განხილულია საინფორმაციო სისტემების საიმედოობის

საქართველოს ტექნიკური უნივერსიტეტი

და უსაფრთხოების მოთხოვნები; თანამედროვე
თავდასხმების კლასიფიკაცია და მათთან ბრძოლის მეთოდები;
დაცვის ზომები, აღმოჩენა და რეაგირება; უსაფრთხოების
ვ. ადამია, ნ. არაბული
პოლიტიკა და პრინციპები.
სახელმძღვანელო განკუთვნილია საქართველოს
მონაცემთა დაცვა ტექნიკური უნივერსიტეტის ინფორმატიკის ფაკულტეტის
სტუდენტებისათვის და ასევე მკითხველთა ფართო
კომპიუტერულ ქსელებში წრისათვის, რომლებიც დაინტერესებულნი არიან მონაცემთა
გადაცემის ქსელებში ინფორმაციის დაცვის პრობლემებით.
I ნაწილი

რეცენზენტი ასისტენტ-პროფესორი დ. კაპანაძე

დამტკიცებულია სახელმძღვანელოდ
სტუ-ს სარედაქციო-საგამომცემლო
საბჭოს მიერ © საგამომცემლო სახლი ”ტექნიკური უნივერსიტეტი”~ 2007
ISBN 978-99940-957-8-0 (ორივე ნაწილი)
ISBN 978-99940-957-9-7 (პირველი ნაწილი)
თბილისი
2007
2
 საინფორმაციო სისტემების საიმედოობის და - ელექტრონული სახით წარმოდგენილი ინფორმაციის
უსაფრთხოების მოთხოვნები და ზოგადი პრინციპები იურიდიული მნიშვნელობის უზრუნველყოფა;

- კლიენტის მოქმედებების კონფიდენციალურობის

გამოთვლითი ტექნიკის და საინფორმაციო ქსელების
უზრუნველყოფა.
სწრაფმა განვითარებამ გამოიწვია მათი ფართო გავრცელება
როგორც ყოველდღიურ ცხოვრებაში, ასევე ბიზნესში. მძლავრი ინფორმაციის კონფიდენციალობა ნიშნავს, რომ მასთან
გამოთვლითი შესაძლებლობები და ინფორმაციის გადაცემის მიმართვა მხოლოდ მომხმარებელთა გარკვეული ჯგუფს
ოპერატიულობა ხელს უწყობს როგორც ტრადიციული ბიზნესის შეუძლია.
განვითარებას, ასევე ბიზნესის ახალი ფორმების წარმოშობას.
მთლიანობაში იგულისხმება ინფორმაციის ან
განსაკუთრებული მნიშვნელობა საინფორმაციო ტექნოლოგიებმა
პროგრამული უზრუნველყოფის თვისება შეინარჩუნოს თავისი
საბანკო სფეროში შეიძინა.
სტრუქტურა და შინაარსი გადაცემის და შენახვის პროცესში.
საინფორმაციო სისტემების ასეთმა ფართო გავრცელებამ
ინფორმაციის სარწმუნოება მას მკაცრად მიაკუთვნებს
სულ უფრო მნიშვნელოვანი გახადა მათი საიმედოობისა და
ობიექტს, რომელიც მის წყაროს წარმოადგენს, ან იმ ობიექტს,
უსაფრთხოების გაზრდა. ინფორმაციის დაგროვების,
რომლისაგანაც ეს ინფორმაციაა მიღებული.
გადამუშავების და გადაცემის თანამრდროვე მეთოდებმა
განაპირობა ინფორმაციის დაკარგვის, მოდიფიცირების და ოპერატიულობა განსაზღვრავს საინფორმაციო რესურსის
მოპარვის საფრთხის წარმოშობა. გარდა ამისა საფრთხეს უნარს იყოს მისაწვდომი საბოლოო მომხმარებლისათვის მისი
წარმოადგენს საინფორმაციო სისტემების მწყობრიდან გამოსვლა. მოთხოვნილების შესაბამისად.
სწორედ ამიტომ გაიზარდა საინფორმაციო სისტემების დაცვის ინფორმაციის იურიდიული მნიშვნელობა ნიშნავს, რომ
მნიშვნელობა. დოკუმენტს გააჩნია იურიდიული ძალა. ამ მიზნით სუბიექტები,
მომხმარებლის ინფორმაციის დაცვის ძირითადი ვისთვისაც მნიშვნელოვანია გადაცემული გზავნილის
ამოცანებია: იურიდიული მნიშვნელობა, თანხმდებიან ინფორმაციის იმ
განსაკუთრებული ატრიბუტების საყოველთაო აღიარებაზე,
- ინფორმაციის კონფიდენციალობის უზრუნველყოფა;
რომლებიც გამოხატავენ მის იურიდიულ მნიშვნელობას.
- ინფორმაციის მთლიანობის უზრუნველყოფა; გზავნილების იურიდიული მნიშვნელობა განსაკუთრებით
მნიშვნელოვანია ელექტრონული გადახდის სისტემებში, სადაც
- ინფორმაციის სარწმუნოების უზრუნველყოფა;
ხდება ფულის ელექტრონული გადარიცხვის ოპერაციები.
- ინფორმაციასთან ოპერატიული მიმართვის უზრუ- დოკუმენტების იურიდიული მნიშვნელობის განმსაზღვრავი
ნველყოფა;

3 4
ატრიბუტები ერთმნიშვნელოვნად უნდა ადასტურებდნენ, რომ - მომხმარებლების და ქსელის მომსახურე პერსონალის მიერ
დოკუმენტი კონკრეტული პირის მიერაა გამოგზავნილი. სისტემაში არასანქცირებული მოქმედებებისაგან დაცვა;

ოპერაციების კონფიდენციალურობის უზრუნველყოფა - ავარიული სიტუაციების დროს სისტემის დაცვა

ნიშნავს, რომ მომხმარებელს აქვს საშუალება აწარმოოს მწყობრიდან გამოსვლისაგან.
ოპერაციები ისე, რომ არავის შეეძლოს მისი თვალთვალი.
საინფორმაციო-ტელეკომუნიკაციურ ქსელებში უსაფრთხო-
მსგავსი მოთხოვნის აქტუალურობა ცხადი გახდა
ების უზრუნველყოფისათვის საჭიროა:
ელექტრონული ფულის წარმოშობასთან ერთად. ელექტრონული
ანგარიშსწორების სისტემასთან მიმართვისას მომხმარებელი - ინფორმაციის დაცვა შენახვის, გადამუშავების და
აწვდის მას გარკვეულ საიდენტიფიცირო ინფორმაციას. ამ გადაცემის დროს;
სისტემების ფართო გავრცელებასთან ერთად შესაძლოა გაჩნდეს - მონაცემების და მომხმარებლების სარწმუნოების დამოწმება
ანგარიშსწორების ოპერაციების კონტროლირების და მომხმარებ- (მხარეების აუტენტიფიკაცია);
ლებზე ტოტალური თვალთვალის საშიშროება სახელმწიფო
- მონაცემების მთლიანობის დარღვევის აღმოჩენა და
სტრუქტურების ან სხვა დაინტერესებული პირების მხრიდან.
გაფრთხილება;
ამ პრობლემის გადაწყვეტის ერთი გზა საკანონმდებლო
- ტექნიკური მოწყობილობების და სათავსოების დაცვა;
აქტებით საშუალებით საინფორმაციო სისტემების მომხმარე-
ბლებზე ყოველგვარი ტოტალური თვალთვალის აკრძალვაა. - კონფიდენციალური ინფორმაციის დაცვა სათვალთვალო
მეორე გზა კი სპეციალური კრიპტოგრაფიული მეთოდების მოწყობილობების საშუალებით მოპოვებისაგან და
გამოყენებაა. გაჟონვისაგან;

როგორც უკვე აღვნიშნეთ საინფორმაციო უსაფრთხოება - პროგრამული პროდუქტების დაცვა ვირუსებისაგან და სხვა
უნდა განვიხილოთ როგორც ინფორმაციის კონფიდენცი- პროგრამული ჩანართებისაგან;
ალურობის დაცვის, ასევე ინფორმაციული სისტემების მიერ - არასანქცირებული შეღწევებისაგან საინფორმაციო
მოცემული ფუნქციების შესრულების უნარის მხრივ. სისტემების დაცვა.
საინფორმაციო სისტემების გამართულად მუშაობისათვის
საინფორმაციო რესურსების უსაფრთხოების უზრუნ-
საჭიროა უზრუნველვყოთ:
ველყოფა კონკრეტულ შემთხვევაში შეიძლება გამოიხატოს
- სისტემაში არასანქცირებული შეღწევისაგან დაცვა; ორგანიზაციული ან ტექნიკური მეთოდებით ინფორმაციის
- დაცვის შიდა და გარე სისტემების დაცვა გატეხვისაგან; დაცვაში. ორგანიზაციული მეთოდები გულისხმობს პერსონალის
უფლებამოსილებების ზუსტ განსაზღვრასბ მომხმარებლების

5 6
ინფორმირებას შესაძლო საფრთხის შესახებ, სამუშაო პროცესის აგრეთვე დაცვითი ტექნოლოგიების განვითარება
ისეთ ორგანიზებას, რომ გამოირიცხოს კონფიდენციალური გავლენას ახდენს “ჰაკერებზე”. ეს გასაგებიცაა, რადგანაც
ინფორმაციის გაჟონვის შესაძლებლობა და სხვა. დაცვის ყველაზე გამოყენებად ტექნოლოგიებშიც კი მანამ არ შეიქმნება
ტექნიკური მეთოდები გულისხმობს ინფორმაციული დაცვითი სისტემის სექმა, სანამ მათზე არ მოხდება ჰაკერული
სისტემების მუშაობის და ინფორმაციის შენახვის საიმედოობის თავდასხმა. ნათელ მაგალითს წარმოადგენს უკებელო ქსელური
გაზრდას (დუბლირება, სარეზერვო კოპირება და სხვა) ტექნოლოგია, რომელსაც არც თუ ისე დიდი ხნის წინ ქონდა,
ინფორმაციის კრიპტოგრაფიული დაცვის მეთოდებს შენახვის არც თუ ისე სერიოზული დაცვის სისტემა. მაგრამ
და გადაცემის პროცესში, აუტენტიფიკაციის პროგრამულ ბოროტმოქმედების მოქმედებამ გამოაჩინა არსებულის სიტემის
საშუალებებს, ქსელის დაცვას ქსელური ეკრანებით და ხარვეზები, ამიტომ დაუყონებლივ შეიქმნა სპეციალიზირებული
შლუზებით და სხვა. დაცვის მექანიზმები და საშუალებები მაგალითად როგორიც
არის ხარვეზების აღმომჩენები (სკანერები), შეტევის აღმომჩენი
თანამედროვე დაცვის სისტემები საკმაოდ რთულია,
სისტემები და სხვა.
მაგრამ რაღაც ზეჩვეულებრივი მაგათში მაინც არ არის, იმიტომ
რომ ინფორმაციული ტექნოლოგიების განვითარებას ისინი მარკეტინგში ხშირად იყენებენ ტერმინს “კომუნიკაციური
ყოველთვის ჩამორჩებიან. წარმოუდგენელია ქსელთაშორისი ველი” რომელიც აღნიშნავს ერთეული ადამიანების ან
ეკრანის არსებობა სისტემაში (Firewall) სადაც კომპიუტერები ადამიანთა ჯგუფების ურთიერთობის გარემოს ან წრეს, ჩვენ
ერთმანეთთან არ არის დაკავშირებული, ან რა საჭიროა შემთხვევაში საუბარი გვექნება კომპანიების კომინიკაციურ
ანტივირუსი თუ არ არსებობს ვირუსული პროგრამები, მეტ- ველზე, ე.ი ინტერნეტზე, დაშორებულ ფილეალებზე
ნაკელებად სერიოზული დაცვითი ტექნოლოგიები ჩნდება (ინტრანეტი) კლიენტებზე და პარტნიორებზე (ექსტრანეტი)
ახალი ტექნოლოგიური სიახლეების შექმნის საპასუხოდ. უფრო
ურთიერთობის მიხედვით გამოიყენება სხვადასხვა
მეტიც ზოგჯერ ტექნოლოგიური სიახლე არ ითხოვს
დაცვითი ტექნოლოგიები, მაგალითად ინტერნეტთან
აუცილებელ დაცვის სისტემის შექმნას, ის იქმნება მაშინ
კავშირისას არასდროს გამოვიყენებთ VPN (Virtual Private
როდესაც გაჩნდება მაგის ფინანსური მიზანშეწონილობა.
Network - ვირტუალური კერძო ქსელი) ტექნოლოგიას, მაგრამ
მაგალითად დაცვითი მეანიზმების შექმნა მონაცემთა ბაზების
როდესაც კავშირს ვანხორციელებთ დაშორებულ ფილიალებთან
მართვის სისტემების კლიენტ-სერვერული მოდელისთვის
აღნიშნული ტექნოლოგია საკმაოდ მნიშვნელოვანია.
აუცილებელია, იმიტომ რომ ის უშუალოდ მოქმედებს
მომხმარებლებზე, რომლებიც სარგებლობენ აღნიშნული ინფორმაციული დაცვის ტექნოლოგიის შერჩევისას,
სისტემით. ხოლო დაცვითი ფუნქციების არ არსებობა მნიშვნელოვან გავლენას ახდენს კომპიუტერების რაოდენობა
მობილურ ტელეფონებში დიდად არ აისახება მათ გაყიდვებზე. რომელიც გაერთიანებულია ქსელში. ქსელის მასშტაბი თავის
წესებს კარნახობს- რადგან ფულის უკმარისობის გამო ვერ
7 8
ხერხდება საჭირო ინფორმაციული დაცვის სისტემების შეძენა, წესრიგში, მაგრამ სამწუხაროდ უმრავლეს შემთხვევაში ეს ასე
ისევე როგორც ზოგჯერ უკანასკნელის საჭიროების საერთოდ არ არის.
არ ქონის გამო. ასე რომ ერთი კომპიუტერი, რომელიც
არსებობს უსაფრთხოების ბევრი თეორიული მოდელი,
ჩართულია ინტერნეტის ქსელში არ სჭირდება
რომელთა უმრავლესობა ფინანსდებოდა ამერიკის თავდაცვის
კონფიდენციალური ინფორმაციის გაჟონვის საწინააღმდეგო
სამინისტროს მიერ და გამოიყენებოდა სამხედრო
კონტროლის სისტემა, როდესაც აღნიშნული სასიცოცხლოდ
საიდუმლოების დაცვის მიზნით. ძირითადად ასეთი სისტემები
აუცილებელია უკვე მცირე კომპიუტერული ქსელის
არის მრავალდონიანი, იმიტომ, რომ ისინი გამოიყენება
არსებობისას.
მრავალი დონის საიდუმლოების მხარდასაჭერად.
ინტერნეტის ხანაში კომპიუტერული ინფორმაციის
უსაფრთხოება და ქსელური უსაფრთხოება ერთმანეტს
შეერწყა. კომპიუტერული ინფორმაციის სრული დაცვა, თანამედროვე თავდასხმების კლასიფიკაცია და
რომელიც შეიზლება განისაზღვროს, როგორც დაუშებელი მათთან ბრძოლის მეთოდები
მოქმედებების აღმოფხვრა და გამოვლენა. აღნიშნულის
ინტერნეტის პოპულარიბის კოლოსალურ ზრდასთან ერთად,
გაკეთება კომპიუტერული სისტემის მომხმარებლების მხრიდან,
წარმოიქმნა პერსონალური ინფორმაციის, კრიტიკულად
გაცილებით რთული და ძნელია, ვიდრე მარტივი მათემატიკა
მნიშვნელოვანი კორპორაციული რესურსების, სახელმწიფო
კრიპტოგრაფიისა.
საიდუმლოების და სხვა ინფორმაციის გაჟონვის უპრეცედენტო
არსი მდგომარეობს იმაში რომ მხოლოდ მათემატიკას არ საშიშროება. ყოველ დღე ჰაკერები ამ რესურსებს უქმნიან
შეუძლია უზრუნველყოს სრული უსაფრთხოება. საშიშროებას. და ცდილობენ მიიღონ ეს ინფორმაცია თავდასხმის
კრიპტოგრაფიაში დაცვას მატემატიკა აძლევს უდიდეს სხვადასხვა გზების გამოყენებით, რომლებიც ერთი მხრივ ხდებიან
უპირატესობას ბოროტმოქმედებთან შედარებით. ერთი ბიტის უფრო და უფრო დახვეწილები და მეორე მხრივ - მარტივი
დამატება გასაღებზე ორჯერ ართულებს მის გატეხვას, 10-ის გამოსაყენებლად. ამას განაპირობებს ორი ფაქტორი.
მიახლოებით 1000-ჯერ როდესაც ლაპარაკი მიდის
პირველი: ეს არის ინტერნეტში ყოველმხრივი შეღწევადობა.
კომპიუტერულ უსაფრთხოებაზე ერთიანად, მხარეები
დღესდღეისობით ქსელებში დაკავშირებულია მილიონობით
იმყოფებიან თანაბარ მდგომარეობაში: ბოროტმოქმედებმა და
მოწყობილობა და კიდევ მარავალი მილიონი ჩაერთვება უახლოეს
დამცველებმა შესაძლებელია მიიღონ ტექნოლოგიისგან
მომავალში. ამიტომ ნაკლოვან მოწყობილობებშიც ჰაკერების
ერთდაიგივე მოგება, ეს იმას ნიშნავს, რომ თუ თქვენ
შეღწევის ალბათობაც იზრდება. აგრეთვე ინტერნეტის ფართოდ
გექნებოდათ საკმარისი კრიპტოგრაფია უსაფრთხოების
გავრცელება ჰაკერებს აძლევს შესაძლებლობას გაცვალონ
უზრუნველსაყოფად, მაშინ თქვენ გექნებოდათ ყველაფერი
ინფორმაცია გლობალურ მასშტაბში.
9 10
 მეორე: ეს არის გამოყენებისთვის მარტივი ოპერაციული ქსელების წინააღმდეგ და ჩამოვთვლით მათ საწინააღმდეგო
სისტემების ხერხებს.

და მათი შექმნის საშუალებების გავრცელება. აღნიშნული ფაიერვოლი

ფაქტორი ამცირებს ჰაკერის აუცილებელი განათლებას დონეს.
ფაიერვოლი არის სისტემა, რომელიც გვაძლევს საშუალებას
მანამდე, რომ შექმნილიყო და გავრცელებულიყო მარტივი
დავყოთ ქსელი ორ ან მეტ ნაწილად და ჩამოვაყალობოთ წესები,
გამოყენებითი პროგრამა ჰაკერს უნდა ქონოდა კარგი განათლება
რომლებიც განსაზღვრავენ პაკეტების მიმოცვლის წესებს ერთი
პროგრამირებაში. ახლა რომ მივიღოთ წვდომა ჰაკერული
ქსელიდან მეორე ქსელში.
საშუალებებზე, საჭიროა მხოლოდ საიტის IP მისამართის ცოდნა
და რომ განვახორციელოთ შეტევა უბრალოდ საჭიროა ხშირად ფაიერვოლი დგება ინტერნეტის და ორგანიზაციის
დავაწკაპუნოთ მაუუს. ქსელების საზღვარზე, მაგრამ ზოგჯერ მას იყენებენ ორგანიზაციის
ლოკალური ქსელის შიგნითაც.
ქსელური თავდასხმები იმდენად მრავალგვარია, ისევე
როგორც სისტემები, რომლის წინააღმდეგაც ისინი არიან ყოველი პაკეტისთვის ფაიერვოლი ღებულობს
მიმართული. ზოგიერთი შეტევა გამოირჩევა დიდი სირთულით. გადაწყვეტილებას, გაატაროს ის თუ არა, წესების გარკვეული
შეტევის ტიპების შეფასებისას აუცილებელია ვიცოდეთ კრებულის მიხედვით.
ზოგიერთი შეზღუდვები, თავდაპირველად რომელსაც მივყავართ ფაიერვოლი შეიძლება მუშაობდეს როგორც ქსელურ
Tcp/Ip პროტოკოლამდე -მდე. ინტერნეტი შეიქმნა იმისათვის, დონეზე, ასევე გამოყენებით დონეზეც. ჩვენ განვიხილავთ
რომ დაკავშირებულიყო სახელმწიფო ორგანიზაციები და მხოლოდ ქსელური დონის ფაიერვოლებს.
უნივერსიტეტები და გაეწია დახმარება სასწავლო პროცესისთვის
ქსელის დონეზე მომუშავე ფაიერვოლი ღებულობს
და მეცნიერული გამოკვლევებისათვის. ამ ქსელის შემქმნელები არ
გადაწყვეტილებებს პაკეტის ადრესატის და გამგზავნის
ელოდებოდნენ მის ასე გავრცელებას. შედეგად ინტერნეტის
მისამართების, პროტოკოლის და ადრესატის და გამგზავნის
პროტოკოლის ადრეულ სფეციფიკაში არ იყო უსაფრთხოების
პორტების მისამართების საფუძველზე.
მოთხოვნა გათვალისწინებული. რამდენიმე წლის შემდეგ,
საბოოლოდ დაიწყეს უსაფრთხოების ზომების დანერგვა, იმის ჩვენ განვიხილავთ ზოგადად ფაიერვოლის კონფიგურირების
გათვალისწინებით რომ თავიდანვე არ იყო გათვალისწინებული პრინციპებს. ეს პრინციპები არ იცვლება ნებისმიერი ფაიერვოლის
უსაფრთხოების ზომები, ამიტომ ამის გაკეთება დაიწყეს სხვადსხვა კონფიგურირების დროს. სხვა და სხვა პროგრამაში
საშუალებებით და პროცედურებით, რომ დაეწიათ რისკი, განსხვავებულია მხოლოდ წესების შეყვანის ფორმა და სინტაქსისი.
რომელსაც შეიცავდა ეს პროტოკოლები. შემდგომში
ფაიერვოლი ღებულობს გადაწყვეტილებას პაკეტის
დაწვრილებით განვიხილავთ შემთხვევებს დაკავშირებულს IP
გატარების ან დაბლოკვის შესახებ წესების ბაზის საფუძველზე.
11 12
ადმინისტრატორის მოვალეობაა შექმნას ისეთი წესების ბაზა, განვიხილოთ რა მნიშვნელობები შეიძლება მიიღოს
რომელიც შეესაბამება კონკრეტულ ქსელს და ქსელში არსებულ თითოეულმა ველმა და თუ რა მოთხოვნებს უნდა
სერვისებს. აკმაყოფილებდნენ ისინი.

ფაიერვოლი განიხილავს წესებს მათი ნომრების ზრდადობის 1. წესის ნომერი – რიცხვი 1-დან 65534-მდე. (ფაიერვოლში
მიხედვით. თუ პაკეტი შეესაბამება მოცემულ წესს, მაშინ შესაძლო წესების რაოდენობა დამოკიდებულია კონკრეტული
ფაიერვოლი ან ატარებს ამ პაკეტს ან ბლოკავსმას. შემდეგ წესებს ის რეალიზაციაზე. აქ მოყვანილია მნიშვნელობები FreeBSD
აღარ განიხილავს. ოპერაციული სისტემის ქვეშ მომუშავე IPFW ფაიერვოლისთვის).

ქსელის დონეზე მომუშავე ფაიერვოლის წესი შედგება 2. მოქმედება — შესაძლებელია ორი მოქმედება: გატარება
შემდეგი ველებისგან: (permit, allow, pass) ან დაბლოკვა (deny).

1. წესის ნომერი 3. პროტოკოლი — შეიძლება მიიღოს შემდეგი

მნიშვნელობები: IP, TCP, UDP, ICMP და სხვა.
2. მოქმედება
4. გამგზავნის მისამართი — აუცილებელია ჩაიწეროს ქსელის
3. პროტოკოლი
მისამართი შესაბამისი ნიღბით (Network Mask) ან ჰოსტის
4. გამგზავნის ჰოსტის ან ქსელის მისამართი მისამართის შემთხვევაში წინ მიეწეროს სიტყვა: “host”. ნიღაბი
5. გამგზავნის პორტის ნომერი ან ინტერვალი შეიძლება ჩაიწეროს ორნაირად — ათობითი ფორმატის
მისამართის თითოელ ბაიტში ქსელის ნაწილის მითითებით
6. ადრესატის ჰოსტის ან ქსელის მისამართი
(მაგალითად: 255.255.255.252), ან უბრალოდ ქსელის ნიღაბში
7. მიმღების პორტის ნომერი ან ინტერვალი ერთიანების რაოდენობის მითითებით (/30).
შესაძლებელია ამ წესებში იყოს ინფორმაცია, რომელიც o 255.255.255.252 ან /30
დამოკიდებულია კონკრეტულ პროტოკოლზე, მაგალითად TCP
o 255.255.255.248 ან /29
პროტოკოლისათვის — ინფორმაცია სესიის მდგომარებოაზე, ICMP
პროტოკოლისათვის — ინფორმაცია პაკეტის ტიპზე და ა.შ. o 255.255.255.0 ან /24

ზემოთ ჩამოთვლილი ველებიდან აუცილებელია მხოლოდ მეორე ვარიანტი ხშირად უფრო ადვილად იკითხება და
პირველი ხუთი. დანარჩენების მითითება აუცილებელი არ არის მოკლეა დასაწერად.
თუ ამას სიტუაცია არ მოითხოვს. ასევე შესაძლებელია მისამართის მაგივრად სიტყვა “any”-ს
ჩაწერა, რაც ნებისმიერ მისამართს გულისხმობს.

13 14
 როგორ გამოვთვალოთ მისამართის ქსელის ნაწილში
ftp 20,21
ბიტების რაოდენობა?

განვიხილოთ მაგალითად ქსელის ნიღაბი 255.255.255.240. telnet 23

წარმოვადგინოთ ეს რიცხვები ორობით ფორმატში და უბრალოდ
ssh 22
დავითვალოთ ერთიანების რაოდენობა. მივიღებთ 28-ს.
dns query 53
255 255 255 240
finger 79
11111111 11111111 11111111 11110000
tftp 69
როგორ გამოვთვალოთ ბიტების რაოდენობიდან ნიღბის
ათობითი წარმოდგენა? smtp 25
მაგალითად მოცემულია ბიტების რაოდენობა /29. დავწეროთ
pop3 110
ორობით ფორმატში იმდენი ერთიანი, რამდენიც მოცემულია და
გადავიყვანოთ შესაბამისი ბაიტები ათობით ფორმატში. imap 143

11111111 11111111 11111111 11111000 პორტების მითითების დროს ადმინისტრატორმა კარგად

უნდა იცოდეს რას აკეთებს და რა შედეგს უნდა მიაღწიოს.
255 255 255 248
არასწორი კონფიგურირების შემთხვევაში შესაძლებელია
5,7 პორტის ნომერი — რიცხვი 1-დან 65535-მდე. გამოიყენება ლოკალურ ქსელში არსებული სერვისის დაბლოკვა, ან
მხოლოდ TCP და UDP პროტოკოლების დროს და გულისხმობს ლოკალული ქსელის მომხმარებლების მუშაობის შეფერხება.
პორტის ნომერს. არსებობს პორტის ნომრების შემდეგი აღსანიშნავია, რომ ბევრ ოპერაციულ სისტემაში მიღებულია
შესაბამისობა სტანდარტულ სერვისებთან: პორტების დაკავების შემდეგი წესი: 1024-მდე არის სერვისების
პორტების ნომრები, მომხმარებლის მანქანიდან სხვა სერვისთან
სერვისი პორტის ნომერი დაკავშირება ხდება 1024-ზე მეტი ნომრის პორტიდან. მაგალითად
ინტერნეტში ვებ-გვერდის დათვალიერების დროს http
http 80
პროტოკოლით იქმნება შეერთება მომხმარებლის კომპიუტერიდან
სერვერის მე-80 პორტთან. სასურველია წესების ჩამოყალიბების
https 443
დროს გათვალისწინებული იყოს ეს თავისიბურებანი.

15 16
 შესაძელებელი პორტების ინტერვალის
ჩამონათვლის მითითება შემდეგნაირად:
ა. მიუთითოთ მე-80 და 443-ე პორტები: 80, 443
ბ. მიუთითოთ 80-დან 1024-მდე პორტები: 80-1024
ასევე მისაღებია შემდეგი შემოკლებანი:
და პორტების ფაიერვოლის ასეთი კოფიგურაციის დროს იგულისხმება,
რომ ბოლო წესი გამოიყურება მაგალითად ასე: 6500 allow ip any
any. რაც ნიშნავს — ყველაფერი დაშვებულია, ე.ი ფაიერვოლის
ბოლო წესის თანახმად პაკეტი უნდა გადაიცეს შემდეგ ქსელში. ამ
შემთხვევაში დასაბლოკი წესები ჩამატებული უნდა იქნას ამ წესის
წინ.

ასეთი ტიპის ფაიერვოლი გამოიყენება იშვიათად და

შემოკლება რას ნიშნავს
მხოლოდ იმ შემთხვევაში, როდესაც ადმინისტრატორი
lt (less than ) ნაკლებია დარწმუნებულია, რომ იცის ყველა ქსელური სერვისის შესახებ და
ეს სერვისები დაკონფიგურირებულია ისე, რომ ინტერნეტიდან
gt (great than) მეტია მათი მწყობრიდან გამოყვანა ან მათი გამოყენებით სისტემის
დაზიანება შეუძლებელია.
eq ტოლია
ასეთი ფაიერვოლის კონფუგურაციის მაგალითია:

ამოცანა მდგომარეობს იმაში, რომ დაიბლოკოს მხოლოდ http

მაგალითად: სერვისი, რომელიც გაშვებულია 212.72.130.20 სერვერზე

ა. 1024-ზე მეტია: gt 1024 213.157.211.0 C კლასის ქსელის მისამართებიდან.

ბ. ნაკლები 139-ზე: lt 139 C კლასის ნიღაბი არის 255.255.255.0 და მისამართის ქსელურ

მიმღების მისამართის მიმართ არის იგივე მოთხოვნები რაც
გამგზავნის მისამართის შემთხვევაში.
ფაიერვოლის კონფიგურირება შეიძლება მოხდეს შემდეგი
პრინციპების მიხედვით:
ნაწილში ბიტების რაოდენობა არის 24, ამიტომ პასუხი შეიძლება
ჩაიწეროს შემდეგნაირად:
10 deny tcp 213.157.211.0/24 host 212.72.130.20 80
20 allow ip any any

ა. დაშვებულია ის, რაც არ არის აკრძალული. ან ასე:

ბ. აკრძალულუა ის, რაც არ არის დაშვებული. 10 deny tcp 213.157.211.0 255.255.255.255 host 212.72.130.20 80

განვიხილოთ თითოეული პრინციპი უფრო დაწვრილებით: 20 allow ip any any

დაშვებულია ის, რაც არ არის აკრძალული.

17 18
 ფაიერვოლის მეორე კონფიგურაციის ტიპი არის: 10 deny tcp 212.72.130.16 255.255.255.248 host
213.157.196.130 80
აკრძალულია ის, რაც არ არის დაშვებული.
20 allow tcp any host 213.157.196.130 80
ამ შემთხვევაში იგულისხმება, რომ ბოლო წესი გამოიყურება
შემდეგნაირად: 6500 deny ip any any. რაც ნიშნავს, რომ ყველაფერი 30 deny ip any any
აკრძალულია ე.ი არც ერთი პაკეტი, რომელიც აღწევს ამ წესამდე
ან:
არ გადაიცემა შემდეგ ქსელში.
10 deny tcp 212.72.130.16/29 host 213.157.196.130 80
ასეთი ტიპის ფაიერვოლის კონფიგურაციის დროს,
თითოეული სესიისთვის ჩამოსაყალიბებელია და დასაწერია 20 allow tcp any host 213.157.196.130 80
თავისი წესი. ამას მოაქვს დადებითი ეფექტი თუ 30 deny ip any any
ადმინისტრატორს არ უნდა ან მან არ იცის რაიმე სერვისის შესახებ
ან ახალი სერვისია გაშვებული ორგანიზაციის ქსელში. ეს სერვისი
უბრალოდ დაბლოკილი იქნება მანამ, სანამ ადმინისტრატორი მას პაკეტების სნიფერი
არ დაუშვებს ფაიერვოლში წესის დამატებით.
პაკეტების სნიფერი წარმოადგენს გამოყენებით პროგრამას,
ორგანიზაციისთვის, რომელიც არის უბრალოდ ინტერნეტის რომელიც იყენებს ქსელურ ადაპტერს, რომელიც მუშაობს
მომხმარებელი და შესაძლებელია აქვს საფოსტო ან ვებ სერვერი თვალთვალის რეჟიმში (Promiscuous mode - ამ რეჟიმში ადაპტერი
რეკომენდირებულია ფაიერვოლის ასეთი პრინციპით ყველა პაკეტს, მიღებული ფიზიკური არხის მიერ, უგზავნის
კონფიგურირება, თუ რა თქმა უნდა არ არის სხვა დამატებითი აპლიკაციას დამუშავებისათვის) ამ დროს სნიფერი იჭერს ყველა
მოთხოვნები, რომელთა გათვალისწინებით შეუძლებელია წესების ქსელურ პაკეტს, რომელიც გადაიცემა განსაზღვრულ დომეინში. ამ
ჩამოყალიბება. დროისთვის სნიფერები ქსელებში სავსებით კანონიერად მუშაობენ
ასეთი ტიპის ფაიერვოლის კონფიგურაციის მაგალითი: ქსელებში. ისინი გამოიყენება დიაგნოსტიკისათვის და ტრაფიკის
ანალიზისათვის, მაგრამ თუ მხედველობაში მივიღებთ იმას, რომ
ამოცანა მდგომარეობს იმაში, რომ დავუშვათ მომხმარებლები
ზოგიერთი ამლიკაცია გადასცემს მონაცემებს ტექსტურ ფორმაში
მხოლოდ 213.157.196.130 ვებ-სერვერზე ნებისმიერი
(Ftp, Telnet, SMTP, POP3 და სხვა) სნიფერის საშუალებით
მისამართიდან, გარდა ჰოსტისა 212.72.130.16 და ჰოსტებისა
შესაძლებელია გავიგოთ კონფიდენციალური ინფორმაცია (მაგ.
ქსელიდან 255.255.255.248.
მომხმარებლის სახელი და პაროლი).
ფაიერვოლის წესებს ექნება შემდეგი სახე:
სახელებისა და პაროლის დადგენა იძლევა დიდ
საშიშროებას, რადგანაც მომხმარებლები ხშირად იყენებენ ერთი

19 20
და იგივე სახელს და პაროლს მრავალი პროგრამისთვის, მრავალ რაც თქვენ იცით, ტიპიური მაგალითია ორფაქტორიანი
მომხმარებელს საერთოდ აქვს მხოლოდ ერთი სახელი და პაროლი. აუტენტიფიკაცისა წარმოადგენს ბანკომატი, რომელიც
თუ პროგრამა მუშაობს როგორც კლიენტ-სერვერი, ხოლო ამოგიცნობთ თქვენ, ჯერ ერთი თქვენი პლასტიკური ბარათით და
აუტენტიფიცირებული მონაცემები გადაეცემა ქსელის მეორე თქვენი პინ კოდით. აუტენტიფიკაციისათვის OTP-
საშუალებით და კითხვადი ტექსტური ფორმატით, მაშინ ეს სისტემაში აგრეთვე მოითხოვება პინ კოდი და თქვენი პირადი
ინფორმაცია დიდი ალბათობით შეიძლება გამოყენებულ იქნას ბარათი. ”ბარათი”(Token) ის ქვეშ იგულისხმება აპარატურულ ან
კორპორატიულ და გარე რესურსებზე წვდომისათვის (შეტევის პროგრამული საშუალება, რომელიც აგენირირებს
მეთოდები ხშირად ბაზირდება სოციალური ინჟინერიის უნიკალურ(შემთხვევითი შერჩევის პრინციპით) ერთმომენტიან,
საფუძველზე). მათ კარგად აქვთ წარმოდგენილი, რომ ჩვენ ერთჯერად პაროლს. თუ ჰაკერი გაიგებს მოცემულ პაროლს
ვიყენებთ ერთი და იგივე პაროლს მარვალი რესურსის სნიფერის საშუალებით, მისთვის ეს ინფორმაცია იქნება გამოუსა-
წვდომისათვის, ჩვენი პაროლის გაგებით, მას შეუძლია ჩვენი დეგარი, რადგანაც ეს პაროლი უკვე იქნება გამოყენებული და
რესურსის გამოყენება ყველაზე ცუდ ვარიანტში ის მიიღებს უვარგისი შემდგომი გამოყენებისთვის ავღნიშნოთ, რომ ეს
წვდომას სამომხმარებლო დონეზე და მისი სასუალებით შექმნის ხერხი სნიფინგის საწინააღმდეგოდ საბრძოლველად ეფექტურია
ახალ მომხმარებელს, რომლის საშუალებით მას შეეძლება მხოლოდ პაროლის დაჭერის შემთხვევაში, სნიფერი, რომელიც
ნებისმიერ მომენტში შემოვიდეს ქსელში და მის რესურსებში. დაჭერს სხცა ინფორმაციას (მაგ. ელ ფოსტის ინფორმაციას) არ
კარგავს თავის ეფექტურობას.
პაკეტების სნიფინგის საშიშროების დასაწევად
შესაძლებელია გამოვიყენოთ შემდეგი საშუალებები:

აუტენტიფიკაციის პროტოკოლი. აუტენტიფიკაცია ამოწმებს

კომუნიკაციის დროს პირის უტყუარობას. დაშორებული პროცესის
აუტენტიფიკაცია
უტყუარობის შემოწმება ითხოვს რთულ პროტოკოლებს,
აუტენტიფიკაციის ძლიერი საშუალებები წარმოადგენენ დამყარებულს კრიპტოგრაფიაზე.
მნიშვნელოვან ხერხს, პაკეტების სნიფინგის წინაღმდეგ. ”
აღსანიშნავია, რომ ხშირად ერთმანეთში ურევენ
ძლიერი” საშუალებების ქვეშ იგულისხმება ისეთი მეთოდები,
აუტენტიფიკაციას და ავტორიზაციას. აუტენტიფიკაცია
რომლისთვის გვერდის ავლა ძნელად შესაძლებელია.
დაკავებულია მოსაუბრის უტყუარობის შემოწმებით,
მაგალითად ისეთი აუტენტიფიკაციისა არის ერთჟერადი ავტორიზაციას კი საქმე აქვს ნებართვებთან. მაგალითად პროგრამა
პაროლები (One Time Passwords, OTP) OTP- ეს არის კლიენტი მიმართავს ფაილურ სერვერს და ეუბნება: "მე ვარ
აუტენტიფიკაციის ორფაქტორიანი ტექნოლოგია, რომლის პროცესი A და მინდა test.doc ფაილის წაშლა".
დროსაც ხდება გათვალისწინება იმისა რაც თქვენ გაქვთდა იმასა
21 22
 ფაილურმა სერვერმა უნდა გადაწყვიტოს: რადგან სიმეტრიული ალგორითმის მწარმოებლურობა
გაცილებით მაღალია გარდა ასიმეტრიული ალგორითმების.
1. არის თუ არა სინამდვილში ეს პროცესი A? (აუტენტიფიკაცია)
მიუხედავად ამისა, ასიმეტრიული ალგორითმები, ფართოდ
2. აქვს თუ არა A-ს test.doc ფაილის წაშლის უფლება? გამოიყენება აუტენტიფიკაციის პროტოკოლებში სეანსის
(ავტორიზაცია) გასაღების შესაქმნელად.
მხოლოდ იმის შემდეგ, რაც ორივე კითხვაზე იქნება სეანსის გასაღები იქმნება კავშირის ყოველ კონკრეტულ
არაორაზროვანი პასუხი გაცემული, შესაძლებელია სეანსზე და იძლევა საშუალებას უზრუნველვყოთ ინფორმაციის
განხორციელდეს მოთხოვნილი მოქმედება. მნიშვნელოვანი არის მეტი დაცვა. თუ ბოროტმოქმედმა დაიჭირა ერთ სეანსზე
პირველი კითხვა. მას შემდეგ, რაც სერვერმა იცის თუ ვის გადაცემული ინფორმაცია და მოახერხა მისი შიფრვის გასაჯების
ელაპარაკება, უფლების შესამოწმებლად საჭიროა მხოლოდ გამოთვლა, მას ეს გასაღები აღარ გამოადგება შემდეგ სეანსზე.
ცხრილების ლოკალურად შემოწმება.

ყველა აუტენტიფიკაციის პროტოკოლის მიერ გამოყენებული

აუტენტიფიკაცია დამყარებული საერთო საიდუმლო
საერთო სქემა შემდეგნაირია:
გასაღებზე. განვიხილოთ აუტენტიფიკაციის პროტოკოლი საერთო
მომხმარებელს (პროცესს) A-ს, სურს დაამყაროს დაცული საიდუმლო გასაღებით. A-ს და B-ს აქვთ საერთო საიდუმლო
კავშირი მეორე მომხმარებელთან, B-სთან. B ბანკირია და A-ს უნდა გასაღები KAB. ამ საიდუმლო გასაღების შეთანხმება შესაძლებელია
მასთან საქმიანი გარიგება. A იწყებს იმით, რომ უგზავნის B-ს პირადი შეხვედრისას, ან ტელეფონით, მაგრამ არა დაუცველი
შეტყობინებას, ან ნდობით აღჭურვილ გასაღებების ქსელის საშუალებით.
გამავრცელებელ ცენტრს (KDC – key distribution center). შემდეგ
ამ პროტოკოლს საფუძვლად უდევს პრინციპი,
მრავალი მიმართულებით აგზავნის კიდევ რამოდენიმე
გამოყენებული მრავალ აუტენტიფიკაციის პროტოკოლში: ერთი
შეტყობინებას. ამის შემდეგ ბოროტმიქმედმა შეიძლება დაიჭიროს,
მხარე უგზავნის მეორეს შემთხვევით რიცხვს, რომელსაც მეორე
შეცვალოს და ხელახლა შექმნას ეს შეტყობინება იმისათვის, რომ
მხარე გარდაქმნის განსაკუთრებული მეთოდით და აბრუნებს
მოატყუოს A და B ან უბრალოდ ჩაშალოს გარიგება.
რეზულტატს. ასეთ პროტოკოლებს ეწოდებათ პროტოკოლები
ასე თუ ისე, როდესაც პროტოკოლი ამთავრებს თავის ტიპისა "გამოძახება-პასუხი". ამ და შემდგომ აუტენტიფიკაციის
მუშაობას, A უნდა იყოს დარწმუნებული, რომ ელაპარაკება B-ს, პროტოკოლებში იქნება გამოყენებული შემდეგი პირობითი
ხოლო B — კი A-ს. ბევრ პროტოკოლში მოსაუბრეები ქმნიან აღნიშვნები:
სეანსის საიდუმლო გასაღებს, რომლითაც მომხმარებლები
Ri — პასუხი, სადაც ინდექსი აღნიშნავს მის გამგზავნს.
გაცვლიან შემდგომ ინფორმაციას. პრაქტიკაში მონაცემთა ყველა
გაცვლა იშიფრება სიმეტრიული ალგორითმის გამოყენებით,
23 24
 Ki — გასაღები, სადაც ინდექსი აღნიშნავს გასაღების
მფლობელს.
Ks –სეანსი გასაღები.
აუტენტიფიკაციის პროტოკოლის შეტყობინებების
თანმიმდევრობა ნაჩვენებია ნახ. 1-ზე. თავიდან A უგზავნის თავის
პირადობის მოწმობას B-ს იმ სახით, რომელიც გასაგებია B-სთვის.
B-მ რა თქმა უნდა არ იცის მოვიდა თუ არა ეს შეტყობინება A-სგან,
თუ ბოროტმოქმედისაგან. ამიტომ ის ირჩევს დიდ შემთხვევით
რიცხვს RB-ს და უგზავნის პასუხად A-ს.
ბოროტმოქმედს შეეძლო დაეჭირა პირველი შეტყობინება და
გამოეგზავნა უკან პასუხი RB. შესაძლებელია B საერთოდ არ
არსებობს.
შემდეგ პროტოკოლი მუშაობს სიმეტრიულად:
A აგზავნის RA-ს და B პასუხობს მას. უკვე ორივე მხარე
დარწმუნებულია, რომ ლაპარაკობენ ზუსტად ისინი, რადაც თავი
მოქონდათ. ამის შემდეგ მათ შეუძლიათ შექმნან სეანსის გასაღები
KS, რომელიც შეიძლება გადაუგზავნონ ერთმანეთს კოდირებული
იგივე საერთო KAB გასაღებით.

ამ პროტოკოლებში შეტყობინების რაოდენობა შეიძლება

შემცირდეს ნახ. 2-ზე მოცემული სქემის მიხედვით.

ეს პროტოკოლი წინაზე კარგია იმით, რომ ის უფრო მოკლეა.

მაგრამ ამ პროტოკოლით სარგებლობა არაა რეკომენდირებული.
ზოგიერთ შემთხვევაში ბოროტმოქმედმა შეიძლება
განახორციელოს თავდასხმა ამ პროტოკოლზე, რომელიც
ნახაზი 1
ცნობილია სახელით ”სარკისებური შეტევა”. კერძოდ,
შემდეგ A დახურული გასაღებით შიფრავს ამ შეტყობინებას ბოროტმოქმედს შეუძლია პროტოკოლის გატეხვა, თუ მას ეძლევა
და მიღებულ რეზულტატს KAB(RB)-ს უგზავნის B-ს. როდესაც B შესაძლებლობა B-სთან გახსნას რამოდენიმე სეანსი
მიიღებს ამ შეტყობინებას, ის იგებს, რომ ეს შეტყობინება მოვიდა ერთდროულად. რაც სრულებით შესაძლებელია, თუ B ბანკია და
A-სგან, რადგანაც ბოროტმოქმედს არ შეეძლო ქონოდა გასაღები რომლისთვისაც ნებადართულია ერთდროულად რამოდენიმე
KAB და ამიტომ არ შეეძლო შეექმნა ეს შეტყობინება. უფრო მეტიც, კავშირი ბანკომატთან.
პასუხი RB აირჩა შემთხვევით დიდი რიცხვების ჯგუფიდან (მაგ.
128 ბიტიანი შემთხვევითი რიცხვებიდან) და ნაკლებად
სავადუდოა, რომ ბოროტმოქმედმა შეძლო წინა სეანსებში პასუხის
ნახვა და ძველი პასუხის გამოყენება.

ამ მომენტისთვის B დარწმუნებულია, რომ ლაპარაკობს A-

სთან, მაგრამ A ჯერ კიდევ არ არის დარწმუნებული არაფერში.

25 26
 პირველი
სეანსი

მეორე
სეანსი
პირველი
სეანსი

ნახ. 2 ნახ. 3

სარკისებური შეტევის სქემა ნაჩვენებია ნახ.3-ზე. ის იწყება არსებობს სამი საერთო წესი, რომლის გამოყენებაც ხშირად
იმით, რომ ბოროტმოქმედს (T) თავი მოაქვს A-დ და უგზავნის სასარგებლოა:
პასუხს RT B-ს. B უბრუნებს პასუხის პასუხს RB. რის შემდეგ
თითქოს ბოროტმოქმედი უნდა აღმოჩნდეს ჩიხში. რა ქნას 1. სეანსის ინიციატორმა უნდა დაამოწმოს საკუთარი თავი
როდესაც არ იცის როგორ გამოითვალოს KAB(RB)? მოპასუხე მხარეზე ადრე. ამ შემთხვევაში ბოროტმოქმედი ვერ

ბოროტმოქმედს შეუძლია გახსნას მეორე სესია და გაუგზვნოს B-ს შეძლებს მიიღოს ღირებული ინფორმაცია მანამ, სანამ ის არ
პასუხად ისევ B-ს პასუხი RB, რომელიც მან აიღო B-სთან პირველი დაადასტურებს საკუთარ პიროვნებას.
სესიის გახსნისას. B მშვიდად შიფრავს მას და უგზავნის მას უკან 2. საჭიროა გამოვიყენოთ ორი გასაღები KAB და K'AB, ერთი
KAB(RB). ბოროტმოქმედს უკვე აქვს აუცილებელი ინფორმაცია, ინიციატორისთვის მეორე კი მოპასუხისათვის.
ამიტომ ის წყვეტს მეორე სესიას და ასრულებს პირველ სესიას.
3. ინიციატორმა და მოპასუხემ უნდა აირჩიოს პასუხები
B უკვე დარწმუნებულია, რომ ბოროტმოქმედი არის — A, ამიტომ
განსხვავებული არამკვეთი რიცხვების სიმრავლიდან. მაგალითად
ის ბოროტმოქმედს აძლევს A-ს საბანკო ანგარიშებზე წვდომას და
თუ ინიციატორი აირჩევს წყვილ რიცხვებს და მოპასუხე მხარე
ნებას რთავს გადარიცხოს თანხა მიმდინარე ანგარიშიდან
კენტ რიცხვებს.
ბოროტმოქმედის საიდუმლო ანგარიშზე ყოველგვარი
წინა მაგალითზე ყველა ეს პირობა იყო დარღვეული, რამაც
ყოყმანის გარეშე.
მიგვიყვანა უარყოფით შედეგებამდე.

ნიდჰემ-შროდერის აუტენტიფიკაციის პროტოკოლი

უფრო რთული აუტენტიფიკაციის მეთოდი გულისხმობს

მრავალ გამოძახება-პასუხის მრავალმხრივ გამოყენებას. კარგადაა

27 28
ცნობილი ნიდჰემ-შროდერის ასეთი პროტოკოლი. ნახ. 4-ზე ყოფილიყო მოპარული მესამე შეტყობინებიდან
მოცემულია მისი მუშაობის სქემა. ბოროტმოქმედების მიერ.

პროტოკოლის მუშაობა იწყება იმით, რომ A ატყობინებს

ნდობით აღჭურვილ გასაღებების გამავრცელებელ ცენტრს (KDC),
რომ მას უნდა საუბარი B-სთან. ეს შეტყობინება შეიცავს A-ს და B-ს
იდენტიფიკატორებს და დიდ შემთხვევით რიცხვს RA–ს.

KDC უგზავნის A-ს პასუხს, რომელიც დაშიფრულია KA

გასაღებით და შეიცავს A-ს გაგზავნი შემთხვევით რიცხვს RA და
სეანსის გასაღებს KS, რომელსაც უწოდებან აგრეთვე ბილეთს და
რომელიც მან შეუძლია გაუგზავნოს B-ს. მთავარი მიზანი
შემთხვევითი რიცხვის გაგზავნისა არის ის, რომ A-ს შეტყობინება
ახალია, ანუ მიმდინარე, და არა განმეორებული. გარდა ამის მეორე
შეტყობინებაში თავსდება B-ს იდენთიფიკატორი. აგრეთვე სეანსის
გასაღები და A-ს იდენტიფიკატორი დაშიფრული B-ს გასაღებით
KB(A, KS). თუ ბოროტმოქმედი შეცვლის B-ს იდენტიფიკატორს
საკუთარი იდენტიფიკატორით პირველ შეტყობინებაში, მაშინ
KDC ცენტრი დაშიფრავს ბილეთს მეორე შეტყობინების ბოლოში
გასაღებით KT, ნაცვლად გასაღებისა KB. ბილეთი დაშიფრული
გასაღებით KB თავსდება დაშიფრული შეტყობინების შიგნით
იმისათვის, რომ ბოროტმოქმედმა ვერ შეძლოს შეცვალოს ის სხვა
გასაღებით მანამ, სანამ მეორე შეტყობინება არ მიაღწევს A-მდე.
ამის შემდეგ მესამე შეტყობინებაში A უგზავნის ბილეთს
KB(A, KS) B-ს ახალ შემთხვევით რიცხვთან RA2-თან ერთად,
რომელიც დაშიფრულია სეანსის გასაღებით. მეოთხე
შეტყობინებაში B უგზავნის უკან A-ს KS(RA2–1), იმისათვის რომ A
დარწმუნდეს, რომ ის ელაპარაკება B-ს. უკან გადაგზავნა მხოლოდ
KS(RA2) არ შეიძლება, იმიტომ რომ ეს რიცხვი შესაძლებელია
29
ნახ. 4
მეოთხე შეტყობინების მიღების შემდეგ A რწმუნდება, რომ
ლაპარაკობს B-სთან, მაგრამ B ჯერ კიდევ არ არის დარწმუნებული,
რომ საუბრობს A-სთან. მეორე შემთხვევითი რიცხვის RA2
გაგზავნისა და KS(RA2-1) პასუხის მიღებას შორის გადის ძალიან
ცოტა დრო. მეხუთე შეტყობინების მიზანია B-ს დარწმუნება იმაში,
რომ საუბრობს A-სთან.
მიუხედავად ასეთი სოლიდური ალგორითმისა, მასაც აქვს
სუსტი წერტილი. თუ ბოროტმოქმედს მიეცა შესაძლებლობა
მიიღოს ძველი სეანსის გასაღები KS, მას შეუძლია ინიცირება
გაუკეთოს ახალ სეანს B-სთან, თავიდან წარმოქმნას მესამე
შეტყობინება კომპრომენტირებული სეანსის გასაღებით, და თავი
გაასაღოს A-დ. ამ შემთხვევაში ბოროტმოქმედს შეუძლია მოპაროს
თანხა A-ს.
კომუტირებადი ინფრასტრუქტურა
30
 კიდევ ერთი ხერხი სნიფინგთან საბრძოლველად არის თანმიმდევრობას). Cisco - ს კრიპტოგრაფია იყენებს ქსელურ
კომუტირებადი ინფრასტრუქტურის შექმნა. თუ მაგალითად დონეზე IPSec პროტოკოლს, რომელიც წარმოადგენს
მთელ ორგანიზაციაში გამოიყენება კომუტირებადი Ethernet -ი, სტანდარტულ მეთოდს, ქსელურ მოწყობიილობებს შორის
ჰაკერებს შეუძლიათ მიიღონ წვდომა მხოლოდ იმ ტრაფიკზე, დაცული კავშირის შესაქმნელად. სხვა კრიპტოგრაფიული პროტო-
რომელიც მოდის პორტიდან, რომელზეც თვითონ არიან კოლები, რომელსაც იყენებენ ქსელური მართვისათვის არის SSh
მიერთებული. კომუტირებად ინფრასტრუქტურა ვერ მოხსნის (Secure Shell) და SSL (Secure Socket Layer)
სნიფინგის პრობლემას, მაგრამ ის მნიშვნელოვნად ამცირებს მას.

კოდირების სისტემები.
ანტისნიფერები ინფორმაციის კრიპტოგრაფიული დაცვის მეთოდები
საინფორმაციო უსაფრთხოების საფუძველს წარმოადგენს.
მესამე გზა მასთან საბრძოლველად მდგომარეობს
კრიპტოგრაფიული მეთოდები დაფუძნებულია ინფორმაციის
აპარატურული ან პროგრამული საშუალებების დაყენებაში
კრიპტოგრაფიულ გარდაქმნებზე, რომლებიც ცვლიან საწყის
რომლებიც ამოიცნობენ სნიფერებს, რომლებიც მუშაობს ჩვენ ინფორმაციას ისე, რომ გამორიცხული იქნეს ამ ინფორმაციის არა-
ქსელში. ამ საშუალებებს არ შეუძლიათ საბოოლოოდ გაუკეთონ სანქცირებული წაკითხვა და მოდიფიკაცია.
ლიკვიდაცია საშიშროებას, მაგრამ, მრავალ სხვა საშუალებებთან არსებობს ინფორნმაციის შემდეგი სახის კრიპტოგრაფიული
ერთად ისინი ერთვებიან საერთო დაცვის სისტემაში. გარდაქმნები:
ანტისნიფერები ზომავენ ჰოსტების რეაგირების დროს და 1. დაშიფრვა - ღია გზავნილების კრიპტოგრაფიული
განსაზღვრავენ ხომ არ უხდებათ მათ ზედმეტი ტრაფიკის გარდაქმნა დახურულ გზავნილებად.
დამუშავება. 2. გაშიფრვა - დახურული გზავნილების კრიპტოგრაფიული
გარდაქმნა ღია გზავნილებად.
3. კრიპტოანალიზი - დახურული გზავნილიდან ღია
კრიპტოგრაფია გზავნილის მიღება იმ დროს, როცა უცნობია
ეს არის ყველაზე ეფექტური საშუალება სნიფინგის კრიპტოგრაფიული გარდაქმნა.
საწინააღმდეგოდ საბრძოლველად, თუმცა ის ვერ უზრუნველყოფს ღია გზავნილი შეიძლება იყოს ბიტების ნაკადის, ქსელური
ტრაფიკის დაჭერის აღკვეთას და ვერ ცნობს სნიფერის მუშაობას, ფრეიმის, ფაილის ან სხვა სახით წარმოდგენილი.
თუმცა მისთვის ამ მუშაობის შესრულება გამოუსადეგარია. თუ ჩვეულებრივ daშიფრვის და გაშიფრვის პროცესი წარმოებს
არხი კრიპტოგრაფიულად დაცულია მაშინ ჰაკერი იჭერს არა სპეციალური გასაღებების და კრიპტოგრაფიული ალგორითმების
შეტყობინებას არამედ დაშიფრულ ტექსტს (ე.ი ბიტების გაუგებარ გამოყენებით.

31 32
 კრიპტოგრაფიული გარდაქმნების დროს გამოიყენება
შეცვლის და გადასმის მეთოდები. ჩვეულებრივ კრიპტოგრაფიულ
ალგორითმებში ორივე გარდაქმნაა კომბინირებული.
შეცვლის გარდაქმნა გულისხმობს ერთი სიმბოლოს (ბიტური
კომბინაციის) შეცვლას სხვა სიმბოლოთი (ბიტური კომბინაციით).
მაგ., თუ ღია გზავნილია A1A2A3A4...AN, დახურული გზავნილი
შეიძლება იყოს B1B2B3B4...BN, ხოლო გადასმის Sემთხვევაში ვთქვათ
A3ANA4A1... A2.
შიფრვის ალგორითმები შემდეგნაირად კლასიფიცირდება:
1. სიმეტრიული
ა. ბლოკური
ბ. ნაკადური
2. ასიმეტრიული
სიმეტრიული ალგორითმები ხასიათდება შიფრვის და
გაშიფრვის ერთი გასაღებით, რომელიც საიდუმლოდ ინახება და
გადაიცემა ჩვეულებრივ უსაფრთხო კავშირის გამოყენებით.
ბლოკური შიფრვის ალგორითმები გარდაქმნებს გზავნილის
თითოეულ ბლოკზე ცალცალკე ახდენენ. ეს ალგორითმები
ძირითადად ცალკე აღებული მთლიანი გზავნილის, რომელიც
წარმოდგენილია მაგალითად ფაილის სახით, შიფრვის დროს
გამოიყენება. ნაკადური ალგორითმები გზავნილის თითოეულ
სიმბოლოს ცალკე შიფრავენ, მათი შიფრატორზე მოსვლისთანავე.
ასეთი ალგორითმები გამოიყენება მაგალითად
გასაიდუმლოებული სატელეფონო კავშირის დროს.
ასიმეტრიული ალგორითმები ხასიათდება ორი, ღია და
დახურული გასაღებით. პირველი მათგანი გამოიყენება შიფრვის,
ხოლო მეორე გაშიფრვის დროს. ეს ალგორითმები იძლევა
საშუალებას გადავცეთ ღია გასაღებები კავშირის ღია არხებით.
შვეულებრივ გასაღებების გენერაციას ახდენს მიმღები მხარე და
33
უგზავნის ღია გასაღებს გადამცემ მხარეს. ხოლო
დახურულგასაღებს ინახავს საიდუმლოდ.
სიმეტრიული შიფრვის ალგორითმები. არსებობს შემდეგი
სახის სიმეტრიული შიფრვის ალგორითმები:
1. მარტივი შეცვლის ანუ ელექტრონული კოდური წიგნის
ალგორითმი;
2. გამირების ალგორითმები.
მარტივი შეცვლის ანუ ელექტრონული კოდური წიგნის
ალგორითმი. ამ მეთოდით შიფრვის დროს ხდება ღია გზავნილის
თითო ბლოკის შეცვლა დახურული გზავნილის თითო ბლოკით.
თეორიულად შესაძლებელია ე.წ. კოდური წიგნის ანუ ყველა ღია
ბლოკის შესაბამისი დახურული ბლოკის ცხრილის შედგენა. თუ
ბლოკის სიგრძეა 1 ბაიტი (8 ბიტი), მაშინ ასეთი წიგნის ზომა
იქნება 28=256 ჩანაწერს.
დაშიფრვა შეიძლება აღვწეროთ ფორმულით:
Ci=F(Pi), i=1÷N -თვის
სადაც Ci და Pi შესაბამისად დაშიფრული და გაშიფრული
ტექსტის ბლოკებია, ხოლო F კრიპტოგრაფიული გარდაქმნა.
ეს მეთოდი ყველაზე ნაკლებად საიმედოა შიფრაციის სხვა
მეთოდებს შორის.
მარტივი კრიპტოსისტემები. კრიპტოგრაფიული მეთოდები
არის ყველაზე ეფექტური ინფორმაციის დაცვის საშუალება
ავტომატიზირებულ სისტემებში. კომპიუტერულ ქსელებსში
ინფორმაციის გადაცემის დროს ისინი არიან ერთადერთი
არასანქცირებული შეღწევის აღკვეთის საშუალება.
34
 ნებისმიერი კრიპტოგრაფული მეთოდი ხასიათდება ისეთი შიფრაცია შეცვლით. ყველაზე მარტივი შიფრაციის
ორი პარამეტრით როგორიც არის: მდგრადობა და სირთულე მეთოდი. დასაშიფრი ტექსტის სიმბოლოები იცვლებიან სხვა
ერთი ანბანიდან აღებული სიმბოლოებით (ერთანბანიანი
მეთოდის მდგრადობა არის დაშიფრული ტექსტის ის
შეცვლა) ან რამოდენიმე ანბანიდან (მრავალანბანიანი შეცვლა)
მოცულობა, რომლის სტატისტიკური ანალიზით შეიძლება
საწყისი ტექსტის გახსნა. ან სხვანაირად რომ ვთქვათ:
მდგრადობა განსაზღვრავს ინფორმაციის დაშვებულ
ერთანბანიანი შეცვლის მეთოდი - დასაშიფრი ტექსტის
მოცულობას, რომელიც შეიძლება დაშიფრული იყოს ერთი
სიმბოლოების შეცვლა ამავე, ან სხვა ანბანის სიმბოლოებით.
გასაღების გამოყენებით.
მაგალითი:
მეთოდის სირთულე განისაზღვრება ელემენტარული
ოპერაციების რაოდენობით, რომლებიც საჭიროა ერთი საწყისი ა ბ გ დ ე ვ ზ თ ი კ ლ მ ნ ო პ ჟ რ . .
ტექსტის სიმბოლოს შიფრაციისთვის.
ძირითადი მოთხოვნები ინფორმაციის დაშიფრვის ჰ მ ნ წ ჯ კ ლ ო ქ დ ა ბ ც ყ უ შ თ . .
ავტომატიზირებულ სისტემებში:
ერთანბანიანი მარტივი შეცვლის მეთოდის მდგრადობა
შიფრაციის მეთოდი და სირთულე უნდა იყოს ძალიან დაბალია, დაშიფრული ტექსტის სიმბოლოებს გააჩნია
ამორჩეული მონაცემების მოცულობის და საიდუმლეობის იგივე სტატისტიკური მახასიათებლები როგორც საწყის
შესაბამისად. ტექსტს, სიმბოლოების სტანდარტული შეხვედრის სიხშირის
შიფრაციის საიმედობა უნდა იყოს ისეთი, რომ ცოდნით იმ ენაში, რომელზეც დაწერილია შეტყობინება და
საიდუმლოება არ დაირღვეს იმ შემთხვევაშიც, როცა ცნობილია სიმბოლოების სტატისტიკური შეხვედრის სიხშირესთან
შიფრაციის მეთოდი. შედარებით დაშიფრულ ტექსტში, შეიძლება აღდგენილი იყოს
შიფრაციის ცხრილი. ამისათვის საკმარისია დაშიფრული
შიფრაციის მეთოდი, გამოყენებული გასაღებების კრებული ტექსტის საკმარისი მოცულობა, იმისათვის რომ მივიღოთ
და მათი განაწილების მექანიზმი არ უნდა იყოს ძალიან სიმბოლოების სიხშირის შეფასება.
რთული.
ამიტომ ერთანბანიანი მარტივი შეცვლის მეთოდს
შიფრაციის და დეშიფრაციის გარდაქმნის პროცედურები გამოიყენებენ იმ შემთხვევაში, როცა დასაშიფრი ტექსტი
არ უნდა იყოს დამოკიდებული დასაშიფრი ინფორმაციის პატარაა.
მოცულობაზე.
მეთოდის მდგრადობა უდრის 20-30, სირთულე
შიფრაციის პროცედურების მიერ შემოტანილი განისაზღვრება სიმბოლოს მოძებნით შეცვლის ცხრილში.
ზედმეტიანობა უნდა იყოს მინიმალური.

35 36
 მრავალანბანიანი შეცვლის მეთოდი - სიმბოლოების განვიხილოთ შიფრაცია ვიჯინერის ცხრილის მიხედვით -
შესაცვლელად გამოიყენება რამოდენიმე ანბანი, ანბანები კვადრატული მატრიცის n*2 ელემენტით, სადაც n,
ამოირჩევა გასაღები სიტყვის ასოების შესაბამისად ისე, რომ გამოყენებული ანბანის სიმბოლოების რაოდენობა. პირველ
სიტყვის ყოველი ასო შეესაბამება ანბანის პირველ ასოს, სტრიქონში არის საწყისი ანბანი, ყოველი შემდეგი მიიღება
ანბანების შეცვლა ხორციელდება თანმიმდევრობით და საწყისი ანბანის ერთი სიმბოლოების წანაცვლებით მარცხნივ
ციკლურად: პირველი სიმბოლო იცვლება შესაბამისი ერთი სიმბოლოთი.
სიმბოლოთი პირველი ანბანიდან, მეორე სიმბოლო -
შიფრაციისთვის აუცილებელია გასაღები სიტყვის
შესაბამისი სიმბოლოთი მეორე ანბანიდან და ასე შემდეგ, სანამ
განსაზღვრა – სიტყვა, რომელშიც ასოები არ მეორდება,
არ გამოილევა ყველა ანბანი.
შეცვლის ცხრილი მიიღება შემდეგნაირად: დასაშიფრი ტექსტის
სიმბოლოებს იღებენ პორველი სტრიქონიდან, ხოლო შეცვლის
სტრიქონებს ადგენენ იმ სტრიქონებისგან, რომლის პირველი
ასოები ემთხვევა გასაღები სიტყვის შესაბამის ასოს.
შიფრაციის და დეშიფრაციის დროს არ არის აუცილე-
ბელი წინასწარ შევინახოთ მეხსიერებაში მთელი ვიჯინერის
ცხრილი, იმიტომ რომ ციკლური ჩანაცვლებით შეგვიძლია
მივიღოთ ნებისმიერი სტრიქონი მისი ნომრის მიხედვით.
მეთოდის მდგრადობა უდრის მარტივი შეცვლის
მეთოდის მდგრადობას გამრავლებულს L-ზე , სადაც L არის
გასაღები სიტყვის სიგრძე.

შიფრაცია გადაადგილებით. გადაადგილების მეთოდით

შიფრაციის დროს დასაშიფრი ტექსტის სიმბოლოები
გადადგილდებიან გარკვეული წესების მიხედვით.

მარტივი გადაადგილების მეთოდი - ირჩევა შიფრაციის

ბლოკი, რომელიც შედგება n სვეტებისგან და m
სტრიქონებისგან და გასაღები რიცხვების თანმიმდევრობა,
რომელიც ამოირჩევა ნატურალური რიცხვებიდან შემთხვევითი
გადაადგილებით.
შიფრაცია ხდება შემდეგი თანმიმდევრობით:
37 38
 1. დასაშიფრი ტექსტი იწერება სტრიქონებად გასაღები ჩვეულებრივ იყენებენ ერთ გასაღებს და გამის გენერაციის ერთ
რიცხვების თანმიმდევრობის ქვეშ და წარმოქმნიან ალგორითმს.
დასაშიფრ ბლოკს n*m-ზე
დაშიფრვა შეიძლება აღვწეროთ შემდეგი ფორმულით:
2. დასაშიფრი ტექსტი ამოიწერება სვეტებად, სვეტების
მიხედვით, მზარდი გასაღები რიცხვების Ci= Pi⊕F(Yi), i=1÷N -თვის
თანმიმდევრობის მიხედვით.
სადაც Yi გამომუშავებული გამაა.
4 2 8 6 მაგალითისათვის შეგვიძლია მოვიყვანოთ შემდეგი სახის
გარდაქმნა:
ი ჩ ქ ა
C[i]=P[i] ⊕K[i mod len(K)]
რ ე თ
P[i]=C[i] ⊕K[i mod len(K)]
ნ ე l ა
K[n] - კოდური სიტყვის n-ური სიმბოლოა
მაგალითად: C[i] - დაშიფრული ტექსტის i-ური სიმბოლო
დასაშიფრია ტექსტი: იჩქარეთ ნელა P[i] - საწყისი ტექსტის i-ური სიმბოლოა
შიფრაციის შედეგად მივიღებთ: ჩეეირნა აქთლ len(K) - კოდური სიტყვის სიგრძეა
დეშიფრაცია ხდება შემდეგნაირად:
1. დაშიფრილი ტექსტიდან გამოიყოფა ბლოკი n*m-ზე; ალგორითმი DES. აშშ-ს სტანდარტების ეროვნული ბიუროს
2. ბლოკი იყობა n ჯგუფებზე, რომლებშიც არის m მიერ როგორც სახელმწიფო სტრუქტურებში ასევე კომერციულ
სიმბოლო; ორგანიზაციებში რეკომენდირებული შიფრვის ალგორითმია Data
Encryprion Standard (DES). ის შექმნილია 1977 წელს, თუმცა მისი
3. სტრიქონები ჩაიწერება შეცვლის ცხრილის შესაბამის
მოდიფიკაცია გრძელდება და იქმნება მის საფუძველზე უფრო
სვეტებში;
რთული და საიმედო ალგორითმები.
4. გაშიფრული ტექსტი იკითხება სტრიქონების მიხედვით.
DES ბლოკური შიფრირების ალგორითმია. მასში
გამოყენებულია როგორც შეცვლის, ასევე გადასმის მეთოდები.
ბლოკის სიგრძე 64 ბიტია, ხოლო გასაღების 56 ბიტი. პრაქტიკაში
გამირების ალგორითმები. გამირების ალგორითმებში
გასაღები 64 ბიტია, თუმცა აქედან 8 ბიტი საკონტროლო ჯამებია.
გამოიყენება სპეციალურად გენერირებული ბლოკების
ალგორითმი შემდეგნაირად სრულდება:
თანმიმდევრობა - გამა. გამის გენერაციისათვის ორივე მხარეს

39 40
 - ითვლება ბლოკის მარჯვენა ნახევარი
Ri+1= Ri⊕f(Li,Ki)

- ბლოკის მარცხენა ნახევარში იწერება მარჯვენა

ნახევარი Li+1=Ri

- ბოლოს ხდება თანრიგების ინვერსიული გადანაცვლება

შემდეგი თანმიმდევრობით:
40 8 48 16 56 24 64 32
39 7 47 15 55 23 63 31
38 6 46 14 54 22 62 30
37 5 45 13 53 21 61 29
36 4 44 12 52 20 60 28
35 3 43 11 51 19 59 27
34 2 42 10 50 18 58 26
33 1 41 9 49 17 57 25
f ფუნქციას ვითვლით შემდეგნაირად:

- თავიდან ხდება ბლოკის ბიტების არევა. ბიტები ლაგდება

შემდეგი თანმიმდევრობით: (ციფრები მიუთითებს ბლოკის
თანრიგის ნომერს)
58 50 42 34 26 18 10 2
60 52 44 36 28 20 12 4
62 54 46 38 30 22 14 6
64 56 48 40 32 24 16 8
57 49 41 33 25 17 9 1
59 51 43 35 27 19 11 3
61 53 45 37 29 21 13 5
63 55 47 39 31 23 15 7
- შემდეგ 16-ჯერ მეორდება:

- გასაღების გარდაქმნა

41 42
 ფუნქციის პირველი არგუმენტი ფართოვდება 32 14 4 13 1 2 15 11 8 3
თანრიგიდან 48 თანრიგამდე ზოგიერთი თანრიგის გამეორებით 10 6 12 5 9 0 7
0 15 7 4 14 2 13 1 10
შემდეგი სქემის მიხედვით:
6 12 11 9 5 3 8
32 1 2 3 4 5
4 1 14 8 13 6 2 11 15
4 5 6 7 8 9
12 9 7 3 10 5 0
8 9 10 11 12 13
15 12 8 2 4 9 1 7 5
12 13 14 15 16 17
11 3 14 10 0 6 13
16 17 18 19 20 21
20 21 22 23 24 25
24 25 26 27 28 29
28 29 30 31 32 1 S მატრიცების შემავალი 48 თანრიგი იყოფა რვა 6 თანრიგიან
სიტყვად. სიტყვის პირველი 2 თანრიგი განსაზღვრავს სტრიქონის
ნომერს, ხოლო დანარჩენი 4 თანრიგი მატრიცის სვეტის ნომერს.
შემდეგ ის იკრიბება მოდულით 2, 48 თანრიგიან გასაღებთან მატრიცის საშუალებით გარდაქმნის რეზულტატი სწორედ ამ
და გარდაიქმნება სპეციალური S მატრიცების გამოყენებით 32 უჯრედის მნიშვნელობაა.
თანრიგიან ბლოკად, რომლის თანრიგები კიდევ გადანაცვლდება
გასაღების გარდაქმნა, რომელიც f ფუნქციის შემავალ 48
შემდეგი სქემით:
თანრიგიან გასაღებს იძლევა შემდეგი სქემით ხორციელდება:
16 7 20 21
- 56 თანრიგიანი გასაღები საწყისი გადანაცვლების შემდეგ
29 12 28 17
1 15 23 26 იყოფა ორ 28 თანრიგიან სიტყვად. საწყისი გადანაცვლება
5 18 31 10 აღიწერება შემდეგი მატრიცით:
2 8 24 14 14 17 11 24 1 5
32 27 3 9 3 28 15 6 21 10
19 13 30 6 23 19 12 4 26 8
22 11 4 25 16 7 27 20 13 2
მიღებული 32 თანრიგიანი ბლოკი წარმოადგენს f ფუნქციის 41 52 31 37 47 55
მნიშვნელობას. 30 40 51 45 33 48
44 49 39 56 34 53
S მატრიცები წარმოადგენენ ცხრილებს 4 სტრიქონით და 16 46 42 50 36 29 32
სვეტით. მაგალითისათვის S(1) მატრიცას შემდეგი სახე აქვს:

43 44
 - თითოეულ რაუნდში (სულ სრულდება 16 რაუნდი) ორივე შიფრვის ალგორითმების გარეშე. ასიმეტრიული შიფრვის
რეგისტრი ციკლურად იძვრის მარცხნივ შემდეგი ალგორითმი დაკავშირებულია ე.წ. ცალმხრივი ფუნქციების
პრინციპით: თეორიასთან. ცალმხრივი ფუნცქციაა ისეთი ასახვა f(x):X→Y, x∈X,
რომლის შებრუნებული ასახვა რთულ ამოცანას წარმოადგენს.
• I, II, IX და XVI რაუნდებში ერთი თანრიგით;
ასიმეტრიული ალგორითმების გავრცელება გამოიწვია ორი
• დანარჩენ ღაუნდებში ორი თანრიგით.
გასაღების - ღია, დაშიფრვისთვის, და დახურული,
- ყოველ რაუნდში ორი 28 თანრიგიანი სიტყვის გაერთიანებით გაშიფრვისთვის, ქონის აუცილებლობამ. ღია, ანუ ისეთი გასაღების
მიღებული 56 თანრიგიან გასაღებს ემატება თითო თანრიგი შემოტანა, რომელიც პოტენციურად ყველასათვის ცნობილია,
ყოველი 7 თანრიგის საკონტროლო ჯამის (ჯამი მოდულით 2) საშუალებას გვაძლევს თავი ავარიდოდ საიდუმლო გასაღებების
სახით. გაცვლის რთულ ამოცანას.
- მიღებული 64 თანრიგიდან ხდება ამორჩევა 48 თანრიგის განვიხილოთ შიფრვის ასიმეტრიული ალგორითმის
შემდეგი ცხრილის მიხედვით (ცხრილის შესაბამისი სტანდარტი RSA.
ელემენტი მიუთითებს ამორჩეული თანრიგის ნომერს):
57 49 41 33 25 17 9
1 58 50 42 34 26 18 შიფრვის ასიმეტრიული ალგორითმის სტანდარტი RSA. RSA
10 2 59 51 43 35 27 წარმოადგენს შიფრვის ყველაზე გავრცელებულ ასიმეტრიულ
19 11 3 60 52 44 36 ალგორითმს. ის იყოფა ორ ნაწილად:
63 55 47 39 31 23 15
7 62 54 46 38 30 22 1. გასაღებების გენერაცია
14 6 61 53 45 37 29 2. საკუთრივ შიფრვა
21 13 5 28 20 12 4

გასაღებების გენერაცია. ვირჩევთ ორ ძალიან დიდ მარტივ

DES ალგორითმის გაშიფრვა ანალოგიურად ხდება.
რიცხვს p-ს და q-ს
განსხვავება მხოლოდ გასაღებების ამორჩევის თანმიმდევრობაა
რაუნდებში. 1. n=p*q; ϕ(n)=(p-1)*(q-1).

2. ვირჩევთ დიდ შემთხვევით რიცხვს d-ს ისეთს, რომ ის

იყოს ურთიერთ მარტივი ϕ(n)-თან (ანუ არ ჰქონდეს
შიფრვის ასიმეტრიული ალგორითმები. daშიფრვის
არცერთი მთელი საერთო გამყოფი გარდა 1-ისა)
მეთოდების განვითარება წარმოუდგენელია ასიმეტრიული
45 46
 3. ვსაზღვრავთ ისეთ მთელ რიცხვს e-ს, რომლისთვისაც გამოყენებით შიფრვის ასიმეტრიული ალგორითმით იშიფრება და
ჭეშმარიტია შემდეგი ტოლობა: (e*d) mod ϕ(n)=1 ღია მიიღება ელექტრონული ხელმოწერა, რომელიც ებმება
გასაღებია (e,n), ხოლო დახურული (d,n). დოკუმენტს და იგზავნება ღია არხით ადრესატთან.

ელექტრონული ხელმოწერა შემდეგი სქემით ხორციელდება:

საკუთრივ შიფრვა.
1. დასაშიფრი გზავნილი იყოფა ბლოკებად Mi ისე, რომ მისი
ზომა k აკმაყოფილებდეს შემდეგ პირობას 10k-1<n<10k

2. დაშიფრული გზავნილის შესაბამისი ბლოკის

მნიშვნელობაა:
Ci=Mie mod n

გზავნილის გაშიფრვისათვის ვიყენებთ დახურულ გასაღებს

(d,n) და ვითვლით გაშიფრული გზავნილის ბლოკის
მნიშვნელობას შემდეგი ფორმულით:

Mi=Cie mod n

ელექტრონული ხელმოწერა. ელექტრონული დოკუმენტების

სარწმუნოების დასაბუთების საშუალებას ელექტრონული
ხელმოწერა წარმოადგენს. ელექტრონული ხელმოწერის
რეალიზაცია ხორციელდება შიფრვის ასიმეტრიული
ალგორითმით, ოღონდ ამ შემთხვევაში ღიაა ის გასაღები,
რომლითაც ხდება გაშიფრვა, ხოლო დახურულია დაშიფრვის
გასაღები. იმისათვის, რომ ხელმოწერა მიბმული იყოს
დოკუმენტზე, გამოიყენება დოკუმენტის ჰეშ-კოდი.

ელექტრონული დოკუმენტიდა ჰეშ-ფუნქციის გამოყენებით

გენერირდება ჰეშ-კოდი, რომელიც საიდუმლო გასაღების

47 48
 ადრესატი გამოყოფს ელექტრონულ ხელმოწერას, ახდენს მის მიღებული m დოკუმენტის და (r,s) ხელმოწერის
გაშიფრვას ღია გასაღების გამოყენებით და ადარებს დოკუმენტის შემოწმებისათვის:
ჰეშ კოდს. თუ ისინი არ დაემთხვა, ე.ი. დოკუმენტი ან
1. ვამოწმებთ პირობას 0<r<q და 0<s<q, და თუ ერთი მათგანი
გაყალბებულია, ან შეცდომებით გადმოიცა კავშირის არხის
მაინც არ სრულდება ხელმოწერა ყალბია.
საშუალებით.
2. ვითვლით:
განვიხილოთ ელექტრონული ხელმოწერის სტანდარტი DSA.
w=s1-1 mod q; u1=(H(m)*w) mod q; u2=((r/w) mod q; v=((gu1yu2)
ელექტრონული ხელმოწერის სტანდარტი DSA mod p) mod q

გასაღებების გენერაცია. 3. მოწმდება ტოლობა v=r. თუ ტოლობა სრულდება

ელექტრონული ხელმოწერა მისაღებია.
1. ვირჩევთ მარტივ რიცხვს q-ს, ისეთს, რომ 2159<q<2160
მოცემულ ალგორითმში რეკომენდირებულია p-ს სიგრძე არა
2. ვირჩევთ t-ს ისეთს, რომ 0≤t≤8, და ვირჩევთ მარტივ რიცხვს
ნაკლებ 768 ბიტი. მაქსიმალური საიმედოობისათვის სასურველია
p-ს, ისეთს, რომ 2511+64t<p<2512+64t, თან q უნდა ყოფდეს (p-1)-ს
1024 ბიტის გამოყენება.
3. ვითვლით g=hp-1/q mod p, სადაც h ნებისმიერი მთელი
რიცხვია ისე, რომ 0<h<p და რომელიც აკმაყოფილებს
პირობას hp-1/q mod p>1 IP სპუფინგი
საიდუმლო გასაღები x ირჩევა შუალედიდან [1,q], ხოლო ღია
IP სპუფინგი ხდება იმ შემთხვევაში, როდესაც ჰაკერი
გასაღები y=gx mod p.
იმყოფება კორპორაციის შიგნით, ან მის გარეთ და მოაქვს თავი,
ყველა მომხმარებლისათვის ქვეყნდება p, q, g და y. როგორც სანქცირებულ მომხმარებელს. ეს შესაძლებელია
გაკეთდეს ორი გზით: ჰკაერმა შეიძლება ისარგებლოს ან IP
ელექტრონული ხელმოწერის გენერირება ხდება
მისამართით, რომელიც იმყოფება სანქცირებული IP
შემდეგნაირად:
მისამართების დიაპაზონში, ან ავტორიზებული გარე
1. ვითვლით დოკუმენტის ჰეშ-კოდს h=H(m) მისამართებით, რომლისთვისაც დასაშვებია წვდომა
2. შუალედიდან [1, q] შემთხვევით ვირჩევთ k-ს და ვითვლით განსაზღვრულ ქსელურ რესურსებზე. შეტევები - IP სპუფინგის
r=(gk mod p) mod q გზით, ხშირად წარმოადგენს საწყის წერტილს სხვა მსგავსი
შეტევებისთვის. კლასიკური მაგალითი - შეტევა DoS, რომელიც
3. ვითვლით s=(k-1(h+x*r)) mod q, სადაც ელექტრონულ
იწყება უცხო მისამართიდან, რომელშიც ჰაკერი მალავს თავის
ხელმოწერას წარმოადგენს r და s.
ჭეშმარიტ ზრახვებს.

49 50
 როგორც წესი, IP სპუფინგი შემოისაზღვრება მცდარი ზოგიერთი გარე მისამართიც, მაშინ მოცემული მეთოდი
ინფორმაციის ან საზიანო ბრძანებების ჩასმით მონაცემთა არაეფექტურია
ნაკადში, რომელიც გადაცემა კლიენტსა და სერვერს შორის ან
ერთრანგიან მოწყობილობებს შორის ქსელში. ორმხრივი კავშირის
უზრუნველყოფისათვის ჰაკერმა უნდა შეცვალოს მარშუტიზაციის ფილტრაცია RFC 2827. თქვენ შეგიძლიათ აგკრძალოთ უცხო
ყველა ცხრილი, რომ ტრაფიკი მიმართოს მცდარი IP ქსელების სპუფინგის მცდელობები თქვენი
მისამართისკენ. ზოგიერთი ჰაკერი საერთოდაც არ ცდილობს მომხმარებლებისათვის.
მიიღოს პროგრამისგან პასუხი - თუ მისი მთავარი მიზანია ამისათვის აუცილებელია ნებისმიერი გამავალი ტრაფიკი
სისტემისგან მნიშვნელოვანი ფაილის მიღება, მაშინ დაბრაკოთ, რომლის საწყისი მისამართი არ არის ორგანიზაციის
პროგრამისთვის პასუხებს არანაირი მნიშვნელობა არა აქვთ. მისამართებიდან რომელიმე ერთი. ამ ტიპის ფილტრაცია
თუ ჰაკერს შეუძლია შეცვალოს მარშუტიზაციის ცხრილი და ცნობილია RFC 2827. სახელით. აღნიშნულის გაკეთება შეუძლია
ტრაფიკი მიმართოს მცდარი IP მისამართისკენ, შესაბამისად ის თქვენ პროვაიდერსაც.
მიიღებს ყველა პაკეტს, ამ შემთხვევაში მას შეუძლია პასუხი შედარებით ეფექტური მეთოდი IP სპუფინგთან
გასცეს, თითქოს ის არის სანქცირებული მომხმარებელი. საბრძოლველად - იგივეა რაც, პაკეტების სნიფინგის შემთხვევაში.
სპუფინგის საფრთხე შეიძლება შევამციროთ(მაგრამ არა აუცილებელია რომ შეტევა გავხადოთ არაეფექტური. IP სპუფინგი
აღნოფხვრათ) ქვემოთ ჩამოთვლილი ზომებით: შესაძლებელია ფუნქციონირებდეს მხოლოდ იმ პირობებში,
როდესაც აუტენტიფიკაცია მიმდინარეობს IP მისამართების
ბაზაზე. ამიტომ დამატებითი აუტენტიფიკაციის დანერგვის
წვდომის კონტროლი. ყველაზე მარტივი გზა IP სპუფინგის შემთხვევაში, მსგავსი შეტევები გახდება უსარგებლო.
აღკვეთისა დევს წვდომის კონტროლის სწორ განსაზღვრაში. დამატებითი აუტენტიფიკაციის კარგი სახეა კროპტოგრაფიული.

რომ შევამციროთ IP სპუფინგის ექექტურობა საჭიროა

სწორად დავაყენოთ წვდომის კონტროლი,რომელიც მდგომარეობს
მომსახურებაზე უარი
ნებისმიერი ტრაფიკის ბლოკირებაში, რომელიც მოედინება
გარედან, მაგრამ მისი გამომგზავნის მისამართი უნდა Denial of Service (DoS), არის ყველაზე ცნობილი ჰაკერული
იმყოფებოდეს ქსელის შიგნით. მართალია ეს გვეხმარება IP თავდასხმის ფორმა. გარდა ამისა მსგავსი ტიპის შეტევის
სპუფინგთან საბრძოლველად, როდესაც სანქცირებულია საწინააღმდეგოდ ყველაზე ძნელია 100% -ანი დაცვა. ჰკერებს
მხოლოდ შიდა მისამართები; თუ სანქცირებულს წარმოადგენს შორის DoS -ის ტიპის თავდასხმები ითვლება როგორც ბავშვური
გასართობი, და იწვევს მათში ღიმილს, რადგანაც მისი

51 52
ორგანიზაციისთვის საჭიროა მინიმალური ცოდნა და ჭკუა. ქსელის მწარმოებლურობა დაყავს ნულზე, მისი არარეალური და
მიუხედავად ამისა სწორედ მისი მარტივად რეალიზაციის გამო უსარგებლო პაკეტების გადავსებით ან მცდარი ინფორმაციით
მათ მოაქვთ უდიდსი ზიანი, ამიტომ ადმინისტრატორები მას ქსელიში რეალურად არსებულ მდგომარეობაზე. მსგავსი ტიპის
უდიდეს ყურადღებას უთმობენ. ქვმოთ ჩამოთვლილია თავდასხმების აღკვეთა ძნელია და მოითხოვს პროვაიდერთან
რამოდენიმე მათგანი: კოორდინირებულ მუშაობას. თუ პროვაიდერთან არ გავაჩერებთ
ტრაფიკს გამიზნულს თქვენი ქსელის გადასავსებად, მაშინ ამის
TCP SYN Flood;
გაკეთებას თქვენ ვერ შეძლებთ, რადგამც ქსელის შემომავალი
Ping of Death; არხი უკვე იქნება გადავსებული. თუ მსგავსი შეტევა
Trinco; და სხვა ხორციელდება მრავალი მხრიდან, მაშინ საქმე გვავს
განაწილებულ შეტევასთან, (Distributed DoS) DDoS
DoS შეტევა განსხვავდება სხვა შეტევებისგან. ისნი არ არიან
გამიზნული თქვენ ქსელში შესაღწევად, ან კიდევ თქვენ ქსელიდან DoS -ის ტიპის შეტევის საფრთხე შესაძლებელია დაწეულ
რაიმე ინფორმაციის მისაღებად, მაგრამ DoS შეტევა გახდის თქვენ იქნას სამი გზით:
ქსელს გამუსადეგარს სხავა ნორმალური მომხმარებლებისათვის. ანტისპუფინგური ფუნქციები. სწორმა ანტისპუფინგური
მას შეუძლია ამის მიღწევა ან ქსელის, ან ოპერაციული ფუნქციის კონფიგურირებამ თქვენს მარშუტიზატორებში და
სისტემის, ან აპლიკაციის გამოყენების იმ დონემდე გაზრდამდე, ქსელთაშორის ეკრანებში შეიძლება შეამციროს DoS -ის შეტევის
რომელიც ზღუდავს ან აჩერებს მის ფუნქციონირებას. ზოგიერთი რისკი. ეს ფუნქციები როგორც მინიმუმ უნდა შეიცავდნენ RFC
სერვერული პროგრამების გამოყენების შემთხვევაში(მაგ ვებ და 2827 ფილტრაციას. თუ ჰაკერს არ შეეძლება მასკირება გაუკეთოს
ფტპ სერვერები) მის ნამდვილ სახეს, მას ძნელად თუ შეეძლება შეტევის
განხორციელება.
DoS შეტევები გამოიხატება იმაში, რომ მან უნდა დაიკავოს
ყველა კავშირი, ნებადართული ამ პროგრამების მიერ და დაიკავოს ანტი- DoS ფუნქციები. ანტი- DoS ფუნქციების სწორ
ისინი მუშა მდგომარეობაში, ამით ის არ უშვებს სხვა ჩვეულებრივ კონფიგურირებას მარშუტიზატორებსა და ქსელთაშორის
მომხმარებელს ამ სერვისამდე. DoS შეტევის დროს გამოიყენება ეკრანებში შეუძლია შეზღუდოს შეტევის ეფექტურობა. ეს
ჩვეულებრივი ინტერნეტ პროტოკოლები, როგორიც არის TCP და ფუნქციები ხშირად ზღუდავენ მიღებული პაკეტების რაოდენობას,
ICMP ნებისმიერ მომენტში.

უმრავლესი DoS შეტევები გათვლილია პროგრამულ ტრაფიკის შეზღუდვა (Traffic rate limiting). ორგანიზაციას
შეცდომებზე და სისტემის უსაფრთხოების ნაკლოვანებებზე და არა შეუძლია სთხოვოს პროვაიდერს შეზღუდოს ტრაფიკის
სისტემის არქიტექტურის საერთო სისუსტეზე. ზოგიერთ შეტევას მოცულობა.ამ ტიპის ფილტრაცია შესაძლებლობას გვაძლევს

53 54
შევზღუდოთ არაკრიტიკული ტრაფიკის მოცულობა, რომელიც ჰაკერი, რომელმაც გაიგო პაროლი ამ ჰოსტის გზით, მიიღებს
გადის თქვენ ორგანიზაციაში. ტიპიურ მაგალითს წარმოადგენს წვდომას ყველა დანარჩენ რესურსთან, სადაც გამოიყენება მსგავსი
ICMP ტრაფიკის მოცულობის შეზღუდვა, რომელიც გამოიყენება პაროლი.
მხოლოდ დიაგნისტიკისათვის. DoS -ის შეტევები ხშირად იყენებენ
პაროლური შეტევის ტავიდან აცილება შესაძლებელია თუ არ
სწორედ ICMP-ს პაკეტებს.
გამოვიყენებთ ტექსტური ფორმის პაროლებს. ერთჯერადი
პაროლები და კრიპტოგრაფიული აუტენტიფიკაცია მინიმუმამდე
ამცირებს მსგავს შეტევებს, მაგრამ ბევრ სისტემასა და ჰოსტებს არა
პაროლური შეტევა აქვთ ამის მხარდაჭერა.
ჰაკერებს შეუძლიათ განახორციელონ პაროლური შეტევა პაროლების გამოყენებისას ეცადეთ მოიფიქროთ ისეთი,
მთელი რიგი მეთოდების გამოყენებით, ისეთი როგორიც არის რომელიც რთული იქნება შესარჩევად. მინიმალურ პაროლის
მარტივი გადარჩევა (brute force attack), ტროას ცხენი, IP სპუფინგი სიგრძე არ უნდა იყოს 8 -ზე ნაკლები. პაროლები უნდა შეიცაცდნენ
და პაკეტების სნიფინგი, თუმცა მოხმარებლისა და პაროლის სიმბოლოების მაღალ და დაბალ რეგისტრებს, ციფრებს, სპეც
მიღება შეაძლებელია IP სპუფინგისა და პაკეტების სნიფინგის ნიშნებს. კარგი პაროლები რთული შესარჩევი და
გამოყენებით ჰაკერები იშვიათად ცდილობენ შეარჩიონ პაროლი დასამახსოვრებელია, რაც აიძულებს მომხმარებლებს ჩაიწეროს
და სახელი და მისთვის მრავალრიცხოვანი შერჩევის მცდელობით. ისინი ფურცლებზე. ეს რომ არ მოხდეს არის მომხმარებლებს და
ხშირად მსგავსი შეტევისათვის გამოიყენება სპეციალური ადმინისტრატორებს შეუძლიათ გამოიყენინ ტექნოლოგიური
პროგრამები, რომელიც ცდილობს მიიღოს საერთო მოხმარების სიახლეები, მაგ არსებობს გამოყენებითი პროგრამები რომლებიც
რესურსზე წვდომა(მაგ სერვერზე). თუ შედეგად ჰაკერს გაუჩნდება შიფრავს პაროლების სიას, და რომელიც შეიძლება შევინახოთ
წვდომა რესურსებზე, მაშინ ის მიიღებს ამას, როგორც ჯიბეში. საბოლოოდ მომხმარებელს უწევს ერთი რთული
ჩვეულებრივი მომხმარებელი. თუ ამ მომხმარებელს აქვს პაროლის დამახსოვრება, რამდენადაც დაბარჩენი პაროლები
მნიშვნელოვანი წვდომის პრივილეგია ჰაკერმა შეიძლება შექმნას საიმედოდ იქნება შენახული პროგრამის მიერ.
თავისთვის ”გასასვლელი” მომავალში წვდომისათვის, რომელიც
იმუშავებს თუნდაც მისი პაროლის ან სახელის შეცვლის შემდეგაც
Man-in-the-Middle შეტევა
კიდევ ერთი პრობლემა წარმოიქმნება, როდესაც
მომხმარებლები იყენებენ ერთი და იგივე (თუნდაც ძალიან კარგს) Man-in-the-Middle შეტევისთვის ჰაკერს სჭირდება
პაროლს სხვადასხვა სისტემებთან წვდომისას: კორპორაციულ, პაკეტებთან წვდომა რომელიც გადაიცემა ქსელით. მსგავსი
პერსონალურ, და ინტერნეტ სისტემებთან. რამდენადაც პაროლის წვდომა ყველა პაკეტთან გადაცემული პროვაიდერის მიერ
სიმდგრადე ტოლია ყველაზე სუსტი ჰოსტის სიმდგრადესთან, თუ ნებისმიერ სხვა ქსელში, შესაძლებელია, მაგ მიიღოს პროვაიდერის
55 56
თანამშრომელმა. მსგავსი შეტევისათვის ხშირად იყენებენ პორტების გადამისამართება
პაკეტების სნიფერებს, სატრანსპორტო პროტოკოლებს და
პორტების გადამისამართება თავისთავად წარმოადგენს
მარშუტიზაციის პროტოკოლებს. შეტევა ხორციელდება: 1)
ბოროტმოქმედულ დივერსიას, როდესაც გატეხილი ჰოსტი
ინფორმაციის მოპარვის მიზნით, 2)მიმდინარე სესის დასაჭერად
გამოიყენება ქსელთაშორისი ეკრანის გავლით ტრაფიკის
და ცალკეულ ქსელურ რესურსებთან წვდომისათვის, 3) ტრაფიკის
გადაცემისთვის, რომელიც სხვა შემთხვევაში აირეკლებოდა
ანალიზისათვის, რომ მიიღოს ინფორმაცია ქსელზე და იქ
ბრანდმაუერის მიერ.
არსებულ მომხმარებლებზე 4) DoS შეტევისათვის, 5) ტრაფიკის
არეკვლისათვის რომ გამოვლინდეს არასანქცირებული
ინფორმაცია ქსელურ სესიაში. ვირუსები და ”ტროას ცხენი”-ს სახელით ცნობილი
Man-in-the-Middle შეტევის წინააღმდეგ ეფექტურად პროგრამები
საბრძოლველად შესაზლებელია მხოლოდ კრიპტოგრაფიის
სამუშაო სადგურები საბოლოო მომხმარებლებით, ნოყიერი
გამოყენება. თუ ჰაკერი დაიჭერს ინფორმაციას დაშიფრული
ადგილია ვირუსებისა და ტროას ცხენების გავრცელებისათვის.
სესიით, მას ეკრანზე გამოუვა არა დაჭერილი ინფორმაცია არამედ
უაზრო სიმბოლოების თანმიმდევრობა. აღსანიშნავია, რომ თუ მათთან საბრძოლველად ეფექტურია ანტივირუსული
ჰაკერი მიიღებს ინფორმაციას კრიპტოგრაფიულ სესიაზე (მაგ. პროგრამები, რომლებიც მუშაობენ სამომხმარებლო დონეზე და
სესიის გასაღები), მაშინ მას შეუძლია განახორციელოს Man-in-the- შესაძლებელია აგრეთვე ქსელურ დონეზეც. ანტივირუსული
Middle შეტევა დაშიფრულ გარემოშიც კი. პროგრამები აღმოაჩენენ ვირუსებს და ტროას ცხენებს და
აფერხებენ მათ გავრცელებას. ვირუსებზე ახალი ინფორმაციის
მიღება ეფექტურს ხდის მათ მუშაობას. ამიტომ საჭიროა მათი
შეტევები გამოყენებით დონეზე განახლება მუდმივად.

შეტევები გამოყენებით დონეზე ხორციელდება სხვადასხვა

გზით. ყველაზე გავრცელებული მათ შორის არის- სერვერული
თავდასხმის სუბიექტები
პროგრამული უზრუნველყოფის კარგად ცნობილი
ნაკლოვანებების გამოყენება (Sendmail, Ftp, FTTP). ამ ნაკლოვანების იმის და მიხედვით თუ რა არის თავდასხმის სუბიექტი ის
გამოყენებით ჰაკერებს შეუძლიათ მიიღონ წვდომა კომპიუტერზე, შეიძლება დაიყოს ხუთ კლასად:
იმ მომხმარებლის სახელით, რომელიც მუშაობს ამ პროგრამასთან o აპარატურული საშუალებები - სამუშაო მანქანები,
სერვერები, დისკური მოწყობილობები, პრინტერები,
ქსელური კაბელები, აგრეთვე ქსელთაშორისი
57 58
 მოწყობილობები, როგორიც არის მარშუტიზატორები, ორგანიზება, თავის საქმის გაკეთება და მიმალვა. სეფის ნაკლი
კომუტატორები, ხიდები. შენობაში, რომელიც კარგად დაცულია ნაკლებად არსებითია,
ვიდრე ანალოგიური ნაკლი ბანკის ქუჩის სეიფზე.
o პროგრამული უზრუნველყოფა. ნებისმიერი პროგრამული
უზრუნველყოფა, რომელიც მუშაობს ქსელში, წარმოადგენს ისევეა ციფრულ სამყაროშიც. პოტენციალური
პოტენციურ ”კარიბჭეს” თავდამსხმელისათვის. რომლებიც ბოროტმოქმედისთვის არ არის საკმარისი იპოვოს ნაკლი
შეიძლება იყოს შეძენილი ან შექმნილი ორგანიზაციის შიფრაციის ალგორითმში, რომელიც გამოიყენება საკრედიტო
თანამშრომლების მიერ. ბარათებში. მან უნდა შეძლოს კავშირი, მას უნდა ქონდეს
საკმარისი ცოდნა პროტოკოლებზე, იმისატვის რომა მან
o ინფორმაცია. ერთერთ ყველაზე ღირებულს, რა თქმა უნდა
შექმნას გაყალბებული შეტყობინება, რომელიც მას მისცემს
წარმოადგენს მონაცემები, რომელიც იქმნება და გადაიცემა
საშუალებას მოიპაროს ფული და დროზე დატოვოს ის
ქსელში
ადგილი. ამიტომ არსებობ უამრავი საშუალება ამ ხვრელების
o ადამიანები. ”რისკ ჯგუფებში” შედიან ის მომხმარებლები, ამოსავსებად.
რომლებთაც აქვთ ქსელში წვდომა, აგრეთვე მათზე
რელურ სამყაროში არსებობს უამრავი სუსტი წერტილები
მიერთებული მოწყობილობები
და უამრავი გზა იმისათვის რომ განხორციელდეს თავდასხმა.
o დოკუმენტები. ჰაკერებისთვის ეს განსაკუთრებით თუ ტერორისტს უნდა თვითმფრინავის აფეთქება, მას შეუძლია
მნიშვნელოვამნია. ზოგჯერ მომხმარებლები პაროლებს აიტანოს ბორტზე ბომბი, ან ესროლოს რაკეტა, ან კიდევ ხელში
იწერენ ბლოკნოტებში, აგრეთვე ზოგჯერ იბეჭდება ჩაიგდოს თვითმფრინავი და შეანარცხოს უახლოეს მთას.
კონფიდენციალური ინფორმაცია, რომელიც შეიძლება ჰაკერი რომელიც ცდილობს შეაღწიოს კორპორაციულ ქსელში
მოხვდეს სანაგვე ყუთში. ამიტომ მსგავსი დოკუმენტები ან შეუძლია შეუტიოს ბრანდმაუერს, ვებ სერვერს, გამოიყენოს
უნდა დაიჭრას წვრილად, ან რაიმე მოწყობილობით გახდეს მოდემური კავშირი და სხვა.
წაუკითხავი და შემდეგ გადაიყაროს
სისტემები რომლებიც მუშაობენ რეალურ სამყაროში აქვთ
უამრავი სხვადასხვა საშუალება წინ აღუდგნენ თავდასხმებს.
ხარვეზები და მათი ლანდშაფტი ავიახაზის მოწყობილობა შეიცავს მეტალის დეტექტორებს,
ქიმიურ ანალიზატორებს და რენტგენულ აპარატებს, რომელბიც
შეტევის განხორციელებისატვის უფრო მეტია საჭირო
იძლევა შესაძლებლობას აღმოაჩინონ ბომბი, სიტემები
ვიდრე ხარვეზიანი ადგილის პოვნა სისტემაში. შეიძლება
რომლებიც ეძებენ ”უპატრონო” ნივთებს. ასე რომ
დავადგინოთ, რომ თავდამსხმელი წარმატებით გამოიყენებს
შესაძლებელია ვიყოთ დარწმუნებული რომ უპატრონო პაკეტი
სუსტ ადგილს თუ მან შეძლო მიზნის დადგენა, თავდასხმის
არ აფრინდება თვითმფრინავთან ერთად, იმ დროს როდესაც
59 60
მისი პატრონი დარჩა მიწაზე. (ეს წინააღმდეგობის სისტემა ინფორმაციის მოპოვება საკმაოდ ადვილია. არსებობს უამრავი
ვარაუდობს, რომ ნაკლები ტერორისტები მოინდომებს ტექნიკა, რომელიც თავდამსხმელმა შეიძლება გამოიყენოს. მაგ
თვითმფრინავთან ერთად აფეთქდეს, ხოლო უმრავლესი იმისთვის თუ როგორ მუშაობს ქსელი, რომელშიც იმყოფება
ტერორისტები ამჯობინებს მიწაზე სეირნობას როდესაც მისი მიზანი: სმეციალური პროგრამების საშუალებით
თვითმფრინავი აფეტქდება) მოპოვებული ინფორმაციის შესწავლა, რომელიც გამოიყენება
ადრესატის წვდომის შესამოწმებლად, აგრეთვე პორტების მდგომა-
რეობის დასადგენად და სხვა. ასევე თავდამსხმელი იკვლევს
შეტევის მეთოდოლოგია კონკრეტულ აპარატურულ და პროგრამულ უზრუნველყოფას, მის
მუშაობის პრინციპებს და მათ მიერ მხარდაჭერილ სერვისებს,
საერთოდ წარმატებული შეტევა შეიძლება დავყოთ ხუთ
რომელიც მუშაობს სამიზნე ქსელში.
თანმიმდევრულ ნაბიჯად:
მეორე ნაბიჯი - ეს არის ნაკლოვანი ადგილის პოვნა. ამ
1. მიზნის გამოკვეთა, რომელიც უნდა დაექვემდებაროს
მომენტში თავდამსხმელი ყურადღებით სწავლობს ყველა მის
თავდასხმას და ინფორმაციის შეგროვება მის შესახებ;
ხელთ არსებულ ინფორმაციას, იმისათვის რომ აირჩიოს
2. მიღებული ინფორმაციის ანალიზი და ხარვეზიანი თავსდასხმის წერტილი.
ადგილის პოვნა, რომელიც მოგვცემს საშუალებას
მოსალოდნელია რომ ერთერთ კომპიუტერზე ეყენება
მივაღწიოტ ობიექტამდე, რომელზეც არის მიმართული
განსაზღვრული ვერსია ოპერაციული სისტემისა, ან Windows NT
შეტევა;
an Solaris და სხვა. რომლებიც შეიცავენ ცნობილ შეცდომებს.
3. მიზნის წვდომისთვის აუცილებელი ნებართვის მიღება; შესაძლებელია თავდამსხმელს ეძლევა შესაძლებლობა FTP ან
4. მიზანზე თავდასხმის განხორციელება; რომელიმე სარეგისტრაციო სახელის გამოყენებისა, ან კიდევ
სხვა რამის. არ არის გამორიცხული რომ თავდამსხმელს
5. თავდასხმის დასრულება,რომელიც შეიძლება მოიცავდეს
შესაძლებლობა ქონდეს გამოიყენოს ობიექტის სატელეფონო
ყველა კვალის გაქრობას და დროზე მიმალვას.
ქსელი, რომლისთვისაც მიმართულია შეტევა. რაც უფრო მეტი
ე.ი სხვა სიტყვებით რომ ვთქვათ, საჭიროა განისაზღვროს სისტემის ნაკლოვანი მხარეებია ცნობილი თავდამსხმელისთვის
რას შეუტიოთ, როგორ შეუტიოთ, როგორ შევაღწიოთ შიგნით, მით უფრო კარგად შეძლებს ის თავდამსხმის ორგანიზებას
როგორ განვახორციელოთ შეტევა და როგორ გავიქცეთ დროზე.
მესამე ნაბიჯი - რაღაცნაირი კავშირის დამყარება.
პირველი ნაბიჯზე ხდება მიზნის შერჩევა და ინფორმაციის
ინტერნეტში ეს ტრივიალურია, იმიტომ რომ ნებისმიერი
შეკრება. ზემოთაღნიშნულის გაკეთება არც ასე რთულია. თუ
კომპიუტერი ჩართულია ქსელში და შესაბამისად წვდომადია,
იმას გავითვალისწინებთ რომ ვებ გვერდებზე ნებისმიერი
(რა თქმა უნდა ზოგიერთი კომპიუტერი განლაგებულია
61 62
ბრანდმაუერის უკან ამიტომ ისინი მიუწვდომელია მაგრამ შეიძლება იყოს შიფრაციის ალგორითმები ან პროტოკოლები,
თვით ბრანდმაუერი კი წვდომადია შესაძლებელია ნაკლოვანება იყოს თვით სმარტ –ბარათში, იმის
გამო რომ სისტემა რომელიც ეწინააღმდეგება თავდასხმას არ
მეოთხე ნაბიჯი - შეტევის განხორციელება. ეს შეიძლება
მუშაობს ისე როგორც უნდა იყოს. აგრეთვე შესაძლებელია
აღმოჩნდეს რთული საქმე, ან პირიქით სრულიად ადვილი. თუ
არსებობდეს დეფეკტი მისი მუშაობის მეთოდებში - თუ ამის
თავდამსხმელი კარგად მომზადებულია, მაშინ Yყველაფერი
აღმოჩენა ხერხდება, მაშინ შესაძლებელია მივაღწიოთ მიზანს.
გასაოცრად ადვილია.
თქვენ უნდა შეძლოთ ყველა შესაძლო დეფეკტის აღმოჩენა,
აღსანიშნავია, რომ ზოგიერთი შეტევა თავისთავად იმისათვის რომ წარმატებით შეუტიოთ სისტემას.
მოიცავს მრავალ ინტერაციას.
მესმე ნაბიჯზე აუცილებელია მიიღოთ წვდომის დონე,
მეხუთე ნაბიჯი - შეტევის დამთავრება. რომელიც აუცილებელია შეტევის განხორციელებისათვის.
ჰაკერული ინსტრუმენტები საშუალებას იძლევიან თქვენ უნდა გახდეთ
ავტომატიზირებულ იქნას მრავალი პროცესი. ისინი მოქმედებენ ამ საგადამხდელო სისტემის რეგისტრირებული
არც თუ ისე ეფექტურად, როგორც ვირტუოზული ჰაკერები მომხმარებელი. სავარაუდოა თქვენ დაგჭირდებათ ვინმესთვის
მაგრამ მათ შეუძლიათ ნებისნიერი მოზარდი გადააქციონ ბარათის მოპარვა. შესაძლებელია თქვენ დგიდგეთ
საშიშ მოწინააღმდეგედ. აუცილებლობა გახვიდეთ შეთქმულებაში გამყიდველთან,
მეორე მაგალითი. საგადამხდელო სისტემების წინააღმდეგ რომელიც იყებს სმარტ ბარათებს როგორც საგადამხდელო
შეტევა, რომელიც იყენებს სმარტ – ბარათებს. საშუალებას. წვდომის მიღება არც ისე იოლი ქმედებაა.

პირველი ნაბიჯი - მდგომარეობს იმაში, რომ საჭიროა მეოთხე ნაბიჯი - თავდასხმის განხორციელება:
შეგროვდეს ყველა ინფორმაცია საგადამხდელო სისტემის მაგალითად სმარტ ბარათების გამრავლება და მათი
შესახებ, რომელიც შესაძლებელია გამოგდგეს : განსაკუთრებით დუბლიკატების გამოყენება, მათში არსებული მეხსიერების
მისი აგებულება, ხელმისწვდომი დოკუმენტაცია, გამოყენებული შეცვლა და მათი გამოყენება საქონლის შეძენის დროს.
პროტოკოლებისა და ალგორითმების მუშაობის პრინციპები. და ბალანსის შეცვლა და ნაღდი თანხის მოთხოვნა, ყველაფერი
სხვა. შესაძლებელია თქვენ გეძლევათ შესაძლებლობა ის რისი გაკეთებაც შესაძლებელია. უკანასკნელი პუნქტის
მოიპოვოთ უამრავი ინფორმაცია თუ თქვენ იცით, თუ სად შესასრულებლად საკმარისი არ არის მხოლოდ სმარტ ბარათის
იპოვოთ ის. სისტემის გატეხვა არამედ თქვენ უნდა გადაიტანოთ ყველა
ნადავლი გატეხვის გზით ნაღდ ფულში.
მეორე ნაბიჯი - ეს არის დოკუმენტაციის შესწავლა, მისი
ნაკლოვანი მხარეების აღმოჩენის მიზნით. ხარვეზიანი

63 64
 მეხუთე ნაბიჯი - კვალის დაფარვა. შესაძლებელია თქვენ ან კარგად კონფიგურირებული ბრანდმაუერი უზრუნველყოფს
მოგინდეთ ლიკვიდირება გაუკეთოთ თავდასხმის ყველა დაცვას სხვა დონეზე, ისევე როგორც თავდასხმა სისტემაზე
ფიზიკურ სამხილს. თავისთავად გაცილებით რთულია, ვიდრე მხოლოდ
ნაკლოვანების არსებობა, სისტემის დაცვა უფრო მეტია ვიდრე
ზოგიერთი თავდასხმისას არ არის წარმოდგენილი ყველა
მხოლოდ უკუქმედების არჩევა. ეფექტური სისტემა ემყარება
ხუტივე ეტაპი.
ზომების სამ შემადგენლობას:

დაცვა
უკუქმედების გზები
აღმოჩენა
უკუქმედების გზები არსებობს იმისათვის რომ დავიცვათ
რეაგირება
ნაკლოვანი წერტილები. ისინი შეიძლება იყვნენ მარტივი ან
რთული an ისეთი, საიმედო სისტემebi, როგორიც არის სამხედრო ორგანიზაციაში სამსახურებრივი დოკუმენტები
შემოწმებისა და თაღლითობის მცდელობის აღმომჩენი ინახება სეიფში. სეიფი უზრუნველყოფს შესაძლებელი
სისტემები (IDS). შემოღწევისაგან დაცვას, მაგრამ იგივე მიზნისთვის მუშაობს
სიგნალიზაცია და დაცვაც. წარმოვიდგინოთ რომ
საერთოდ უკუქმედების გზები, გამოიყენება შეტევის
თავდამსხმელი არის უცხო ადამიანი: ის არ მუშაობს ოფისში.
აღსაკვეთად მოცემულ ხუთივე ეტაპზე.
თუ ის ეცდება მოიპაროს დოკუმენტები სეიფიდან, მან უნდა
დიდი ნაწილი ტექნიკური უკუქმედების საშუალებებისა გატეხოს არამარტო სეიფი, არამედ მან უნდა გათიშოს
გამოიყენება კომპიუტერებში და კომპიუტერულ ქსელებში. სიგნალიზაცია, შეძლოს გვერდი აუაროს მცველებს და
სისტემის საიმედოობა ყოველთვის განისაზღვრება მისი შეიპაროს შიგნით. სეიფი საკეტით – ეს არის დაცვის ზომა,
ყველაზე სუსტი კვანძით, და ეს საერთოდ რომ ვქვათ სიგნალიზაცია – თავდასხმის აღმოჩენის საშუალება, მცველები
გვაიძულებს ჩვენ მივმართოთ ცალკეულ ტექნოლოგიას. კი რეაგირების უზრუნველმყოფლები.
ჭკვინურად აგებულ სისტემაში ეს ტექნოლოგიები არ დევს თუ მცველები ოფისს ირგვლივ უვლიან ყოველ
ზედაპირზე, საბოლოო ჯამში სისტემის უსაფრთხოება ორმოცდაათ წუთში, მაშინ სეიფი წინ უნდა აღუდგეს
განისაზღვრება ურთიერთმოქმედებით. კრიპტოგრაფიული თავდამსხმელს 50 წუთის განმავლობაში, თუ სეიფი იმყოფება
მეთოდები შესაძლებელია დაინგრეს პირდაპირი შეტევით ან ოფისში შიგნით სადაც თანამშრომლები არიან მხოლოდ
ალგორითმის კრიპტოანალიზით. შესაძლებელია ისარგებლონ სამუშაო საათებში, მაშინ ის ვალდებულია გამოავლინოს
თანამშრომლების უყურდღებობით და გამოტყუონ პაროლი. შესაძლებლობა გუძლოს თავდასხმას 16 საათის განმავლობაში,
მაგრამ შენობის კარის საკეტი, რომელშიც კომპიუტერი ინახება დაწყებული საღამოს 5 საათიდან დამთავრებული დილის 9 –

65 66
მდე (და გაცილებით უფრო დიდხანსაც კი თუ ოფისი უმრავლესი დაცვით ზომებს ახასითებთ პროფი-
დაკეტილია). თუ სეიფი აღჭურვილია სიგნალიზაციით, მაშინ ლაქტიკური ხასიათი: ბრანდმაუერი, კრიპტოგრაფია, პაროლები.
მასზე თითის დადების დროსაც კი გამოჩნდებოდა მცველები, ზოგიერთი ზომა შეიძლება იყოს აღმოჩენის მექანიზმები,
მაშინ მას უნდა გაეძლო შეტევისთვის მხოლოდ იმ დროის როგორიც არის შემოჭრის აღმომჩენი სისტემა. ხშირად
განმავლობაში, რა დროც დასჭირდებოდა მცველებს შემთხვევის გხვდება რეაგირების მექანიზმები : მაგალითად სარეგისტრაციო
ადგილამდე მოსვლისთვის. პაროლის და მომხმარებლის შესატანი სისტემა, რომელიც
ბლოკირებას უკეთებს სისტემას სამი არასწორი პაროლის
ყოველივე ზემოთქმული ნიშნავს, რომ სეიფის
შემდეგ, მაგრამ აღმოჩენის მექანიზმები გამოუსადეგარია
საიმედოობა დამყარებულია აღმოჩენისა და რეაგირების
რეაგირების მექანიზმების გარეშე. წარმოიდგინეთ შემოჭრის
მექანიზმებზე რომლებიც მუშაობს ადგილზე.
აღმომჩენი სისტემა, რომელიც მხოლოდ აღრიცხავს შეტევას. ის
სეიფები კლასიფიცირდებიან ამ ნიშნების მიხედვით. აძლევს სიგნალს სისტემურ ადმინისტრატორს, შესაძლებელია
მაგალითად ერთ სეიფს შეიძლება მიენიჭის კლასიფიკაცია TL- გაუგზავნოს შეტყობინება ელ-ფოსტით, ან პეიჯერზე ან სმს
15 : ეს ნიშნავს რომ მას შეუძლია წინ აღუდგეს მობილურ ტელეფონზე. თუ ადმინისტრატორი არ პასუხობს
ინსტრუმენტებით აღჭურვილ პროფესიონალ გამხსნელს 15 (დაუშვათ რამოდენიმე საათის განმავლობაში), მაშინ შეტევის
წუთის განმავლობაში. ეს შეფასებები ეხება სუფთა დროითი დაფიქსირებას აზრი არა აქვს და იმას რომ არ იყო მიღებული
შეტევას: დრო მიდის, მაშინ როდესაც სეიფი ექვემდებარება არანაირი ზომა, რომ გადაწყვეტილიყო პრობლემა.
თავდასხმას. ხოლო დრო რომელიც სჭირდება გაგეგმვასა და
ჩვეულებრივი დაცვითი სიგნალიზაციაც არის შემოჭრის
მომზადებას არ ითვლება.
აღმომჩენის საშუალება. როდესაც ის ამოქმედდება, შემდგომი
მოვლენის განვითარება დამიკიდებულია იმაზე, მოახდენს თუ
დაცვის ზომები, აღმოჩენა და რეაგირება არა ვინმე რეაგირებას. თუ თავდამსხმელმა იცის რომ განგაშის
სიგნალს ყურადღებას არავინ არ მიაქცევს, ეს იმას ნიშნავს,
სეიფების კლასიფიკაცია კარგი მაგალითია. რომელ სეიფს რომ ეს იგივეა რაც სიგნალიზაცია საერთოდ არარსებულიყო.
იყიდით: გათვლილს 15 წუთზე, 30 წუთზე, 60 წუთზე თუ 24
ზოგჯერ შეუძლებელია გამოვიყენოთ აღმოჩენის და
საათზე? ეს დამიკიდებულია იმაზე, თუ რა დროის
რეაგირების მექანიზმები. წარმოიდგინეთ ჩვეულებრივი
განმავლობაში ამუშავდება სიგნალიზაცია (აღმოჩენა) და მოვა
მოსმენა: ალისა და ბობი საუბრობენ დაუცველი კავშირით, და
დაცვა. რომ დააპატიმროს დამნაშავე (რეაგირება). აღმოჩენისა
ევა კი მათ უსმენს. არც ბობს და არც ალისას არ შეუძლიათ
და რეაგირების სისტემის არ არსებობის შემთხვევაში სულ
აღმოაჩინონ მოსმენა, და შესაბამისად არა აქვთ შესაძლებლობა
ერთია რომელ სეიფს ავირჩევთ.
როგორმე რეაგირება გაუკეთონ მას. დაცვის საშუალებამ -

67 68
შიფრაციამ – უნდა უზრუნველყოს საკმარისად დაცული ფიზიკური უსაფრთხოება
კავშირი.
ქსელურ რესურსებზე არავტორიზებული წვდომისაგან
არაგონიერი იქნებოდა იმედი დაგვემყარებინა მხოლოდ დაცვა პირველ ნიშნავს, ფიზიკური წვდომის შეუძლებლობას
დაცვით მექანიზმებზე. პირველ რიგში იმიტომ რომ ერთ კომპიუტერულ ქსელში, სერვერებთან, ვებ სცენარებთან, ქსელურ
შეტევას შეიძლება მოსდევდეს მეორე. განსაკუთრებით კაბელებთან და მოწყობილობებთან და სხვა რესურსებთან.
დაცვითი მექანიზმების გამოყენება უზრუნველყოფს როდესაც ქსელური კავშირები გადის თქვენი დაქვემდებარების
უსაფრთხოებას მხოლოდ მაშინ, როდესაც ტექნოლოგიები ზონიდან, მაგალითად პროვაიდერთან კავშირის წერტილი, მაშინ
რომელიც დევს მის საფუძვლებში არის სრულფასოვანი. თუ რა თქმა უნდა იკარგება ქსელის ფიზიკური კონტროლის
იარსებებდა სმარტ ბარათების დაცვის იდეალური სისტემა, ასპექტები და საჭიროა დავეყრდნოთ სხვა დაცვით მექნიზმებს,
მაშინ არ იქნებოდა აუცილებელი აღმოჩენის და რეაგირების როგორიც არის შიფრაცია და ტუნელირება. მაგრამ
მექანიზმები. სმარტ ბარათის დაცვის სისტემა, რომელიც მოწყობილობები ორგანიზაციაში უნდა იმყოფებოდეს მუდმივი
არსებობს რეალურ სამყაროში, დრო და დრო იძლევა ყურადღების ქვეშ.
ჩავარდნას. ამიტომ კარგად კონსტრუირებული დაცვითი
როგორ ბრიყვულადაც არ უნდა ჟღერდეს, ხშირად
სისტემა ვალდებულია მოიცავდეს აღმოჩენის და რეაგირების
არასნქცირებული ჩართვისგან გვიცავს უბრალო კარის საკეტი.
მექანიზმებს, მისი ჩავარდნის დროს. რადგანაც რეალურ
სერვერები რომლებზეც ინახება მნიშვნელოვანი ინფორმაცია არ
სამყაროში არ არის პროდუქტი, რომელიც არ შეიცავდეს სუსტ
უნდა იდგნენ ღიად მაგიდაზე ან დაუკეტავ ოთახში, სადაც
წერტილებს. ყოველთვის შესაძლოა მოიძებნოს გზა
ნებისმიერს შეუძლია შევიდეს. ანალოგიური გზით უნდა იყოს
ბრანდმაუერის გასატეხად, ოპერაციული სისტემის
დაცული მარშუტიზატორები, კომუტატორები,
დასაშლელად, სერვერის პროგრამული უზრუნველყოფის
კონცენტრატორები და სხვა მოწყობილობები. კომპიუტერების
თავდასასხმელად. ერთადერთი რაც იხსნის სისტემას
ოთახები უნდა იკეტებოდეს ან უნდა იყოს მუდმივ დაკვირვებაში.
სრულფასოვანი დაცვითი სისტემის არარსებობის დროს, ეს
თუ რომელიმე თანამშრომელი მუშაობს მთელი დღე და ღამე მაშინ
არის ისეთი კონტრზომების მიღება, როგორიც არის აღმოჩენა
ამ ოთახის დაკეტვა არ არის აუცილებელი- მხოლოდ იმ
და რეაგირება. იმისათვის რომ მივიღოთ დროულად სიგნალი,
შემთხვევაში თუ პერსონალი არ მორიგეობს მარტო. იდელურ
როცა სისტემა განიცდის თავდასხმას, იგი შესაძლებლობას
შემთხვევაში ასეთ ოთახში შესვლა უნდა კონტროლირდებოდეს,
მოგვცემს წინ აღუდგეთ მსგავს მოვლენას.
სარეგისტრაცი ჟურნალის გამოყენებით.

სარეზერვო მატარებლები, როგორიც არის ლენტები და

მრავალჯერ ჩაწერადი დისკები, დაცული უნდა იყვნენ ისე,
როგორც საწყისი მონაცემები. დაუშვებელია სარეზერვო კოპიის
69 70
შენახვა სერვერებზე, სამუშაო სადგურებზე, და დავტოვოთ ისინი გადასცემენ პაკეტებს ეს პაკეტები ეგზავნება ამ სეგმენტში
მაგიდაზე ან დაუკეტავ ყუთებში. ჩართულ ყველა კომპიუტერს, მაგრამ იღებს მხოლოდ ის
ვისთვისაც არის ეს პაკეტი განკუთვნილი. დანარჩენი
კომპიუტერები იგნორირებას უკეთებენ აღნიშნულ პაკეტებს.
დაცულ ქსელბში გამოყენებული აპარატურის
ლოკალური ქსელის დაყოფა სეგმენტებად აუმჯობესებს
ზოგადი აღწერა ქსელის მწარმობლურობას და ტრაფიკის შემცირებას. ეს
ერთერთი მთავარი მოთხოვნა თანამედროვე კომპი- გამოწვეულია იმით რომ ცალკეული კომპიუტერები რომლებიც
უტერულ ქსელებსა არის გაფართოება მაშტაბურობა, რომელიც აგზავნიან პაკეტებს რომლის ადრესატი არის სეგმენტის
ხდის ქსელებს საკმოდ დიდს და რთულს მაგრამ აღნიშნული შიგნით, მაშინ ეს პაკეტები არ ხვდებიან დანარჩენ სეგმენტში.
უნდა განხორციელდეს ქსელების მწარმოებლურობის, მაგრამ გასათვალისწინებელია ის რომ ქსელის დაყოფა
უსაფრთხოების და მენეჯმენტის შემცირების გარშე სეგმენტებად მისი მწარმოებლურობის გასაზდელად საჭიროა
მხოლოდ მაშინ როდესაც გამოყოფილი სეგმენტები
კომპიუტერული ქსელების მაშტაბურობის უზრუნ-
წარმოადგენენ სამუშაო ჯგუფებს რომლის შიგნით
ველყოფა ხდება
ინტენსიურია ინფორმაციის მიმოცვლა.
არსებული ქსელების შერწყმის, რომელიც მოიცავს
კორპორაციული, რეგიონალური და გლობალური ქსელები
ინფორმაციულ და კომპიუტერულ უსაფრთხოებას და ქსელების
საკომუნიკაციო არხებით აერთინაბენ ტერიტორიალურად
მართვას ეფექტური საშუალებებებით.
განაწილებულ ლოკალურ ქსელებს. კორპორაციული ქსელის-
მაშტაბის მიხედვით ქსელები იყოფა ლოკალურ, დამახასიათებელი ნიშანია რომ ის ეკუთვნის ერთ ორგანიზაცას,
კორპორაციულ, რეგიონალურ და გლობალურ ქსელებად. რეგიონალური - რომ ის აერათიანებს მაგალითად ერთ ქალაქს,
ლოკალური ქსელი - წარმოადგენს კომპიუტერების ჯგუფს გლობალური - აერთიანებს ქალაქებს, ქვეყნებს და
რომლებიც ერთმანეთთან დაკავშირებულია საკომუნიკაციო კონტინენტებს.
საშუალებით და განთავსებულია ერთ ან რამოდენიმე ახლოს დიდი რეგიონალური ქსელი შეიძლება აერთიანებდეს
მდგომ შენობაში, ლოკალური ქსელი შეიძლება იყოს პატარა რეგიონალური და კორპორაციულ ქსელებს, ხოლო
დაყოფილი რამოდენიმე სეგმენტად, ყოველი სეგმენტში გლობალური ნებისმიერი ტიპის ქსელებს. ნათელ მაგალითს
იგულისხმება ლოკალური ქსელის ნაწილი რომლის გარშემოც გლობალური ქსელისას წარმოადგენს Internet.
ხდება მხოლოდ იმ პაკეტების მიმოცვლა რომელიც ეკუთვნის
მხოლოდ ამ სეგმენტს. აღნიშნული სეგმენტის
დამახასიათებელი თვისებაა, რომ როდესაც კომპიუტერები

71 72
 კომპიუტერული ქსელების განვითარებისთვის და ასევე რომლის ქსელური ადაპტერებს ენიჭებათ 8 ბიტიანი
არსებული ქსელების ინტეგრაციისთვის გამოიყენება მრავალი მისამართები.
აპარატურულ-პროგარმული მოწყობილობა.
MAC მისამართების გამოყენების უსაფრთხოების მიზნით
კონცენტარტორები - უზრუნველყოფენ ელექტრული ზემოთაღნიშნული კონცენტრატორები იყენებენ ფრეიმების
სიგნალების გაძლიერებას და საჭიროებისამრებ განტოტვას, შერჩევით
ლოკალური ქსელის სეგმენტების გასაფართოებლად.
დაშიფრვას და ასევე MAC მისამართების ფილტრაციას.
ხიდები და კომუტატორები - გამოიყენება ლოკალური
არხის დონის პაკეტების შიფრაცია იცავს ქსელურ
ქსელების სეგმენტებად დასაყოფად, აგრეთვე მიღებული
ტრაფიკს
სეგმენტების და მცირე ზომის ლოკალური ქსელების
გასაერთიანებლად. თვალთვალისაგან. კერძოდ ჩვეულებრივ რეჟიმში
ქსელური კვანძი იგნორირებას უკეთებს იმ პაკეტების
მარშუტიზატორები – გამოიყენება გლობალური და
რომლებიც არ არიან მისადმი ადრესირებული. თვალთავლი
აგრეთვე ლოკალური ქსელების და მათი დიდი ნაწილების
შესაძლებალი მაშინ როდესაც ქსელური ადაპტერი გადადის
გასაერთიანებლად.
მონიტორინგის რეჟიმში, რომლის დროსაც ადაპტერი იღებს
შლუზები - გამოიყენება მარშუტიზაციის ფუნქციის ყველა პაკეტურ შეტყობინებას რომელიც მოხვდება ამ
შესასრულებლად და ისეთი კომპიუტერული ქსელების სეგმენტში. ადაპტერის მონიტორინგის რეჟიმში გადაყვანა ხდება
გასაერთიანებლად რომელთა ქსელური პროტოკოლები სპეციალური პროგრამების გამოყენებით, რომელთაც ეწოდებათ
არათავსებადია. ანალიზატორები (პაკეტების სნიფინგი).

ამ დროისათვის აქტიურად დაიწყეს ისეთი ასეთი პროგრამები ფართოდ არის გავრცელებული და

კონცენტრატორების გამოყენება რომლებიც მუშაობენ არა გამოიყენება შეცდომების აღმოსაჩენად და ქსელის
მარტო ფიზიკურ, არამედ არხის დონეზეც OSI –ს ეტალონურ მწარმოებლურობის ანალიზისათვის. ქსელური ტრაფიკის
მოდელში, იმისათვის რათა უზრუნველყონ ქსელური თვალთვალისათვის საკმარისია ნებისმიერ კომპიუტერზე
ფიზიკური მისამართების (MAC – Media Access Control) რომელიმე სეგმენტში გაეშვას ანალიზატორი.
გამოყენების უსაფრთხოება. MAC მისამართი არის 48 ბიტიანი
ტრაფიკის თვალთვალის ხელშეშლის მიზნით
რიცხვი, რომელიც ენიჭება ქსელურ ადაპტერს მისი წარმოების
კონცენტრატორები შიფრავენ არხის დონი პაკატებს (ფრეიმი),
დროს. ყველა ქსელურ ადაპტერს გააჩნია უნიკალური MAC
კონცენტარტორმა უნდა იცოდეს მასთან მიერთებული
მისამართი. გამონაკლისს წარმოადგენს მხოლოდ ArcNet –ი
კომპიუტერების MAC მისამართები. MAC მისამართების ჩაწერა
კონცენტრატორში ხორციელდება სპეციალური პროგრამული
73 74
უზრუნველყოფის სასუალებით ქსელის ადმინისტრატორის ბოროტმოქმედი ჰაკერების, ხარბი დამნაშავეებისა და მსგავსი
მიერ, ან ისევე როგორც კომუტატორების შემთხვევში. ნაძირლებისა რომლებიც დობორიალებენ ინტერნეტში.

თუ კონცენტარტორებისთვის ცნობილია მასთან

მიერთებული კომპიუტერების MAC მისამართები მაშინ ის
იქცევა შემდეგნაირად,

ფრეიმების რეტრანსილაციისას კონცენტრატორი შიფრავს

პორტებიდან გამომავალ იმ პაკეტებს, რომლის მისამართები არ
ემთხვევა მიმღების პორტზე მიერთებული მანქანების მისამართს

ბრანდმაუერები
ბრანდმაუერები პირველად გამოჩნდა მატარებლებში,
თბომავლები რომლებიც მუშაობდნენ ნახშირზე, საწვავი
ღუმელი და საწვავი ახლოს იყო ერთმანეთთან, მემანქანე
იღებდა ნახშირს ნიჩაბით და ყრიდა ღუმელში. ამ დროს
ხშირად წარმოიქმნებოდა ადვილად აალებადი ნახშირის
მტვერი. დრო და დრო ხდებოდა მისი აალება რაც იწვევდა
სამანქანო განყოფილებაში ხანძარს, რომელიც შესაზლებელი ტერმინები ყოველთვის არ არის ზუსტი: საქმე იმაშია რომ
იყო გავრცელებულიყო სამგზავრო ვაგონებში. ასე რომ ცნებამ “ბრანდმაუერი” შეიცვალა ტავისი პირვანდელი
მგზავრების სიკვდილი აისახებოდა სარკინიგზო შემოსავლებზე, მნიშვნელობა როდესაც გამოჩნდა კომპიუტერულ ქსელებში.
ამიტომ თმოვალების უკანა ნაწილი აღჭურვეს რკინის პირველი ქსელები იყო ძაილიან არსრული ამიტომ
Fფირფიტებით, იმისათვის რომ ცეცხლი არ გავრცელებულიყო სესაძლებელი იყო ადვილად დანგრეულიყო. ბრანდმაუერები
სამგზავრო ვაგონებზე, მაგრამ თვით მემანქანები დაუცველი შეიქმნა იმისათვის რომ ხელი შეეშალა ქსელური პროგრამების
იყვნენ. გავრცელებისთვის რომელიც შეიცავდა ბევრ შეცდომას.

დღეს ბრანდმაუერები გამოდიან საზღვრის დამცველებად

ლოკალურ და უზარმაზარ გლობალურ ქსელებს შორის, ისინი
ციფრულ სამყაროში ბრანდმაუერი -ეს არის
კომპიუტერული ქსელის დაცვის შიდა საშუალება.

75 76
აჩერებენ გარედან დაუპატიჟებელ სტუმრებს და უშვებენ გარე ქსელს შორის, სხვაგვარად თავდამსხმელი უბრალოდ
მხოლოდ ნებადართულ მომხმარებლებს. შემოუვლის ბრანდმაუერს და შეუტევს რომელიმე დუცველ
კავშირს.
პირველი: ბრანდმაუერი - ეს საზღვარი, დაცვის ხაზი.
მსგავსად ციხესიმაგრის კედლებისა, რომელიც გამოიყენება მეოთხე: ციხესიმაგრეს უნდა კარები. უაზრობაა ააშენო
თავდასხმის მოსაგიერებლად, როგორც კი თავდამსხმელი ციხე რომელშიც ვერავის შეუძლია შეღწევა ვერანაირ
გადალახავს ბრანდმაუერს უკანასკნელი ხდება გამოუსადეგარი. მდგომარეობაში. ვაჭრები, კურიერები და ჩვეულებრივი
გამომდინარე აქედან (გამოკვლევების მიხედვით, რომელიც მოქალაქეები თავისუფლად უნდა შედიოდნენ ციხეში და
ჩაატარა კომპიუტერული უსაფრთხოების ინსტიტუტმა 1998 გამოდიოდნენ, შესაბამისად ციხეში იყვნენ მეციხოვნეები
წელს) დაახლოებით 70% თავდასხმებისა ხორციელდება ქსელის რომლეთა მოვალეობა იყო შეეშვათ ის ადამიანები ვისაც
შიგნიდან, რომელიც საკმაოდ დამაფიქრებელია. შიგნით უნდოდა შესვლა ან პირიქით არ შეეშვათ ისინი.

მეორე: სანამ შექმნიდნენ საარტილერიო იარაღს კარგი დიდმა ჩინურმა კედელმა ვერ დატოვა შთაბეჭდილება
ციხესიმაგრე იყო აუღებელი. შეუძლებელი იყო კედელზე ჩინგისხანზე. მას ეკუთვნის გამოთქმა “ციხესიმაგრის
თოკით გადასვლა, დანგრევა ან საძირკვლის გათხრა და შიგნით აუღებლობა დამოკიდებულია მცველების სიმამცეზე”. ვინც
შეღწევა, მაგრამ კარგ სამხედრო მეთაურს Yყოველთვის საჭიროა, ყველა მათი შეშვება და ამასთან ყველას გაჩერება ვინც
შეუძლია ციხე მოაქციოს ალყაში. ის იმედოვნებს იმაზე, რომ წარმოადგენს საფრთხეს გარედან არის ბრანდმაუერის
დიდხანს უპუროდ, უწყლოდ და გარემოსგან მოწყვეტით, ძირითადი მოვალეობა. ის უნდა მუშაობდეს როგორც
იძულებულს გახდის ციხესიმაგრეში მსხდომ თავდამცველებს მეციხოვნე. მან უნდა გაარკვიოს რომელი კოდი შეიცავს
წავიდნენ კაპიტულაციაზე. ზოგჯერ აღნიშნულის მიღწევა საფრთხეს და დაბლოკოს მისი შენოღწევა ქსელში.
საკმაოდ სწრაფად ხდება, მაგრმ ზოგჯერ საჭიროა წლები. თუ ბრანდმაუერმა ეს უნდა შეძლოს კანონიერი მომხმარებლის
ციხესიმაგრეში არსებობს ჭა, მაშინ დამცველებს უფრო მეტი გაუღიზიანებლად.
შანსი აქვთ. თუ მათ საიდუმლო გვირაბი გააჩნიათ მათ ეს
არსებობს სამი ძირითადი გაზა ბრანდმაუერის
ძალიან წაადგებოდათ, მაგრამ თუ იქ გაჩნდა ჭირი, მაშინ
გადასალახავად:
ციხესიმაგრე მათ ვერაფერს უშველის. მსგავსი შესაძლებელია
მოხდეს ქსელშიც. პირველი: როგორც ზემოთ ავღნიშნეთ არის მისი შემოვლა
მეორე მხრიდან.
მესამე: ციხესიმაგრე უნდა იყოს დაცული ყველა მხრიდან.
არა აქვს აზრი ცალკე აღებული კედლის აგებას იმიტომ რომ მეორე: უფრო რთული თავდასხმაა - ეს არის მოიპარო
თავდამსხმელი უბრალოდ შემოუვლის მას. ასევეა რამე ბრანდმაუერის გავლით. ეს რომ გაკეთდეს უნდა
ბრანდმაუერშიც ის უნდა იყოს ბარიერი შიდა და ყველა სხვა მოვტყუთ ბრანდმაუერი, მან უნდა იფიქროს რომ ჩვენ ვართ

77 78
წესიერი მომხმარებელი და უფლებამოსილი ვართ ვაკეთოთ ეს. საგნებით. ბრანდმაუერმა უნდა მიიღოს გადაწყვეტილება
იმისდა მიხედვით თუ რამდენად კარგია ბრანდმაუერი და თავისი მწირი და არასრული ინფორმაციის საფუძველზე
რამდენად კარგად მოხდა მისი დაყენება, ამის გაკეტება ან გაატაროს თუ არა პაკეტი.
ადვილია ან საერთოდ შეუძლებელია.
მანამდე ბრანდმაუერები იყვნენ მხოლოდ პაკეტური
ძირითადი იდეა მდგომარეობს იმაში რომ, უნდა შეიქმნას ფილტრები. ბრანდმაუერი ათვალიერებდა ყოველ პაკეტს, რის
კოდის ასლი, რომელსაც ბრანდმაუერი შეუშვებ შიგნით, შემდეგ უშვებდა ან აჩერებდა პაკეტს მითითებული წესების
მსგავსი კოდები გამოიყენება იმისთვის რომ გამოვიყენოთ მიხედვით, შეეფარდებოდა თუ არა პაკეტის სათაური მოცემულ
რაიმე დეფეკთი კომპიუტერულ სისტემაში, რომელიც მოგვცემს წესებს, რომელიც ცნობილი იყო ბრანდმაუერისთვის.
საშუალებას დამყარდეს კავშირი გარედან ჰაკერსა და შიგნით
დღეს ისინი შესრულების პროცესში იცვლიან თავის
კომპიტერს შორის ბრანდმაუერის გავლით, თუ ეს ყველაფერი
მდგომარეობის პარამეტრებს: ინდივიდუალური შემოწმების
გაკეთდა, მაშინ ჰაკერი აღწევს შიგნით.
მაგივრად ბრანდმაუერები ინახავენ ინფორმაციას ქსელის
მესამე თავდასხმა - ბრანდმაუერის დამორჩილების მდგომარეობის შესახებ და რა ტიპის პაკეტებია მოსალოდნელი,
მცდელობა, ეს წააგავს მოწინააღმდეგის შანტაჟს როგორც კი მიუხედავად ამისა მათ არა აქვთ უსაზღვრო მეხსიერების
თქვენ შეძლებთ მიიღოთ ის თქვენ რიგებში, ის გააკეთებს რესურსი, ამიტომ შესაძლებელი ნელი თავდასხმების
ყველაფერს რასაც თქვენ მოინდომებთ. რაც უფრო ადვილი განხორციელება.
იქნება ამის გაკეთება დამიკიდებულია ბრანდმაუერზე.
ამჟამად არსებობს საკმაოდ კარგი ფილტრირებადი
ზოგიერთ ბრანდმაუერში მუშაობს პროგრამული უზრუნველ-
ბრანდმაუერები, მაგრამ მათ აქვთ მრავალი ხარვეზები.
ყოფა, რომელსაც გააჩნია დაუცველი წერტილები და რომლიბიც
პირველი და ყველაზე მნიშვნელოვანი არის ის, რომ რთულია
შეიზლება დაეხმაროს ბოროტმოქმედებს.
მათი სწორი კონფიგურირება, ხოლო არასწორი
ასე თუ ისე ბრანდმაუერების დღესდღეისობით შეიცავენ კონფიგურირებას კი ხშირად მივყავართ დაცვის ხარვეზებამდე.
ყველაფერს, რომელიც საჭიროა ტრაფიკის ფილტრაციისათვის. მრავალი საგნები რომელიც უნდა იბლოკებოდეს
სინამდვილეში დაბალ დონეზე ბრანდმაუერი არი ნებადარტულია დეფაულტად. ბრანდმაუერები არ ცვლიან
მარშუტიზატორი მიმდევრობითი წესების ნაკრებით, რომელიც პაკეტებს ამიტომ როდესაც პაკეტი აღმოჩნდება შიგნით მას
მასში გამავალ ქსელურ ნაკადს ამოწმებს და რეგულირებას შეუზლია აკეთოს ყველაფერი.
უკეთებს ტრაფიკს მოცემული წესების მიხედვით. მანამდე ეს
მეორე ტიპი ბრანდმაუერები ეს არის პროკსი სერვერები,
იყო შედარებით ადვილი მაგარამ ახლანდელ ბრანდმაუერებს
ან სისტემა, რომელიც ასრულებს ერთი ფორმიდან გარდაქმნას
საქმე უწევს მულტიმედიურ ტრაფიკებთან, დატვირთული
მეორეში. წარმოიდგინეთ ორი ყარაული, ერთი რომელიც დგას
პროგრამებით, ჯავა აპლეტებით, და სხვა სახის გაურკვეველი
79 80
გალავნის გარეთ მეორე კი შიგნით. გარეთ მდგომმა ყარაულმა პლიტიკის არ არსებობის დროს, ციფრულ სისტემეაში
არაფერი იცის გალავნის შიგნით არსებულ მდგომარეობაზე, უკუქმედების ზომები იქნება მოუწესრიგებელი. პოლიტიკა – ეს
ისევ როგორც შიგნით მდგომა არაფერი იცის გარეთ არსებულ არის ხერხი უზრუნველყოთ საერთო ურთიერთკავშირი.
მდგომარეობაზე. მაგრამ ისისნი ერთმანეთს გადასცემენ
კარგი პოლიტიკა ფორმირდება, როგორც პასუხი
პაკეტებს. პროკსი-ბრანდმაუერები მუშაობენ სწორედ ასე.
საფრთხეზე. თუ საფრთხე არ არსებობს მაშინ არ არის არც
ზოგიერთ პროკსი-ბრანდმაუერები მუშაობენ მხოლოდ როგორც
პოლიტიკაც: ყველას შეუძლია აკეთოს ყველაფერი. ამერიკის
შუამავლები: თუ ვინმეს როომელიც იმყოფება ბრანდმაუერეით
შეერთებულ შტატები საჭიროებს საგარეო პოლიტიკას, თუ
დაცული გარემოში, ესაჭიროება დოკუმენტი “გარე სამყაროდან”
მხედველობაში მივიღებთ საფრთხეებს, რომელიც ემუქრება
კლიენტის პროგრამული უზრუნველყოფა ეკითხება პროკსი-
სხვა სახელმწიფოებიდან. მაგრამ შტატი პენსილვანია არ
ბრანდმაუერს (შიდა მცველს) ამის შესახებ და გარეთა
საჭიროებს არანაირ სგარეო პოლიტიკას, იმიტომ რომ
ბრანდმაუერი (გარეთა მცველი) აერთებს მას საჭირო ვებ
დანარჩენი შტატები არ წარმოადგენენ საფრთხეს მისთვის.
გვერდთან.
ასევა უსაფრთხოების პოლიტიკაშიც - ის აუცილებელია, ამიტომ
ბრანდმაუერი არის მნიშვნელოვანი ელემენთი საფრთხეების მოდელირება არ მთავრდება არასდროს ცარიელი
კომპიუტერული უსაფრთხოების სისტემაში, მაგრამ მათ არ ფურცლით. უსაფრთხოების პოლიტიკა განსაზღვრავს ჩარჩოებს,
შეუზლიათ სისტემის სრული დაცვა. რომელშიც ხორციელდება უკუქმედების ზომების შერჩევა და
რეალიზაცია.
თანამედროვე ქსელებში გამოჩნდა კომბინირებული
აპარატურა სადაც შერწყმულია, როგორც ბრანდმაუერის ასავე არ არის საჭირო იმის მტკიცება, რომ ყოველ ორგა-
მარშუტიზატორის,VPN და ანტივირუსული სერვერის ნიზაციას სჭირდება თავისი კომპიუტერული ქსელისთვის
ფუნქციებიც. უსაფრთხოების პოლიტიკა. პოლიტიკამ უნდა მოხაზოს
პასუხისმგებლობის საზღვრები, განსაზღვროს თუ რა არის
უსაფრთხოების პოლიტიკის საფუძვლი და თუ რატომ არის
უსაფრთხოების პოლიტიკა ის მაინცდამინც საფუძვლი. უკანასკნელი აღნიშვნა ძალიან
მნიშვნელოვანია, რადგანაც შემთხვევითი პოლიტიკა
სისტემის უსაფრთხოების პოლიტიკა წააგვას
”ჩამოშვებული ზემოდან” განმარტებების გარეშე, საბოლოოდ
სახელმწიფოს საგარეო პოლიტიკას: ის განსაზღვრავს მიზნებსა
მაინც იქნება იგნორირებული, რადგან უფრო სავარაუდოა, რომ
და ამოცანებს,. როდესაც სახელმწიფოს ადანაშაიულებენ
თანამშრომლები გაყვებიან გასაგებ, მოკლე, ლოგიკურ და
საგარეო პოლიტიკის არათანმიმდევრულობაში, ეს ხდება
თანმიმდევრულ პოლიტიკას.
იმიტომ, რომ მის მოქმედებაში არ არის ლოგიკა და არ არის
საერთო სტრატეგია. ზუსტად ასევე ხდება უსაფრთხოების
81 82
 უსაფრთხოების პლიტიკა – არის ის რასაც თქვენ რომლის დაცვაც არის დაგეგმილი; იდენტიფიცირება
განსაზღვრავთ, რა უკუქმედების ზომებს მიმართავთ. უნდა გაუკეთდეს ყველა მომხმარებლებს რომლებიც მუშაობენ
გჭირდებათ თუ არა ბრანდმაუერი? როგორ უნდა აღნიშნულ რესურსებთან. უნდა გაკეთდეს ანალიზი ტუ
დააკონფიგურიროთ, საკმარისია თუ არა სისტემიში წვდომისას რომელი რესურსთან რა საფრთხე შეიძლება იყოს
მარტო პაროლის გამოყენება, შესაძლებელია თუ არა მოსალოდნელი. ყველა ამ ინფორმაციის ფლობის შემდეგ
მომხმარებლებს მიეცეთ ნება ტავიანთი ბრაუზერიდან ვიდეოს შესაძლებელია აგიოს უსაფრთხოების პოლიტიკა, რომელიც
ყურება. აუცილებელი გახდება ყველა მომხმარებლებისათვის.

ნებისმიერ შემთხვევაში უსაფრთხოების პლიტიკა უსაფრთხოების პოლიტიკის აგება – ეს არ არის

პირველ რიგში უნდა პასუხობდეს კითხვებზე ”რატომ”? და არა ჩვეულებრივი წესი, ის ბევრისთვის გაუგებარია. ის უნდა იყოს
”როგორ”. წარმოდგენილი სერიოზული დოკუმენტის სახით. იმისათვის
რომ გამუდმებით შევახსენოთ მომხმარებლებს უსაფრთხოების
”როგორ” ეს არის კონტრზომის ტაქტიკა. რთულია
წესები, დოკუმენტის კოპიოები უნდა იქნეს დარიგებული
შეარჩიო სწორი პოლიტიკა, მაგრამ უფრო რთულია
ყველა ოფისში, რათა ეს წესების თვალწინ ედოს ყოველა
განსაზღვრო უკუქმედების ზომების კომპლეხი, რომლებიც მის
თანამშრომელს
რეალიზებას განაპირობებენ.
კარგი უსაფრთხოების პოლიტიკის აგება ითვალისწინებს
ქსელების უსაფრთხოების უზრუნველსაყოფად საჭიროა
რამოდენიმე ელემენტს ზოგიერთი მატგანი მოცემულია
გამუდმებული მუშაობა და ყურადღება. ამ მუშაობაში
ქმემოთ:
იგულისხმება რომ წინასწარ უნდა იქნას შესწავლილი
ბოროტმოქმედების მიერ ყველა შესაძლო ქმედება, დაცვითი 1. რისკის შეფასება. უნდა ვიცოდეთ თუ რას ვიცავთ და
მექანიზმების გზების ძიება და მომხმარებლების პერმა- ვისგან. ქსელში უნდა გამოიკვეთოს ღირებულებები და
ნენტული განათლება. თუ მაინც მოხდა სისტემაში შემოჭრა პრობლემების შესაძლო წარმომქმნელები;
უსაფრთხოების ადმინისტრატორმა უნდა შეძლოს დაცვითი
2. პასუხისმგებლობა. აუცილებელია მიეთითოს პასუხის-
სისტემის ხარვეზის აღმოჩენა, ხარვეზის მიზეზი და შემოჭრის
მგებლები, რომლებიც ამა თუ იმ გზით პასუხს აგებენ
გზა.
უსაფრთხოებაზე, დაწყებული აღრიცხვითი ჩანაწერების
უსაფრთხოების სისტემის პოლიტიკის შედგენისას გაკეტებიდან დამტავრებული დარღვევების გამოკვლევით;
ადმინისტრატორმა პირველ რიგში უნდა ჩაატაროს რესურსების
3. ქსელური რესურსები გამოყენების წესები. პოლიტიკაში
ინვნტარიზაცია
პირდაპირ უნდა იყოს მითითებული. რომ მომხმარებლებს
არა აქვთ უფლება: გამოიყენონ ინფორმაცია არა

83 84
 დანიშნულებით, გამოიყენონ ქსელი პირადი o მრავალი საქალაქო სატრანსპორტო სისტემები უცხოეთში
სარგებლობისთვის, აგრეთვე გამიზნულად მიაყენონ იყენებენ გამშვებ ბარათებს ნარდი ფულის მაგივრად,
ზიანი ქსელს ან იქ განთავსებულ ინფორმაციას; მსგავსად ამისა გამოიყენება სატელეფონო ბარათებიც და
სხვა. მსგავსი სისტემები აუცილებელია იყვნენ
4. იურიდიული ასპექტები. აუცილებელია კონსულტირება
დაზღვეულები გაყალბებებისაგან. რა თქმა უნდა ეს არ
იურისტთან, რადგან უნდა გაირკვეს ყველა კითხვა,
არის პრობლემა როდესაც ყალბის დამზადება გაცილებით
რომელსაც შეიძლება კავშირი ქონდეს ქსელში შენახულ
ძვირი ჯდება.
ან წარმოქმნილ ინფორმაციასთან და დართული უნდა
იქნეს დოკუმენტებში რომელიც ეხება უსაფრთხოების o პროგრამები რომლებიც იცავენ ელ-ფისტას უნდა
უზრუნველყოფას; უზრუნველყონ კორესპოდენციის დაცვა ყველა ნებისმიერი
პლისტრაციისა და ცვლილების მცდელობისაგან.
5. სისტემის აღდგენის პროცედურები. მითითებული უნდა
რასაკვირველია მრავალ შემთხვევაში პროგრამული
იყოს, თუ რა უნდა იქნას გაკეთებული სისტემის
საშუალებებით შეუძლებელია უსაფრთხო გავხადოთ
დარღვევის შემთხვევაში და რა მოქმედებები უნდა
სისტემა იმ მრავალი მანიპულაციებისგან თავი: ტროას
ჩატარდეს იმათ მიმართ, ვინც გახდა მიზეზი ამის
ცხენი კომპიუტერში, ვიდეოკამერა, და სხვა.
გამოიწვევისა.
ხრიკი მდგომარეობს იმაში, რომ შევქმნათ სისტემა,
თუ სკმაოდ დიდხანს ვიმუშავებთ საფრთხეების მოდე-
რეალური საფრთხეების გათვალისწინებით და არ გამოვიყენოთ
ლირებაზე, გასაგები გახდება რომ ცნებას ”უსაფრთხოების
უსაფრთხოების ტექნოლოგიები ყველა რიგრიგობით, იმის
სისტემას” აქვს განსხვავებული მნიშვნელობა იმის და
იმედით რომ ამით რამე მაინც გამოგვივა. ამისათვის
მიხედვით თუ რა სიტუაციასთან გვაქვს საქმე.
აუცილებელია შევიმუშაოთ უსფრთხოების პოლიტიკა,
რამოდენიმე მაგალითი: რომელიც დამყარებული უნდა იყოს საფრთხეების ანალიზზე
o კომპიუტერიები, გამოყენებული საქმიან სფეროში უნდა და შემდგომ შევქმნათ დაცვის მექანიზმები. რომლებიც
იყვნენ დაცული ჰაკერებისგან, ქურდებისგან და რეალიზებას გაუკეთებენ ამ პოლიტიკას და წინ აღუდგებიან
სამრეწველო კონკურენტებისაგან. სამხედრო საფრთხეებს.
კომპიუტერები უნდა იყვნენ საიმედოდ დაცული იგივე
საფრთხეებისაგან და აგრეთვე მტრული სამხედრო
ძალების შეღწევისგან. ზოგიერთი კომპიუტერები
ემსახურებიან სატელეფონო ქსელებს და ისინიც უნდა
იყვნენ დაცული სამხედრო მოწინააღმდეგებისაგან.

85 86
 უსაფრთხოების პრინციპები (მომხმარებელს ან კონკრეტულ პროცესს) მხოლოდ ის
პრივილეგია, რომელიც აუცილებელია მისი სამუშაოს
შესასრულებლად. ჩვენ ამას ვაწყდებით ყოველ დღე
გაყოფა ცხოვრებაში. თქვენი გასაღებით შესაძლებელია მხოლოდ
მოგზაურები საფულეში ინახავენ მხოლოდ გარკვეულ თქვენი კარის გაღება, და არა რომელიმე ორგანიზაციის.
მცირე თანხას, დანარჩენი აქვთ ან ზურგჩანთაში, ან ბანკომატებთან და იქ მოთავსებილ თანხასთან წვდომა
დამალული ტანსაცმლის შიგნით. შეუზლია მხოლოდ მის მომსახურე პერსონალს. იმ
შემთხვევაშიც კი, როდესაც თქვენ გაქვთ განსაკუთრებული
თუ მათ გაქურდავენ, ამით ისინი მთლიან თანხას არ
ნდობა, თქვენ შეგიძლიათ გათქვათ მხოლოდ ის საიდუმლო,
კარგავენ. ჯაშუშებისა ან ტერორისტული ორგანიზაციის
რომელის ცოდნაც თქვენთვის ნებადართულია.
სტრუქტურა დაყოფილია პატარა ქვეჯგუფებად, რომელთა
წევრები იცნობენ მხოლოდ ერთმანეთს და არვის სხვას. ასე უფრო ბევრი მაგალითის მოყვანა შესაძლებელია
რომ, თუ რომელიმე წევრი იქნება დაჭერილი ან ჩაბარდება კომპიუტერული სამყაროდან. მომხმარებლებს აქვთ წვდომა
თავისი ნებით, მას შეუძლია გასცეს მხოლოდ ის ადამიანები მხოლოდ იმ სერვერებთან, რომელიც აუცილებელია მათი
რომელებიც შედიან მის ჯგუფში. გაყოფა- ეს არის ეფეკტური მუშაობისათვის. მხოლოდ სისტემურ ადმინისტრატორს აქვს
დაცვის საშუალება, რადგანაც ის ზღუდავს მოწინააღმდეგის უფლება ქსელში ნებისმიერ რესურსის წვდომაზე, ხოლო
მოქმედებებს, რომელსაც ის მიყავს წარმატებამდე. ეს არის მომხმარებლებს მხოლოდ საკუთარ ფაილებზე.
მაგალითი ჯანსაღი აზრისა, რომლითაც ხშირად სარგებლობენ. მრავალი თავდამსხმელები სარგებლობდნენ მინიმალური
მომხმარებლებს აქვთ თავისის აღრიცხვითი ჩანაწერები: ოფისის პრივილეგიის პრინციპების დარღვევის გამო.
კარები იკეტება სხვადასხვა გასაღებებით, გაღების უფლება
გაყოფა ასევე უცილებელია, იმიტომ რომ რაც უფრო
ენიჭება კონკრეტულ ადამიანებს მათი ნდობის ხარისხის
ბევრი ადამიანები სარგებლობენ ქსელით, მით უფრო
მიხედვით, აგრეთვე გამოწვეული განსაზღვრული რეალური
ნაკელებია სისტემის საიმედობა. რაც უფრო ფართოა
აუცილებლობით მიენიჭოს მას ეს უფლება; პირადი ფაილები
ამოცანების რაოდენობა, რომელიც სრულდება კომპიუტერის
იშიფრება უნიკალური გასაღებებიტ. უსაფრთხოების სისტემა
დახმარებით, მით უფრო ნაკლებად უსაფრთხოა ის.
არ იქმნება პრინციპით <<ყველაფერი ან არაფერი>>, მაგრამ მან
უნდა აღკვეთოს მნიშვნელოვანი ზიანის მიყენება ეს არის ერთერთი მიზეზი, ამიტომ ინტერნეტი ყველაზე
შესაძლებლობა. ფართოდ გამოყენებადი ქსელია, მაგრამ შეიცავს უამრავ
საფრთხეებს.
მსგავსი პრინციპი - პრივილეგიების მინიმუმი.
ძირითადად ეს ნიშნავს იმას, რომ საჭიროა მიეცეს ვინმეს

87 88
 შეადარეთ ვებ სერვერი და კომპიუტერი რომელიც, მარშუტიზატორები, სისტემაში შესვლის დროს რეგისტრაციები.
განთავსებულია მსგავსად არის აგებული თაღლითობის აღმომჩენი სისტემა
საკრედიტო სისტემებისთვის. უსაფრთხოების მიზნით
ბომბთავშესაფარში და დაცულია ირგვლივ მცველებით.
ყოველთვის აქვს აზრი გამოვიყენოთ გამტარი პუნქტები.
გაყოფას გმოყენება აქცევს სისტემას უფრო მიახლოებულს
მეორე ვარიანტთან. ეს გამტარი პუნკტები კარგია მაშინ როდესაც მისთვის
გვერდის ავლა შეუძლებელია. ერთი ყველაზე გავრცელებულ
ხერხი ბრანდმაუერის გადასახალავად არის მისი შემოვლა :
გავამაგროთ ყველაზე სუსტი კვანძი
შესაძლებელია მოიძებნოს, მაგალითად დაუცველი
ყველაზე პირველად საჭიროა დავიცვათ ყველაზე სუსტი დაშორებული კავშირები. ხდება ისე რომ ადამიანები
ადგილი კვანძში. ეს ცხადია, მაგრამ ისევ და ისევ გხვდება დაშორებულ კავშირებს ტოვებენ ჩართულს. ზოგჯერ
სისტემები, სადაც ეს პირობები იგნორირებულია. სიბრიყვე მარსუტიზატორებს, დამამახსოვრებელი მოწყობილობები და
იქნებოდა თუ უბრალოდ რომ ჩაგვესვა უზარამაზარ მესერი თვით პრინტერებსაც კი შეიძლება ქონდეს დაუცველი
ციხესიმაგრის წინ იმ იმედით, რომ მტერი პირდაპირ მისკენ პორტები. ყველაფერი ეს აძლევს თავდამსხმელს საშუალებას
გაიქცეოდა. დაცვა უნდა იყოს ყველა მხრიდან, ამიტომ რომ შემოუაროს საკონტროლო პუნქტს.
მოგვიწევს არხის ამოთხრა და ღობის აგება. ზუსტად ასეა
არსებობს უფრო ნატიფი მეთოდები ტავდასხმისათვის.
დაშიფრვის ალგორითმის გამოყენებისას. იმ შემთხვევაშიც კი
ერთ კომპანიას შესაძლებელია ქონდეს მყარი ქსელური დაცვის
როდესაც ვიყენებთ 256 ბიტიან გასაღებს, არ ღირს ვიმედოვნოთ,
სისტემა, მაგრამ სხვა კომპანიას არა აქვს მაგის დარი დაცვა.
რომ დაცული ვართ : მტერმა, შესაძლებელია იპოვოს ისეთი
თუ ისისნი ურთიეთმოქმედებენ ქსელის საშუალებით, ეს
თავდასხმის ხერხი, რომელიც არანაირად არის დაკავშირებული
ნიშნავს რომ ქსელს აქვს სუსტი კვანძი, რომელიც საჭიროებს
დაშიფრვის ალგორითმათან.
დაცვას.

გამოვიყენოთ გამშვები პუნქტები

სიღრმისეული დაცვის უზრუნველყოფა
გამშვები პუნქტი წარმოადგენს ვიწრო კორიდორს,
სიღრმისეული დაცვა(მრავალდონიანი) – არის სხვა
რომელშიც ადვილია მომხმარებლების კონტროლირება.
უნივერსალური უსაფრთხოების პრინციპი, რომელიც
გაიხსენეთ როგორ არის მოწყობილი და რისთვის გამოიყენება
გამოიყენება კომპიუტერული ტექნოლოგიების სფეროში და
სუპერმარკეტში საკონტროლო-კასური პუნქტები, თქვენი
აგრეთვე სხვა სფეროებშიც.
სახლის კარები. ამ მიზნით გამოიყენება ბრანდმაუერები,

89 90
 ტერიტორიის დაცვა (კარის საკეტები და სიგნალიზაცია მუშაობს ან შესაძლებელია ის არის გატეხილი, ან გაწყდა
ფანჯრებზე) უფრო ეფექტურია, თუ ის გამოიყენება სახლის სატელეფონო კავშირი. ნუთუ მოვაჭრე უარს ამბობს თქვენს
შიგნით დაყენებულ სათავალთვალო სისტემასთან ერთად. მომსახურებაზე? რა თქმა უნდა არა. მას შეუძლია ამოიტანოს
ბრანდმაუერი, შემოჭრის აღმოჩენი სისტემისა და ძლიერი ქაღალდის ბლანკი და ძველებურად შედგეს გარიგება.
კრიპტოგრაფიული დაცვის პროგრამასთან ერთად გაცილებით
მრავალი თავდამსხმელი ცდილობს გატეხოს დაცვა
უფრო საიმედოა, ვიდრე მხოლოდ ბრანდმაუერი.
კავალერიული შეტევის გზით : შეტევები რომელსაც მივყავართ
დაცვა მით უფრო საიმედოა, რაც უფრო მყარია მისი მომსახურების შეჩერებამდე. ეს შეიძლება განმეორდეს ისევ და
ყველაზე სუსტი კვანძი. სინამდვილეში ყველაფერი ისევ. ეს გავს იმას, როდესაც ქურდები იზულებულს ხდიან
დამოკიდებულია საქმის შესრულებაზე. ორი ბრანდმაუერი, სისტემას მუდმივად ჩაირთოს სიგნალიზაცია, იმ მიზნით რომ
ყოველი მათგანი რომელიც იცავს ცალკეულ ქსელში ის ბოლოს და ბოლოს გაითიშება.
შემოსასვლელ წერტილებს- არა არის ღრმა დაცვა.
საჭიროა, რომ სისტემა გაჩერების შემთხვევაში გახდეს
წარმატებული თავდასხმისათვის საკმარისია ნებისმიერი
უფრო მეტად დაცული ვიდრე მანამდე იყო. თუ ბანკომატში
მათგანის გადალახვა. ღრმა დაცვა იქნება რეალიზებული მაშინ,
მუშაობას შეწყვეტს სისტემა, რომელიც ამოწმებს პირად
როდესაც ბრანდმაუერები დაყენებულია თანმიმდევრულად
საიდენტიფიკაციო ნომრებს, წარმოიქმნება უარი.., მაგრამ ამ
ერთი მეორეზე : მაშინ თავდამსხმელს მოუწევს რიგრიგობით
დროს არ იყრება ბანკომადიდან ფულები. თუ გატყდება
საქმე ქონდეს ორ დაცვის დონესთან.
ბრანდმაუერი, მას მივყავართ იმამდე, რომ ის შეწყვეტს
ყველანაირი პაკეტების მიღებას და გადაცემას.

დაზღვევა სისტემის გაჩერების შემდეგ მსგავსი პრიციპია გამოყენებული ტექნიკურ

უსაფრთხოებაშიც და ეწოდება მტყუნებამედეგი (უავარიო
მრავალი სისტემა აგებულია ისე, რომ თუ სისტემა
მტყუნება), თუ ავტომანქანაში მიკრორპროცესორი გამოვა
გამოდის მწყობრიდან მომხმარებელი მიმართავს სარეზერვო
მწყობრიდან, ამან არ უნდა გამოიწვიოს მანქანის გაქანება
სისტემას, შესაძლებელია ნაკლებად დაცულსაც კი. მაგალითად
მაქსიმალურ სიჩქარემდე. თუ წარმოიქმნება ბირთვული
აშშ- ში VeriFone სისტემა გამოიყენება საკრედიტო ბარათებით
რაკიტის მართვის სისტემაში მტყუნება, მაშინ მან არ უნდა
ხელშეკრულების გაფორმებისას. როდესაც კლერკი ამოწმებს
მიგვიყვანოს რაკეტის გაშვებამდე. უავარიო მტყუნება – არის
თქვენ ბარათს VeriFone უკავშირდება მონაცემთა ბაზებს და
კარგი წესი პროეკტირებაში.
ამოწმებს : მოპარული ხომ არ არის ეს ბარათი, საკმარისად
გაქვთ თუ არა თანხა ანგარიშზე და სხვა. წარმოიდგინეთ
შემთხვევა, როდესაც ტერმინალი რაღაც მიზეზის გამო არ

91 92
 სიმარტივისკენ სწრაფვა ერთმანეთის მოკავშირეები. უნდა დავეყრდნოთ მათ
მხარდაჭერას რამდენადაც ეს შესაძლებელია.
სირთულე – არის უსაფრთხოების ყველაზე დიდი მტერი.
სისტემა მით უფრო დაცულია რამდენადაც უფრო კარგად
დაცულია მისის სუსტი კვანძი. ამიტომ სისტემას ნაკლები გარანტირების უზრუნველყოფა
კავშირებით, უკეთესად დავიცავთ. ეინშტეინი ამბობდა:
რასაც ჩვენ სინამდვილეში ვსაჭიროებთ - ეს არის
“ყველაფერი უნდა იყოს იმდენად მარტივი, რამდენადაც ის
რწმენა, რომ ჩვენი სისტემები მუშაობენ დანიშნულების
შესაძლებელია იყოს და არა მეტი.”
მიხედვით, რომ მათ გააჩნიათ მოტხოვნილი თვისებები და
ხალხური სიბრძნე ამბობს: “არ ჩადოთ კვერცხები მხოლოდ ის. უმრავლეს თავდასხმებს რეალურ სამყაროში
მხოლოდ ერთ კალათში” ეწინააღმმდეგება ზემოთაღნიშნულ მივყავართ იქამდე, რომ სისტემები ან წყვეტენ იმ საქმიანობას,
პრინციპებს, მაგრამ ეს ასეა და ამ პრინციპებით იგება რომელიც მათ აკისრიათ, ან იწყებენ წარმოუდმოუდგენელ
სიღრმისეული დაცვა. მაგრამ გასათვალისწინებელია ისიც რომ ქცევებს.
ბევრი კალათის დაცვა გაცილებით ძნელია ვიდრე ერთის.
როცა მიდის ლაპარაკი უსაფრთხოებაზე მაშინ ჯობია
გამოვიყენოთ მარკ ტვენის ერთერთი გმირის რჩევა: “ჩადეთ დაეჭვება
ყველა კვერცხი ერთ კალათში და ყურადღება მიაქციეთ მას” ეჭვი სისტემის დაცვის საიმედოობაზე უნდა არსებობდეს
მუდმივად. დააყენეთ ეჭქვეშ თქვენი წინადადებები და
გადაწყვეტილებები.
მომხმარებლების მხარდაჭერის გამოყენება
დააყენეთ კითხვის ქვეშ თქვენი უსფრთხოების მოდელები
უსაფრთხოების უზრუნველყოფა გაცილებით მარტივია,
და საფრთხის მოდელები. საჭიროა გაგრძელდეს შეტევიბის
თუ საქმე გვაქვს საიმედო და განათლებულ მომხმარებლებთან,
ანალიზი. არ ენდოთ არავის თვით საკუთარ თავსაც კი.
და გაცილებით რთულია –არაყურადღებიანი და ბოროტი
განზრახვით მომუშავე მომხმარებლების შემთხვევაში.
უსაფრთხოების ზომები, რომელიც არის გაუგებარი და აღმოჩენა და რეაგირება
შეუტანხმებელი ვერ იმუშავებს. ყველაზე რთული
შეტევის აღმოჩენა გაცილიბით მნიშვნელოვანია, ვიდრე
პრობლემების შემქმნელები უსაფრთხოებაში არიან ისინი ვინც
შეტევის აღკვეთა. მთლიანად შეტევისგან დაცვა შეუძლებელია.
დაკავშირებულია ადამიანებთან, ხოლო ყველაზე მარტივი- კი
რა თქმა უნდა საჭიროა სრულფასოვნებისკენ სწრაფვა, მგრამ ის
ბიტებთან. უეჭველია უნდა არსებობდეს დაცვა შიდა
რაც ჩვენთვის ცნობილია რთულ სისტემებთან მიმართებაში,
თავდასხმისგანაც, მაგრამ ძირითადად თანამშრომლები არიან

93 94
გვეუბნება რომ შეუძლებელია გამოვავლინოთ და რეალური შედეგის მომტანია ის, რომ აღიკვეთოს მსგავსი
გამოვასწოროთ ყველა ნაკლოვანი წერტილი. თავდამსხმელები დანაშაული, ე.ი. დასჯას მოაქვს პროფილაქტიკური ეფექტი.
მოიძებნებიან Yყოველთვის, საჭიროა დავიჭიროთ ისნი და
კარგია ის რომ ეს რთული სისტემა მეტნაკლებად
დავსაჯოთ.
მუშაობს, ამიტომ დანაშაულის აღკვეთა გაცილებით რთულია,
შეტევის წინასწარ აღკვეთის მექნიზმები საჭიროა, მაგრამ ვიდრე აღმოჩენა.
ეს არის მხოლოდ პრობლემის გადაწყვეტის ნაწილი და ის
ციფრული სამყაროშიც ხდება იგივე. კომპანიები
ყველაზე არამდგრადი ნაწილია. დაცვის ეფექტური სისტემა
რომლებიც უშვებენ საკრედიტო ბარათებს, აკეთებენ ყველაფერს
აგრეთვე შეიცავს აღმოჩენისა და რეაგირების მექანიზმებს.
რომ აღკვეთონ თაღლითობა, ძირითადად ისინი იმედს
ამყარებენ აღმოჩენის სიტემებზე, განსაკუთრებულ შემთხვევაში
თავდასხმის აღმოჩენა კი იყენებენ სასამართლო დევნას. ფიჭვური ტელეფონები
შეიძლება იქნან კლონირებული, მაგრამ სწორედ აღმომჩენი
არის მოსაზრება, რომ თანამედროვე საზოგადოება
მექანიზმები ზღუდავენ ფინანსურ დანაკარგებს.
აღკვეთს დანაშაულს. ეს არის- მითი. თუ ალისას მოუნდა
ბობის მოკვლა, მას შეუძლია ეს გააკეთოს. პოლიციას არ ინტერნეტში შეტევის აღმოჩენა შეიძლება გახდეს რთული
შეუძლია შეაჩეროს ის, თუ ის არ არის სრული იდიოტი. მათ საქმე, არ არის საკმარისი ბრანდმაუერების დაყენებით
არ შეუძლიათ დაიცვან ყოველი ბობი. ბობმა თვითონ უნდა შემოვიფარგლოთ. რადგან ჩვენ უნდა შევძლოთ თავდასხმის
იზრუნოს თავის უსაფრთხოებაზე. მას უფლება აქვს აღმოჩენა, მაგრამ ეს ითხოვს უზარამაზარი რაოდენობის
დაიქირავოს პირადი მცველი, თუ მას აქვს ამის საშუალება, ჩანაწერების წაკითხვას, გაგებას, და ინტერპრეტაციას,
მაგრამ ესეც ვერ იძლევა გარანტიას. რომელიც ინახება საკონტროლო ჟურნალებში და რომელსაც
აკეთებს ბრანდმაუერი, სერვერები, მარშუტიზატორები და სხვა
ჩვეულებრივად დანაშაულს აღმოაჩენენ ხოლმე მისი
სახის მოწყობილობები, ასე რომ სრულებით შესაძლებელია,
ჩადენის შემდეგ. მერე იწება მისი გამოძიება, კრიფავენ
რომ ზოგიერთმა თავდასხმამ გვერდი აუაროს ბრანდმაუერს.
ფაქტებს, რომელიც დაარწმუნებს ნაფიც მსაჯულებს
ბრალდებულის დანაშაულობაში. მიიჩნევა რომ მთელი ეს შეტევის აღმოჩენა იუნდა იყოს ყოველთვის დროული. ეს
ძიების პროცესი და დამნაშავის დასჯა იმოქმედებს მთლიანად ნიშნავს იმას რომ მოითხოვება კონტროლის სისტემა, რომელიც
საზოგადოებაზე და სხვებს დაუკარგავს მსგავსი საქციელის მუშაობს რეალურ დროში. რაც უფრო მალე აღმოვაჩენთ რაღაც
ჩადენის სურვილს. რა თქმა უნდა განაჩენი გამოაქვთ საეჭვოს, მით უფრო მალე შეგვიძლია გავაკეთოთ რეაგირება
დამნაშავის დასჯისათვის, მაგრამ საზოგადოებისათვის

95 96
 თავდასხმის ანალიზი აქვს უდიდესი მნიშვნელობა რეაგირების საშუალებების
შერჩევისთვის. რეაქცია ბავშვის ანცობაზე სავსებით
უბრალოდ შეტევის აღმოჩენა არასაკმარისია,
განსხვავებულია, ვიდრე სამრეწველო აგენტის მოქმედებაზე.
აუცილებელია გავიგოთ – თუ რა თავდასხმაა ეს და რას
ნიშნავს ის. ტრადიციულად სამხედროები ამას ყოფენ ოთხ ბავშვი სავარაუდოდ გაცილებით სწრაფად გამოერთვება
ეტაპად: კავშირიდან, თუ ჩვენ რაღაცნაირად გაუკეთებთ რეაგირებას
მას. გაცილებით მყარი თავდამსხმელი არც თუ ისე იოლი
აღმოჩენა. გააცნობიერეთ ის, რომ მოხდა თავდასხმა.
გასაჩერებელია.
ვთქვათ სამი სერვერი ერთდროულად გამოვიდა მწყობრიდან.
რა არის ეს –თავდასხმაა თუ უბრალოდ პროგრამული ყოველი შემდგომი ნაბიჯი გაცილებით რთულია ვიდრე
უზრუნველყოფის პრობლემებია ქსელში? თუ შემთხვევითი წინამორბედი და ითხოვს უფრო დეტალურ ინფორმაციას.
დამთხვევა? და მაშინაც კი როდესაც ჩვენ არ ვიცით ხშირად მისი ანალიზისათვის საჭიროა ჩვენს მიერ
თავდასხმაა თუ არა, საჭიროა ადეკვატური რეაგირება. დაქირავებული კვალიფიციური სპეციალისტის მონაწილეობა,
მაგრამ ადრე თუ გვიან ის ვერ შეძლებს თავი გაართვას ამ
ლოკალიზაცია. საჭიროა წერტილების განსაზღვრა, სადაც
დვალებას. თუმცა ავტომატურ პროგრამებს შეუძლიათ კარგად
განხორციელდა თავდასხმა. თუ იმ დროსაც კი, როდესაც ჩვენ
დიდხანს იმუშაონ.
არ ვიცით
ყოველ ნაბიჯზე თქვენ იღებთ უფრო და უფრო მეტ
რომ ქსელმა განიცადა თავდასხამა, არ შეიძლება
ინფორმაციას სიტუაციის შესახებ. რაც უფრო მეტ ინფორმაციას
ადმინისტრორს არ ქონდეს ინფორმაცია იმაზე, თუ რომელი
იღებთ (რაც უფრო სწრაფად) მით უფრო კარგად ხართ
კომპიუტერები და პორტები ექვემდებარებიან თავდასხმას.
შეიარაღებული. სამწუხაროდ ბევრმა ქსელურმა
ადმინისტრატორმა შეიზლება გაიგოს რომ, სერვერების მოშლა
ადმინისტრატორმა არ იციან რომ დაექვემდებარონ
– არის თავდასხმის გამოწვეული, მაგრამ წარმოდგენაც არ
თავდასხამას, მაგრამ თუ იციან ვერ გაუგიათ საიდან
ქონდეს როგორ შეძლო თავდამსხმელმა ეს და რით არის
წარმოიქმნა ისინი.
დაკავებული ახლა ის.
იდენტიფიკაციისა და შეფასების განხორციელება
იდენტიფიკაცია. უნდა განისაზღვროს ვინ წარმოადგენს
ინტერნეტში განსაკუთრებით რთულია, სადაც თავდამსხმელს
თავდამსხმელს და საიდან მუშაობს ის. ამან შეიძლება მოგვცეს
ადვილად შეუძლია მის ადგილმდებარეობის მასკირება.
წარმოდგენა მის სუსტ და ძლიერ მხარეზე.
სისწრაფე არსებითია. რაც უფრო სწრაფად გაანალიზებთ
შეფასება. მიზნების გაგება და თავდამსხმის მოტივი,
თავდასხმას, მით უფრო სწრაფად უპასუხებთ მას.
მისი სტრატეგიები და ტაქტიკები, მისი შესაძლებლობები და
საურველია მისი სუსტი ადგილები. ამ ინფორმაციის ფლობას
97 98
 თავდასხმაზე პასუხი შემთხვევების გამოძიებაძე, მანამ სანამ არ იქნება მოზიდული
დამატებით ადამიანური და ფინანსური რესურსები. კერძო
უწყვეტად მრეკავი სიგნალიზაცია, რომელზეც არავინ
კომპანიებს შეუძლიათ დახმარება გაუწიონ მართსაჯულებას,
რეაგირებს, არაფრით არის უკეთესი იმაზე, რომ ის საერთოდ
მაგალითად შეაგროვონ ზოგიერთ თავდამსხმელებზე დოსიეები.
არ არსებობდეს. პასუხი – არის ის, რისთვისაც გვინდა
აღმოჩენის საშუალებები. სასამართლო გარჩევებთან შეჯახებისას, მრავალი ადა-
მიანი კომპიუტერული სამყაროდან, უცხოები სამართლის
ზოგჯერ რეაგირება ადვილია: თუ მოპარულია
სფეროში, აღმოაჩენენ, როგორი უძირო არის ის. საკმარისი არ
სატელეფონო ბარათის ნომერი, ესიგი საწიროა ანულირება.
არის იდენტიფიცირებულ იქნას თავდამსხმელი, აუცილებელია
ზოგჯერ ხდება რათული: ვიღაცამ შეაღწია ელექტრონული
დავამტკიცოთ კიდეც სასამართლოსი. ინგლისში ცდილობდნენ
მაღაზიის სერვერში, შესაძლებელია დავხუროთ სერვერი,
მიეცათ პასუხისმგებლობაში ბრალდებული, საკრედიტი
მაგრამ დანაკარგები შეადგენს 10 მილიონ დოლარსს. და რა
ბარატებით თაღლითობის გამო. როგორ მიდის განხილვა
ვქნათ?
სასამართლოში?
პასუხი არ არის მარტივი, მაგრამ ხშირად ხდება, რომ
ადვოკატი ითხოვს დაწვრილებით წარმოადგინონ ბანკის
ადამიანები იღებენ ბრძნულ გადაწყვეტილებებს წამებში.
მიერ გამოყენებული დაცვის საშუალებებზე ინფორმაცია:
“ვიღაცა აძვრა კედელზე და უახლოვდება დამინულ სახურავს.
ტექნოლოგიის აღწერა, საკონტროლო ჟურნალის ჩანაწერები, და
რა გავაკეთოთ ჩვენ ეხლა?” ეს ბევრად დამოკიდებულია
ყველაფერი ის რაც მას თავში მოუვა. ბანკის თავმჯდომარე
სიტუაციაზე. მაგრამ თქვენ არ შეგიძლიათ არ vიმოქმედოT.
მიმართავს სასამართლოს: ”ჩვენ არ შეგვიძლია მოგაწოდოთ ეს
შესაძლებელია უბრალოდ გააგდოთ ის. შესაძლებელია
ინფორმაცია, რამდენადაც ეს ჩვენ დაცვის სისტემას მიაყენებს
გააგდოთ ის და დარწმუნდეთ რომ ის მეტჯერ უკან არ
ზიანს”. მოსამართლე წყვეტს საქმეს. უსაფრთხოების სისტემა
მობრუნდება. შესაძლებელია გააგდოტ ის და განსაზღვროთ
შესაძლებელია იყოს აღმოჩენის იდეალური ნიმუში, მას
როგორ შეძლო მან მოხვედრა სახურავze და დავხუროთ
შეიძლებოდა სწორად მიეთითებინა დამნაშავე, მაგრამ თუ ის
ნაკლოვანი ადგილი
ვერ გადაიტანს ინფორმაციის გახსნის პროცესს, ეს ნიშნავს, რო
თავდასხმის აღკვეთა - ეს არის მხოლოდ საქმის ნახევარი. ის არასაკმარისად სასარგებლო.
არა ნაკლებ მნიშვნელოვანია კვალში გაყოლა და დამნაშავის
როდესაც ჯონ უოკერი წარსდგა სასამართლოს წინაშე
მიგნება. ზოგიერთ შემთხვევაში ეს ძალიან რთულია:
ჯაშუშობის გამო, ნაციონალური უსაფრთხოების სააგენტომ
მაგალითად ინტერნეტში თავდამსხმელi შეიძლება გადადის
მოითხოვდა რომ: გახსინილიყო ინფორმაცია იმის იმის
ერთი კომპიუტერიდან მეორეში, რომ “დამალოს კვალი”.
შესახებ, თუ როგორ გატეხა დაშიფრვის მექანიზმი უოკერმა
პოლიციას არ შეუძლია ხარჯოს დიდი დრო მსგავსი

99 100
და ნამდვილი ზარალი, რომელიც მიადგა სააგენტოს ტყდებიან ხშირად პარასკევს Dდღის მეორე ნახევში, როდესაც
შენახულიყო საიდუმლოდ. ბანკები იკეტებიან დასასვენებლად.

კარგმა აღმოჩენის საშუალებებმა უნდა აიტანოს სიფხიზლე ნიშნავს დროულ აღმოჩენას და რეაგირებას.
სასამართლო პოცესები, რომელბიც შეიცავენ ჯვარედინ დროულ თავდასხმის აღმოჩენას, რომელიც მიმდინარეობს,
დაკითხვებს ექსპერტების მოწვევით და ამით მათმა უნდა გაცილებით დიდი მნიშვნელობა აქვს, ვიდრე მის აღმოჩენას
შეინარჩუნოს ეფეკტურობა. კარგი აღმოჩენის და კონტროლის ერთი კვირის შემდეგ
საშუალებები ვალდებულია გააკეთონ ჩანაწერები სააღრიცხვო
სიფხიზლე აგრეთვე ნიშნავს მომზადებასაც. აუცილებელია
ჟურნალში, რომლებიც შეიძლება გამოდგეს
ნათლად წარმოვიდგინოთ, რა გავაკეთოთ თავდასხმის
სასამართლოში, როგორც მტკიცებულება. უნდა იყოს შემთხვევაში. 2000 წელს, როდესაც Yyahoo-მ განიცადა
შესაძლებელებლობა დემონსტრირებულ იქნას ყველა ჩანაწერი, თავდასხმა, რომელმაც ის მიიყვანა მომსახურების შეჩერებამდე,
უსაფრთხოების საიდუმლოების გახსნის გარეშე. აღდგენისთვის დაჭირდათ 3 საათი. ნაწილობრივ ეს იმიტომ
მოხდა რომ მანამდე მას არასდროს განუცდია მსგავსი ტიპის
თავდასხმა. როდესაც ყველაფერი მიდის კარგად, ადამიანები
სიფხიზლით ყოფნა
ივიწყებენ, როგორ უნდა მოხდეს რეაგირება განსაკუთრებულ
სიფხიზლე არ უნდა დავკარგოთ არასდროს. იმისათვის სიტუაციაში.
აღმოჩენა და რეაგირება იყოს ეფექტური, აუცილებელია
ვიმუშაოთ: 24 საათი კვირაში, 365 დღე წელიწადში. დაცვის
სამსახურები მუშაობენ დღე და ღამე. კომპანიები, რომლებიც თავდასხმის შედეგების გამოსწორება
ემსახურებიან დაცვის სისტემით სხვა ორგანიზაციებს 2000 წელს იქნა გატეხილი ფრანგული სმარტ ბართი.
მუშაობენ უწყვეტად. კომპიუტერულ სამყაროში არ შეიძლება რაიმეს გაკეთება იყო შეუძლებელი, გარდა ყველა ოპერაციის
იყოს სხვაგვარად. შეწყვეტისა რომელიც დაკავშირებული იყო მასთან. თუ ყველა
თავდასხმა ხორციელდება ხშირად მაშინ, როდესაც თქვენი დრო მიდის აღკვეთის ზომების მოფიქრებაზე, მაშინ
მისთვის მზად არ ხართ. ჰაკერული თავდასხმები შესაძლებელია თქვენ სავსებით ჩამორჩეთ იმ მოქმედებების
დაკავშირებულია აკადემიური წლის განსაზღვრულ გეგმას რომელიც დკავშირებულია
პერიოდებთან. ყველა სახის თაღლითობა დაკავშირებული აღმკვეთი ზომები ყოველთვის აღმოჩნდებიან
საკრედიტო ბარათებთან, ბანკომატებთან ხორციელდება არაეფექტური. პრობლემების გამოსწორება მგანსაკუთრებით
ხშირად სააღდგომო დღესასწაულებისას, საბანკო სისტემები მნიშვნელოვანია, მაგრამ არა ნაკლებ მნიშვნელოვანია
სისტემის მოყვანა წესრიგში თავდასხმის შემდეგ. სისტემის
101 102
შექმნისას საჭიროა ორინტირება გაკეთდეს მის მოდერნიზაციის ელ ფოსტის ჩათვლით, არღნიშნული პოლიტიკის
შესაძლებლობაზე, ექსპლუატაციის პროცესში. აგრეთვე შესრულების მიზნით. კომპიუტერები და სხვა
სასურველია გავითვალისწინოთ სპეციალური შიფრაციის რესურესები ეძლევათ თანამშრომლებს, იმიტომ რომ
საშუალებები, პროტოკოლები და პროცედურებია, რომლებიც ეფექტურად შეასრულონ თავისი სამუშაო
იქნება გამოყენებული განსაკუთრებულ სიტუაციაში. ამით
o კომპიუტერები და ტელეკომუნიკაციური რესურსები
შესაძლებელია შევამციროთ დანაკარგები და სწრაფად
ეკუთვნის კომპანიის და შესაძლებელია მისი გამოყენება
აღვადგინოთ სისტემის მუშაობა.
მხოლოდ მუსაობის მიზნით. კომპანიის თანამშრომლები
რომლებიც გადასცემენ ან იღებენ ინფორმაციას
კომპანიის კომპიუტერებით და საკომუნიკაციო არხებით,
პოლიტიკის მაგალითი კორპორაციულ ქსელზე
არ უნდა თვლიდნენ რომ მათი ინფორმაცია იქნება
მიზანი: თანამშრომლების მიერ კომპიუტერების და კონფიდენციალური
კომპანიის ტელეკომუნიკაციური რესურსების გამიზნული
o კომპიუტერების მომხმარებლებმა უნდა იხელმძღვანელონ
გამოყენება.
ქვემოთ ჩამთვლილი წინდახედულობის ზომებით,
ყველა კომპიუტერის მომხმარებელი ვალდებულია კომპიუტერებთან და კომპანიის ტელეკომუნიკაციური
გამოიყენოს კომპიუტერული რესურსი კვალიფიციურად, რესურსებთან მიმართებაში. კომპიუტერები,
ეფექტურად, კანონის და ეთიკის დაცვით. ტელეკომუნიკაციური რესურსები და სამსახურები
პოლიტიკა, მისი წესები და პირობები ეხება ყველა შეიცავენ (მაგრამ არ იზღუდებიან): ჰოსტ –კომპიუტერები,
კომპიუტერების და კომპანიის ტელეკომუნიკაციური ფაილების სერვერი, სამუშაო მანქანები, მობილური
რესურსების მომხმარებლებს და კომპანიის სასახურებს, სადაც კომპიუტერები, პროგრამული უზრუნველყოფა და შიდა
არ უნდა იყვნენ ეს მომხმარებლები. ამ წესების დარღვევას და გარე ქსელური კავშირები, რომლებთანაც პირდაპირ
უნდა მოსდევდეს დისციპლინარული მოქმედება და საერთოდ ან ირიბად საქმე აქვთ კომპანიის კომპიუტერულ
სამსახურიდან დათხოვნაც ან სისხლის სამართლის საქმის მოწყობილობებს.
აღძვრა. o კომპანიის თანამშრომლები უნდა იცავდნენ ყველა
აღნიშნული პოლიტიკა შესაძლებელია აუცილებლობის პროგრამული ლიცენზიის პირობებს, საავტორო უფლებას
შემთხვევაში პერიოდულად შეიცვალოს ან გადაიხედოს. და კანონებს რომელიც ეხება ადმიანის ინტელექტუალურ
საკუტრებას
o კომპანისა აქვს უფლება, მაგრამ არა აუცილებლობა
შეამოწმოს ქსელის ნებისმიერი ან ყველა კომპონენტი,

103 104
o არასწორი, შეურაწმყოფელი, მუქარის, კანონსაწინააღმდეგო ორგანიზაციის ქსელის შესაძლო ტოპოლოგია
და სხვა მსგავსი წერილების გაგზავნა ელ ფოსტით
იკრძალება, აგრეთვე გამოვსახოთ ან შევინახოთ ისინი
კომპიუტერში. მომხმარებლები რომლებიც შემჩნეული
იქნებიან მსგავს ქმედებაში, აუცილებელია დაუყონებლივ
ეცნობოს ამის შესახებ ხელმძღვანელობას
Server
o ყველაფერი რაც შექმნილა კომპიუტერში შესაძლებელია
გაანალიზებულ იქნას კომპანიის ხელმძღვანელობის მიერ.

o მომხმარებლებს არა აქვთ უფლება კომპიუტერში ან

ქსელში დააყენონ პროგრამა რომელიც არ არის
შეთანხმებული სისტემის ადმინისტრატორთან.
Router
o მომხმარებლებს ეკრძალებათ ფაილების შეცვლა და
კოპირება, რომელიც ეკუთვნის სხვა მომხმარებლს, მისი
ნებართვის გარეშე
Firewall
o მომხმარებელი იღებს პასუხისმგებლობას თავიანთი
პაროლის დაცვაზე, რომელიც საჭიროა სისტენაში
შესასვლელად. იკრძალება ინდივიდუალური პაროლის
დაბეჭვდა, ქსელში შენახვა ან მისი მიცემა სხვა Internet
მომხმარებლისათვის. მომხმარებელი პასუხისმგებელია
ყველა ტრანზაქციაზე, რომელიც განხორციელდა მის
პაროლის საშუალებით.

105 106
 საინფორმაციო სისტემების საიმედოობის ორგანიზაციულ მეთოდებში იგულისხმება მომსახურე
უზრუნველყოფა პერსონალის და პროგრამული საშუალებების მუშაობის ისეთი
გრაფიკის შედგენა, ასევე მომსახურე პერსონალის
საინფორმაციო სისტემების საიმედოობის უზრუნველყოფა უფლებამოსილებების ისეთ განაწილებას, რომელიც
ორ ძირითად ამოცანად იყოფა. ესენია: მაქსიმალურად გაზრდის სისტემის საიმედოობას.
ა) საინფორმაციო სისტემების გამართული მუშაობის უწყვეტი კვების წყაროები (UPS) უზრუნველყოფს სისტემის
უზრუნველყოფა გამართულ მუშაობას ელექტროენერგიის მიწოდების
ბ) ინფორმაციის საიმედოდ შენახვის უზრუნველყოფა შეფერხებების მიუხედავად. გარდა ამისა ისინი იძლევიან
საშუალებას კვების ავარიული გამორთვის დროს სისტემამ
საინფორმაციო სისტემების გამართული მუშაობისათვის
ნორმალურად დაამთავროს მუშაობა. სისტემის კვების
აუცილებელია უზრუნველვყოთ როგორც ტექნიკის, ასევე
მენეჯმენტის საშუალებები განკუთვნილია უწყვეტი კვების
პროგრამული უზრუნველყოფის გამართული მუშაობა.
წყაროების ოპტიმალური მართვისათვის. ისინი ჩართულია
საიმედოობის უზრუნველყოფისათვის გამოიყენება როგორც ოპერაციულ სისტემებში, ასევე წარმოდგენილია როგორც
ტექნიკური და პროგრამული საშუალებები და ორგანიზაციული ცალკე პროგრამული საშუალებების სახით.
მეთოდები.
სარეზერვო კოპირების სისტემები განკუთვნილია
ტექნიკურ საშუალებები მიეკუთვნება: მონაცემების არქივირებისა და სარეზერვო კოპირებისათვის.
1. უწყვეტი კვების წყაროები არქივირება გულისხმობს ინფორმაციის შენახვას დიდი ხნით მისი
შემდგომ შესაძლო გამოყენებისათვის. ჩვეულებრივ არქივირება
2. სარეზერვო კოპირების აპარატურა
ეხება იმ ინფორმაციას, რომელიც ოპერატიულად აღარ არის
3. RAID სისტემები საჭირო და შეიძლება მისი გადატანა ხისტი დისკებიდან სხვა (CD,
4. კლასტერები DVD, მაგნიტოოპტიკური დისკი, მაგნიტური ფირი და სხვ.)
მატარებლებზე. სარეზერვო კოპირება გულისხმობს სამუშაო
პროგრამულ საშუალებებია:
ინფორმაციის და სისტემური ფაილების გადატანას ხისტი
1. სისტემის კვების მენეჯმენტის საშუალებები დისკებიდან სხვა მატარებელზე (DVD, მაგნიტოოპტიკური დისკი,

2. სარეზერვო კოპირების სისტემები მაგნიტური ფირი) ავარიის დროს ოპერატიული აღდგენისათვის.

3. RAID-ის პროგრამული უზრუნველყოფია სისტემები სარეზერვო კოპირების სიტემები შედგება აპარატურული

მოწყობილობებისაგან და პროგრამული ნაწილისაგან.
4. კლასტერების პროგრამული უზრუნველყოფა

107 108
 სარეზერვო კოპირების აპარატურა ძირითადად 3. დიფერენციალური კოპირება
წარმოდგენილია მაგნიტურ ფირზე ჩამწერი მოწყობილობების
სრული კოპირების დროს ინფორმაცია მთლიანად იწერება
სახით. თუმცა შესაძლებელია გამოვიყენოთ DVD,
მაგნიტურ ფირზე. კოპირების ეს ტიპი ყველაზე სწრაფია
მაგნიტოოპტიკური დისკი ან თუნდაც ხისტი დისკები. მაგნიტური
ინფორმაციის აღდგენის დროს, თუმცა მას დიდი დრო მიაქვს
ფირები დღეისათვის ყველაზე ოპტიმალური გადაწყვეტაა
ინფორმაციის შენახვისას.
ტევადობის, შენახვის საიმედოობის და ოპერატიულობის
გათვალისწინებით. არსებობს ფირზე ჩამწერი ცალკეული ინკრემენტული კოპირების დროს თავიდან ხდება
მოწყობილობები (სტრიმერი), სადაც ფირის ცვლა ოპერატორის ინფორმაციის სრული კოპირება, ხოლო ყოველი შემდგომი
მიერ ხელით ხდება, და მაგნიტური ფირების ბიბლიოთეკები, კოპირებისას ფირზე იწერება მხოლოდ ბოლო ცვლილებები.
სადაც ფირების შეცვლა ჩამწერ მოწყობიულობაში ავტომატურად, ინფორმაციის აღდგენისათვის ჯერ აღდგება პირველადი
სპეციალური რობოტ-მანიპულატორების საშუალებით მდგომარეობა, და შემდეგ ყველა შემდგომი ცვლილება. ეს მეთოდი
ხორციელდება. შესაბამისად თუ ერთი ფირის მოცულობა ნაკლებ დროს მოითხოვს ინფორმაციის შენახვისას, თუმცა
რამოდენიმე გიგაბაიტიდან ასეულ გიგაბაიტამდე განისაზღვრება, აღდგენისათვის მას მეტი დრო სჭირდება.
ბიბლიოთეკები ასეული გიგაბაიტებიდან ასეულობით დიფერენციალური კოპირებისას ფირზე ინახება საწყისი
ტერაბაიტამდე მოცულობის ინფორმაციას იტევს. სარეზერვო მთლიანი კოპია და ბოლო საწყისისაგან განსხვავებული
კოპირების აპარატურის ყველაზე მძლავრი კომპლექსები ინფორმაცია. ეს მეთოდი ცოტა ნელია შენახვისას, ვიდრე
რამოდენიმე ბიბლიოტეკის გაერთიანებით იქმნება და მათი ინკრემენტული, თუმცა უფრო სწრაფი ინფორმაციის აღდგენისას.
მოცულობა უკვე ათასობით ტერაბაიტით იზომება.
სარეზერვო კოპირების პროგრამული უზრუნველყოფა
სარეზერვო კოპირების პროგრამული უზრუნველყოფა წარმოდგენილია როგორც ცალკეული პროგრამული
განკუთვნილია ინფორმაციის შენახვის ავტომატიზაციისათვის. ის საშუალებების სახით, ასევე ჩართულია ოპერაციულ სისტემებში.
საშუალებას იძლევა როგორც ცალკეული ოპრაციების ოპერაციული სისტემის სარეზერვო კოპირების სერვისი გვაძლევს
განხორციელების, ანუ როდესაც ჩვენ გვინდა მაშინ გავაკეთოთ საშუალებას განვახორციელოდ როგორც ფაილების და
სარეზერვო კოპირება, ასევე სარეზერვო კოპირების ავტომატურად კატალოგების ერთჯერადი კოპირება, ასევე მარტივი გრაფიკის
განრიგით განხორციელებისათვის. შედგენა თუ როდის უნდა მოხდეს ამა თუ იმ ფაილის ან
სარეზერვო კოპირება სამი სახისაა. ესენია: კატალოგის კოპირება.

1. სრული კოპირება სარეზერვო კოპირების უფრო სრულყოფილი სისტემები

მუშაობენ ქსელებში და უზრუნველყოფენ ქსელის მომსახურეობას.
2. ინკრემენტული კოპირება
ისინი შედგებიან სამი ნაწილისაგან:

109 110
 1. სარეზერვო კოპირების სერვერი RAID-1 - დისკური მასივი დუბლირებით ანუ სარკე. დიკური
მასივი დუბლირებით გულისხმობს, რომ ინფორმაცია
2. სარეზერვო კოპირების აგენტები
დუბლირდება ჩაწერის პროცესში და იწერება ორ დისკზე
3. სარეზერვო კოპირების მართვის კონსოლი პარალელურად. ერთი დისკის მწყობრიდან გამოსვლის
სარეზერვო კოპირების სერვერი თავსდება იმ კომპიუტერზე, შემთხვევაში ჩვენ გვრჩება მეორე კოპია და სისტემა ინფორმაციის
რომელზედაც მიერთებულია სარეზერვო კოპირების მთელი მასივის კოპიას აღადგენს დაზიანებული დისკის
მოწყობილობა. ის უზრუნველყოფს ინფორმაციის გადატანას გამოცვლის შემდეგ.
მაგნიტურ ფირებზე, აღდგენას და კოპირების განრიგის
რეალიზაციას.

სარეზერვო კოპირების აგენტები ეშვება სამუშაო

სადგურებზე (Workstation) და უზრუნველყოფს კოპიურებისათვის
განკუთვნილი ინფორმაციის კონტროლს და სერვერიდან
მიღებული ბრძანებების მიხედვით კოპირებისათვის
განკუთვნილი ინფორმაციის გადაგზავნას სერვერზე
არქივაციისათვის. ასევე ისინი უზრუნველყოფენ ინფორმაციის
აღდგენას.

სარეზერვო კოპირების მართვის კონსოლი ეშვება იმ

RAID 1
კომპიუტერზე, სადაც მუშაობს სისტემის ადმინისტრატორი და
განკუთვნილია სისტემის მართვისათვის. მისი საშუალებით
შესაძლებელია ინფორმაციის ერთჯერადი კოპირება, სარეზერვი RAID-1-ის უპირატესობაა სიმარტივე და სისწრაფე, ნაკლი კი
კოპირების განრიგის შეცვლა და ინფორმაციის აღდგენა მისი ძვირადღირებულებაა.
მაგნიტური ფირიდან.
RAID-2 - დისკური მასივი ჰემინგის კოდის გამოყენებით.
RAID სისტემები განკუთვნილია დისკური მასივების ჭარბი კოდირება, რომელიც გამოიყენება RAID-2-ში ატარებს
საიმედოობის გაზრდისათვის. არსებობს RAID-ის რამოდენიმე ჰემინგის კოდის სახელს. ეს კოდირება იძლევა ერთმაგი ან ორმაგი
სახეობა. განვიხილოთ ყველაზე გავრცელებული RAID-1, RAID-2, შეცდომების გასწორების საშუალებას.
RAID-3 და RAID-5.

111 112
 RAID 3
RAID 2

ერთი დისკის მწყობრიდან გამოსვლის შემთხვევაში

7 დისკის შემთხვევაში 4-ზე იწერება მონაცემები, ხოლო 3-ზე შესაძლებელია მისი აღდგენა დანარჩენი ინფორმაციით:
ე.წ. ECC კოდი, რომელიც იძლევა ინფორმაციის აღდგენის Dx,i =D1,i⊕D2,i⊕...⊕ Dx-1,i⊕ Dx+1,i⊕...⊕DN,i⊕Pi
საშუალებას იმ შემთხვევაში, თუ ერთი ან ორი დისკი გამოვიდა
RAID-5 გამოირჩევა საკონტროლო ჯამის ყველა დისკზე
მწყობრიდან. ეს სისტემა მოსახერხებელია დიდი რაოდენობის
განაწილებით, რაც ამაღლებს დისკების წარმადობას მცირე
დისკების გამოყენების შემთხვევაში და იძლევა ინფორმაციის
მოცულობის ინფორმაციის ბლოკების ჩაწერისას.
სწრაფად გასწორების შესაძლებლობას.

RAID-3 სისტემაში გამოიყენება ე.წ. საკონტროლო ჯამი.

ინფორმაციის თითო-თითო ბიტი იწერება N დისკზე, ხოლო ერთ
დისკზე იწერება ამ ბიტების ჯამი მოდულით ორი:

Pi=D1,i⊕D2,i⊕D3,i⊕...⊕DN,i

RAID 5

113 114
 საინფორმაციო სისტემების საიმედოობის გასაზრდელად სარჩევი
აგრეთვე გამოიყენება კლასტერები. კლასტერი ორი ან რამოდენიმე
კომპიუტერის გაერთიანებაა საერთო საკომუნიკაციო სივრცეში
გამოთვლითი ამოცანების ერთობლივი გადაწყვეტისათვის. საინფორმაციო სისტემების საიმედოობის და
უსაფრთხოების მოთხოვნები და ზოგადი პრინციპები................ 3
კლასტერში ამოცანების განაწილება სხვადასხვა კომპიუტერზე
ხდება სპეციალური პროგრამული უზრუნველყოფის საშუალებით. თანამედროვე თავდასხმების კლასიფიკაცია და მათთან
კლასტერში შემავალი კომპიუტერები შეიძლება მუშაობდნენ ბრძოლის მეთოდები .............................................................................. 10
სხვადასხვა ოპერაციულ სისტემების (Window, Linux, Solaris და პაკეტების სნიფერი................................................................................. 20
სხვ.) ქვეშ. კლასტერის რომელიმე კომპიუტერის მწყობრიდან აუტენტიფიკაცია........................................................................ 22
გამოსვლის შემთხვევაში ამოცანები ნაწილდება სხვა მუშა
კომუტირებადი ინფრასტრუქტურა ....................................... 31
კომპიუტერებს შორის. ეს იძლევა საშუალებას მწყობრში
ანტისნიფერები........................................................................... 31
ჩავაყენოთ ან გამოვცვალოთ დაზიანებული კომპიუტერი ისე, რომ
სისტემის მუშაობა არ შეფერხდეს. კლასტერში გასაერთიანებლად კრიპტოგრაფია .......................................................................... 31
გამოიყენება მაღალი წარმადობის ქსელები. კლასტერები არსებობს IP სპუფინგი ............................................................................................. 50
ორი სახის: საერთო დისკური მასივით და განაწილებული
მომსახურებაზე უარი............................................................................. 52
დისკური მასივით. საერთო დისკური მასივის გამოყენება ზრდის
პაროლური შეტევა.................................................................................. 55
სისტემის წარმადობას, თუმცა მოითხოვს უფრო ძვირადღირებულ
აპარატურას საერთო დისკურ მასივზე პარალელურად Man-in-the-Middle შეტევა...................................................................... 56
რამოდენიმე კომპიუტერის მუშაობის უზრუნველსაყოფად. შეტევები გამოყენებით დონეზე........................................................... 57
პორტების გადამისამართება................................................................. 58
ვირუსები და ”ტროას ცხენი”-ს სახელით ცნობილი
პროგრამები .............................................................................................. 58
თავდასხმის სუბიექტები....................................................................... 58
ხარვეზები და მათი ლანდშაფტი ...................................................... 59
შეტევის მეთოდოლოგია ...................................................................... 61
უკუქმედების გზები .............................................................................. 65
დაცვის ზომები, აღმოჩენა და რეაგირება ....................................... 67

115 116
ფიზიკური უსაფრთხოება .................................................................... 70 გამოყენებული ლიტერატურა
დაცულ ქსელბში გამოყენებული აპარატურის ზოგადი
აღწერა ....................................................................................................... 71
ბრანდმაუერები....................................................................................... 75 1. Cisco Network security (cisco.netacad.net);
უსაფრთხოების პოლიტიკა .................................................................. 81 2. V. Gorodetsky, I. Kotenko, Computer Network Security.
უსაფრთხოების პრინციპები ................................................................ 87 2007, 416p., ISBN: 978-3-540-73985-2;
გაყოფა .......................................................................................... 87 3. C.A. Henk, Encyclopedia of Cryptography and Security.
გავამაგროთ ყველაზე სუსტი კვანძი ................................... 89 2005, 684p., ISBN: 978-0-387-23473-1;
გამოვიყენოთ გამშვები პუნქტები......................................... 89 4. М. Уэнстром, Организация защиты сетей , Из: Вильямс,
სიღრმისეული დაცვის უზრუნველყოფა ............................ 90 2005, ISBN: 5-8459-0387-4;
დაზღვევა სისტემის გაჩერების შემდეგ .............................. 91
სიმარტივისკენ სწრაფვა........................................................... 93
მომხმარებლების მხარდაჭერის გამოყენება ......................... 93
გარანტირების უზრუნველყოფა ............................................ 94
დაეჭვება ...................................................................................... 94
აღმოჩენა და რეაგირება .......................................................... 94
თავდასხმის აღმოჩენა ............................................................... 95
თავდასხმის ანალიზი .............................................................. 97
თავდასხმაზე პასუხი................................................................ 99
სიფხიზლით ყოფნა .................................................................. 101
თავდასხმის შედეგების გამოსწორება.................................. 102
პოლიტიკის მაგალითი კორპორაციულ ქსელზე ........................... 103
საინფორმაციო სისტემების საიმედოობის უზრუნველყოფა ......... 107

117 118
 ibeWdeba avtoris mier warmodgenili saxiT

გადაეცა წარმოებას 02.11.2007. ხელმოწერილია

დასაბეჭდად 04.12.2007. ქაღალდის ზომა 60X84 1/16.
პირობითი ნაბეჭდი თაბახი 8. ტირაჟი 100 ეგზ.

საგამომცემლო სახლი ”ტექნიკური უნივერსიტეტი”, თბილისი,

კოსტავას 77

119 120