټا ډیکریپشن چې د معلوماتو قانوني ترلاسه کونکي ندي (برید کونکي)
تخریب
U3.1. د کوډ شوي ډیټا ترلاسه کونکي شخصي کیلي سره موافقت.
U3.1.1 لینک: .
U3.2. د خوندي ډیټا تبادلې چینل کې د کوډ شوي ډیټا بدیل.
U4. د غلط معلوماتو لاندې د قانوني لاسلیک کونکي بریښنایی لاسلیک رامینځته کول
تخریب
U4.1. د مشروع لاسلیک کونکي د بریښنایی لاسلیک شخصي کیلي سره موافقت.
U4.1.1 لینک: .
U4.2. په خلاص ډیټا تبادله چینل کې د لاسلیک شوي ډیټا بدیل.
یادښت U4.2.
د دې ګواښ د پلي کولو بیلګې په لاندې ډول دي. и .
U5. د جعلي معلوماتو بریښنایی لاسلیک چیک کولو څخه مثبت پایله ترلاسه کول
تخریب
U5.1. برید کونکي په چینل کې د بریښنایی لاسلیک چیک کولو منفي پایلې په اړه د کاري پایلو د لیږد لپاره پیغام مداخله کوي او د مثبت پایلې سره یې د پیغام سره بدلوي.
U5.2. بریدګر د سندونو په لاسلیک کولو باور برید کوي (سکریپټ - ټول عناصر اړین دي):
U5.2.1. برید کونکي د بریښنایی لاسلیک لپاره عامه او شخصي کیلي رامینځته کوي. که سیسټم د بریښنایی لاسلیک کلیدي سندونه کاروي ، نو بیا دوی د بریښنایی لاسلیک سند رامینځته کوي چې د امکان تر حده د هغه ډیټا مطلوب لیږونکي سند سره ورته وي چې پیغام یې دوی غواړي جعل کړي.
U5.2.2. برید کونکي د عامه کیلي پلورنځي کې غیر مجاز بدلونونه رامینځته کوي ، عامه کیلي په ورکولو سره دوی د باور او واک اړین کچې رامینځته کوي.
U5.2.3. برید کونکي د مخکینۍ تولید شوي بریښنایی لاسلیک کیلي سره غلط معلومات لاسلیک کوي او د خوندي ډیټا تبادلې چینل ته یې داخلوي.
U5.3. برید کوونکي د قانوني لاسلیک کونکي د وخت ختم شوي بریښنایی لاسلیک کیلي په کارولو سره برید ترسره کوي (سکریپټ - ټول عناصر اړین دي):
U5.3.1. برید کوونکي د مشروع لیږونکي د بریښنایی لاسلیک شخصي کیلي (اوس مهال اعتبار نلري) سره جوړجاړی کوي.
U5.3.2. برید کونکي د وخت لیږد چینل کې وخت د هغه وخت سره بدلوي په کوم کې چې موافقت شوي کیلي لاهم د اعتبار وړ وې.
U5.3.3. برید کوونکي د مخکې جوړ شوي بریښنایی لاسلیک کیلي سره غلط معلومات لاسلیک کوي او د خوندي ډیټا تبادلې چینل ته یې داخلوي.
U5.4. برید کونکي د قانوني لاسلیک کونکي د جوړ شوي بریښنایی لاسلیک کیلي په کارولو سره برید ترسره کوي (سکریپټ - ټول عناصر اړین دي):
U5.4.1. برید کوونکی د عامه کیلي پلورنځي یوه کاپي جوړوي.
U5.4.2. برید کوونکي د یو مشروع لیږونکي شخصي کیلي سره موافقت کوي. هغه جوړجاړي ته پام کوي، کیلي لغوه کوي، او د کلیدي لغوه کولو په اړه معلومات په عامه کیلي پلورنځي کې ځای پرځای شوي.
U5.4.3. برید کوونکي د عامه کیلي پلورنځي له مخکې کاپي شوي سره بدلوي.
U5.4.4. برید کوونکي د مخکې جوړ شوي بریښنایی لاسلیک کیلي سره غلط معلومات لاسلیک کوي او د خوندي ډیټا تبادلې چینل ته یې داخلوي.
U5.5. <…> د بریښنایی لاسلیک تصدیق کولو د دوهم او دریم مرحلو په پلي کولو کې د غلطیو شتون له امله:
توضیحات U5.5.
د دې ګواښ د پلي کولو یوه بیلګه ورکول کیږي .
U5.5.1. د بریښنایی لاسلیک کلیدي سند کې باور چیک کول یوازې په سند کې د باور شتون له مخې چې ورسره لاسلیک شوی وي ، پرته له CRL یا OCSP چکونو.
توضیحات U5.5.1.
د تطبیق بیلګه .
U5.5.2. کله چې د سند لپاره د باور سلسله رامینځته کیږي ، د سندونو صادرولو چارواکي نه تحلیل کیږي
توضیحات U5.5.2.
د SSL/TLS سندونو پروړاندې د برید یوه بیلګه.
برید کوونکو د خپل بریښنالیک لپاره یو قانوني سند اخیستی. دوی بیا د جعلي سایټ سند جوړ کړ او د دوی سند سره یې لاسلیک کړ. که اعتبار ونه کتل شي، نو کله چې د امانت سلسله وڅیړل شي، دا به سم شي، او په وینا، د جعل سند به هم سم وي.
U5.5.3. کله چې د سند باور سلسله رامینځته کړئ ، منځمهاله سندونه د لغوه کولو لپاره نه چک کیږي.
U5.5.4. CRLs د تصدیق کولو ادارې لخوا صادر شوي په پرتله لږ ځله تازه کیږي.
U5.5.5. په بریښنایی لاسلیک باور کولو پریکړه د سند د وضعیت په اړه د OCSP ځواب ترلاسه کولو دمخه ترسره کیږي ، د لاسلیک رامینځته کیدو وخت څخه وروسته یا د راتلونکي CRL څخه دمخه د لاسلیک رامینځته کیدو وروسته د غوښتنې په اړه لیږل کیږي.
توضیحات U5.5.5.
د ډیری CAs په مقرراتو کې، د سند ردولو وخت د نږدې CRL د صادرولو وخت ګڼل کیږي چې د سند د ردولو په اړه معلومات لري.
U5.5.6. کله چې لاسلیک شوي معلومات ترلاسه کوي، سند د لیږونکي پورې اړه لري نه چک کیږي.
توضیحات U5.5.6.
د برید بیلګه. د SSL سندونو په اړه: په سند کې د CN ساحې ارزښت سره د ویل شوي سرور پتې مطابقت ممکن نه وي چک شوی.
د برید بیلګه. برید کوونکو د تادیې سیسټم د ګډون کوونکو څخه د بریښنایی لاسلیک کیلي سره جوړجاړی وکړ. له هغې وروسته، دوی د بل ګډون کونکي شبکې ته هک کړل او د هغه په استازیتوب، د تادیې سیسټم د تصفیې سرور ته د جوړ شوي کیلي سره لاسلیک شوي تادیې اسناد واستول. که چیرې سرور یوازې باور تحلیل کړي او د اطاعت لپاره یې ونه ګوري، نو جعلي اسناد به قانوني وګڼل شي.
U6. د اجرا لپاره د بریښنایی اسنادو غلط منل د بریښنایی اسنادو جریان تنظیم کولو کې د ستونزو له امله.
تخریب
U6.1. ترلاسه کوونکی ګوند د ترلاسه شوي اسنادو نقل نه موندلی.
توضیحات U6.1.
د برید بیلګه. برید کوونکي کولی شي یو سند ترلاسه کړي چې ترلاسه کونکي ته لیږدول کیږي، حتی که دا په کریپټوګرافیک ډول خوندي وي، او بیا یې په مکرر ډول د خوندي ډیټا لیږد چینل ته واستوي. که چیرې ترلاسه کونکي نقلونه ونه پیژني، نو ټول ترلاسه شوي اسناد به د مختلف اسنادو په توګه وپیژندل شي او پروسس شي.
U7. د CIPF لخوا د دوی پروسس کولو پرمهال خوندي معلوماتو ته غیر مجاز لاسرسی
تخریب
U7.1. د اړخ چینلونو له لارې د معلوماتو لیک کیدو له امله (د اړخ چینل برید).
توضیحات U7.1.
بېلګه: .
U7.2. <…> په CIPF کې پروسس شوي معلوماتو ته د غیر مجاز لاسرسي پروړاندې د محافظت د بې طرفۍ له امله:
U7.2.1. د CIPF عملیات د هغه اړتیاو څخه سرغړونه ده چې د CIPF لپاره په اسنادو کې بیان شوي.
U7.2.2. <…>، د زیان مننې شتون له امله ترسره شوي:
U7.2.2.1. <...> د غیر مجاز لاسرسي پروړاندې د محافظت وسیله.
U7.2.2.2. <…> پخپله CIPF.
U7.2.2.3. <…> د کریپټو وسیلې عملیاتي چاپیریال.
د بریدونو بیلګې
لاندې بحث شوي سناریوګانې په ښکاره ډول د معلوماتو امنیت غلطۍ لري او یوازې د احتمالي بریدونو توضیح کولو لپاره خدمت کوي.
سناریو 1. د U2.2 او U4.2 ګواښونو پلي کولو یوه بیلګه.
د څیز تفصیل
د AWS KBR سافټویر او د CIPF SCAD لاسلیک په فزیکي کمپیوټر کې نصب شوي چې د کمپیوټر شبکې سره وصل ندي. FKN vdToken د نه لرې کولو کیلي سره د کار کولو حالت کې د کلیدي کیریر په توګه کارول کیږي.
د تصفیې مقررات داسې انګیري چې د تصفیې متخصص د خپل کاري کمپیوټر څخه بریښنایی پیغامونه په روښانه متن کې ډاونلوډ کوي (د زاړه KBR کاري سټیشن سکیم) د ځانګړي خوندي فایل سرور څخه ، بیا یې د لیږد وړ USB فلش ډرایو کې لیکي او د KBR کاري سټیشن ته یې لیږدوي ، چیرته چې دوی کوډ شوي او نښې دي. له دې وروسته ، متخصص خوندي بریښنایی پیغامونه اجنبی میډیا ته لیږدوي ، او بیا د خپل کاري کمپیوټر له لارې دوی د فایل سرور ته لیکي ، له هغه ځایه دوی UTA ته ځي او بیا د روسیې بانک تادیې سیسټم ته.
پدې حالت کې ، د خلاص او خوندي معلوماتو تبادلې چینلونه به پدې کې شامل وي: د فایل سرور ، د متخصص کاري کمپیوټر ، او جلا شوې رسنۍ.
برید
غیر مجاز برید کونکي د متخصص په کاري کمپیوټر کې د ریموټ کنټرول سیسټم نصبوي او د لیږد وړ وسیلې ته د تادیې امرونو (بریښنایی پیغامونو) لیکلو په وخت کې د دوی مینځپانګې په روښانه متن کې ځای په ځای کوي. متخصص د KBR اتوماتیک کاري ځای ته د تادیې امرونه لیږدوي، د بدیل په پام کې نیولو پرته یې نښې او کوډ کوي (د بیلګې په توګه، په الوتکه کې د ډیری تادیاتو امرونو له امله، ستړیا، او نور). له دې وروسته، د جعلي تادیې امر، د تخنیکي سلسلې څخه تیریږي، د روسیې بانک د تادیې سیسټم ته ننوځي.
سناریو 2. د U2.2 او U4.2 ګواښونو پلي کولو یوه بیلګه.
د څیز تفصیل
یو کمپیوټر چې د نصب شوي کار سټیشن KBR، SCAD لاسلیک او یو وصل شوي کلیدي کیریر FKN vdToken سره د پرسونل له لاسرسي پرته په وقف شوي خونه کې فعالیت کوي.
د محاسبې متخصص د RDP پروتوکول له لارې د لرې لاسرسي حالت کې د CBD ورک سټیشن سره وصل کیږي.
برید
برید کونکي توضیحات مداخله کوي ، د کوم په کارولو سره چې د محاسبې متخصص د CBD ورک سټیشن سره وصل او کار کوي (د مثال په توګه ، په کمپیوټر کې د ناوړه کوډ له لارې). بیا دوی د هغه په واسطه اړیکه نیسي او د روسیې بانک تادیې سیسټم ته د جعلي تادیې امر واستوي.
سناریو 3. د ګواښ پلي کولو بیلګه U1.3.
د څیز تفصیل
راځئ چې د نوي سکیم (AWS KBR-N) لپاره د ABS-KBR ادغام ماډلونو پلي کولو لپاره یو فرضي اختیار په پام کې ونیسو ، په کوم کې چې د وتلو اسنادو بریښنایی لاسلیک د ABS اړخ کې پیښیږي. په دې حالت کې، موږ به فرض کړو چې ABS د عملیاتي سیسټم پر بنسټ کار کوي چې د CIPF SKAD لاسلیک لخوا نه ملاتړ کیږي، او په وینا، د کریپټوګرافیک فعالیت جلا مجازی ماشین ته لیږدول کیږي - د "ABS-KBR" ادغام ماډل
یو منظم USB نښه چې د ترلاسه کولو وړ کیلي حالت کې کار کوي د کلیدي کیریر په توګه کارول کیږي. کله چې کلیدي میډیا هایپروایسر ته وصل کړئ ، نو معلومه شوه چې په سیسټم کې وړیا USB پورټونه شتون نلري ، نو پریکړه وشوه چې د USB نښه د شبکې USB مرکز له لارې وصل کړئ ، او په مجازی کې د USB-over-IP مراجع نصب کړئ. ماشین، کوم چې به د مرکز سره اړیکه ونیسي.
برید
برید کوونکو د USB مرکز او هایپروایزر ترمنځ د ارتباطي چینل څخه د بریښنایی لاسلیک شخصي کیلي مداخله وکړه (ډیټا په روښانه متن کې لیږدول شوې وه). د شخصي کیلي په درلودلو سره، برید کوونکو د تادیې جعلي امر جوړ کړ، د بریښنایی لاسلیک سره یې لاسلیک کړ او د اجرا کولو لپاره یې د KBR-N اتوماتیک کاري ځای ته واستاوه.
سناریو 4. د ګواښونو د تطبیق یوه بیلګه U5.5.
د څیز تفصیل
راځئ چې د تیرې سناریو په څیر ورته سرکټ په پام کې ونیسو. موږ به فرض کړو چې د KBR-N کاري سټیشن څخه بریښنایی پیغامونه د ... SHAREIN فولډر کې پای ته رسیږي، او هغه چې د KBR-N کار سټیشن ته لیږل کیږي او د روسیې بانک د تادیې سیسټم ته لیږل کیږي ... SHAREout ته ځي.
موږ به دا هم فرض کړو کله چې د ادغام ماډل پلي کول ، د رد شوي سندونو لیست یوازې هغه وخت تازه کیږي کله چې کریپټوګرافیک کیلي بیا خپاره شي ، او همدارنګه دا چې په ... SHAREIn فولډر کې ترلاسه شوي بریښنایی پیغامونه یوازې د بشپړتیا کنټرول او د عامه کیلي کې د باور کنټرول لپاره چیک کیږي. بریښنایی لاسلیک.
برید
برید کوونکو، په تیرو سناریو کې د غلا شوي کلیدونو په کارولو سره، د جعلي تادیاتو امر لاسلیک کړ چې د جعلي پیرودونکي حساب ته د پیسو رسید په اړه معلومات لري او د خوندي ډیټا تبادلې چینل ته یې معرفي کړي. له هغه ځایه چې هیڅ تصدیق شتون نلري چې د تادیې امر د روسیې بانک لخوا لاسلیک شوی ، نو دا د اجرا لپاره منل کیږي.
سرچینه: www.habr.com