Security — axborot tizimi, dastur, tarmoq va ma’lumotlarni ruxsatsiz kirish, o‘zgartirish, oshkor qilish, buzish yoki xizmatni to‘xtatishdan himoyalashga qaratilgan tamoyillar va nazoratlar majmui. Axborot xavfsizligining klassik modeli maxfiylik, yaxlitlik va mavjudlik xususiyatlariga tayanadi. Himoya faqat zararli hujumchiga qarshi choralarni emas, balki inson xatosi, noto‘g‘ri sozlama, apparat nosozligi va tabiiy hodisalar oqibatini kamaytirishni ham qamrab oladi.
Himoya maqsadlari
Maxfiylik ma’lumotni faqat vakolatli subyektlar ko‘rishini anglatadi. Yaxlitlik axborotning ruxsatsiz yoki sezilmaydigan tarzda o‘zgarmasligini ta’minlaydi. Mavjudlik esa tizim va ma’lumot kerakli paytda qonuniy foydalanuvchi uchun ishlashini bildiradi. Ko‘plab tizimlarda autentiklik, ya’ni subyekt yoki xabarning haqiqiyligini tekshirish hamda non-repudiation — bajarilgan amalni asosli ravishda inkor etib bo‘lmasligi kabi maqsadlar qo‘shiladi.
Bu xususiyatlar o‘zaro muvozanat talab qiladi. Juda qat’iy kirish nazorati operatsion mavjudlikni pasaytirishi, uzluksizlik uchun ko‘paytirilgan nusxalar esa himoyalanishi kerak bo‘lgan ma’lumot joylari sonini oshirishi mumkin. Xavfsizlik qarori aktivning qiymati, tahdid ehtimoli, zaiflik va zarar miqdorini hisobga oladigan risk tahliliga asoslanadi.
Nazorat qatlamlari
Defense in depth yondashuvida bitta vositaga tayanilmaydi. Tashqi tarmoq filtri buzilgan taqdirda ham identifikatsiya, segmentatsiya, dastur tekshiruvlari va ma’lumotlarni shifrlash keyingi to‘siq bo‘lib xizmat qiladi. Nazoratlar vazifasiga ko‘ra quyidagicha ajratiladi:
- oldini oluvchi: MFA, least privilege, xavfsiz konfiguratsiya va kirish filtrlari;
- aniqlovchi: jurnal, intrusion detection, fayl yaxlitligi va anomaliya kuzatuvi;
- tuzatuvchi: zaxiradan tiklash, kalitni almashtirish, zaif komponentni yangilash;
- cheklovchi: segmentatsiya, resurs kvotasi va izolyatsiya.
Ma’muriy siyosat, texnik vosita va jismoniy himoya bir-birini to‘ldiradi. Masalan, diskni shifrlash qurilma o‘g‘irlanganda ma’lumotni himoya qiladi, lekin tizim ochiq va foydalanuvchi sessiyasi faol bo‘lsa, alohida ekran qulfi ham zarur.
Dasturiy ta’minot hayot sikli
Secure software development lifecycle xavfsizlikni mahsulot tayyor bo‘lgandan keyingi tekshiruv emas, talab va dizayn bosqichidan boshlanadigan jarayon deb qaraydi. Threat modeling orqali aktivlar, ishonch chegaralari, ma’lumot oqimlari va ehtimoliy hujum yo‘llari aniqlanadi. Dasturlashda kiruvchi ma’lumotni kontekstga mos tekshirish, parametrli SQL so‘rovlari, chiqishni kodlash va maxfiy kalitlarni koddan ajratish kabi usullar qo‘llanadi.
Code review, statik tahlil, dinamik sinov va bog‘liqliklarni skanerlash turli xato sinflarini topadi; ularning hech biri alohida holda to‘liq kafolat bermaydi. Kutubxona versiyalarining kelib chiqishi va yaxlitligini qayd etish supply-chain xavfini boshqarishga yordam beradi. Ishlab chiqarish muhitiga chiqarilgach, zaifliklarni kuzatish, patch management va incident response jarayoni davom etadi.
Identifikatsiya va ma’lumot himoyasi
Autentifikatsiya subyekt kimligini tekshiradi, avtorizatsiya esa ayni subyektning qaysi amallarga haqqi borligini belgilaydi. Xizmat hisoblari ham inson hisoblari kabi alohida identifikatsiyaga ega bo‘lishi, umumiy parol yoki haddan tashqari keng rol ishlatmasligi kerak. Kalit va tokenlar maxsus secret managerda saqlanadi, muddatli qilinadi va muntazam almashtiriladi.
TLS uzatishdagi ma’lumotni, disk yoki baza shifrlashi esa saqlanayotgan ma’lumotni himoyalaydi. Shifrlash kalitini ayni ma’lumot yonida nazoratsiz saqlash himoya qiymatini kamaytiradi. Zaxira nusxalari ham shifrlanishi, kirish nazoratiga olinishi va tiklash sinovi orqali amalda yaroqliligi tekshirilishi lozim.
Hodisaga javob va o‘lchash
Xavfsizlik hodisasi aniqlanganda tayyor reja vazifalar, aloqa kanallari va dalillarni saqlash tartibini belgilaydi. Jarayon odatda aniqlash, cheklash, sababni bartaraf etish, tiklash va hodisadan keyingi tahlil bosqichlarini qamrab oladi. Faqat hujumlar sonini sanash himoya sifatini to‘liq ko‘rsatmaydi; aniqlash vaqti, cheklash vaqti, tuzatilmagan kritik zaifliklar muddati hamda tiklash sinovlari kabi ko‘rsatkichlar foydaliroqdir.
Bog‘liq tushunchalar
Confidentiality, Integrity, Availability, Threat modeling, Risk assessment, Encryption, Incident response