5.1 பாதுகாப்புத் தேவைகளும் சேவைகளும்

    வணிக நிறுவனங்கள் மட்டுமின்றி வாடிக்கையாளர்களும் தகவல் பரிமாற்றத்துக்கு இணையத்தைப் பெருமளவு பயன்படுத்தத் தொடங்கியுள்ளனர். இணையம் வழியாகத் தமது வங்கிக் கணக்குகளைக் கையாள்கின்றனர். மின்வணிகத்தில் பணம் செலுத்துகின்றனர். தீங்கெண்ணம் கொண்டோர் தகவல் பரிமாற்றத்தில் ஊடுருவிக் கேடு விளைவிக்கவும் மோசடியில் ஈடுபடவும் வாய்ப்புகள் பெருகிவிட்டன. இந்தச் சூழ்நிலையில் கணிப்பொறிகளில் சேமிக்கப்பட்டுள்ள தரவுகளின் பாதுகாப்புக்கும், கணிப்பொறிப் பிணையங்கள் வழியான தகவல் பரிமாற்றத்தின் பாதுகாப்புக்குமான தேவை முன்னுரிமை பெற்றுள்ளது. கணிப்பொறி முறைமையின் பாதுகாப்பு அரண்களை உடைத்து அத்துமீறுவோரின் தாக்குதல்களும் பெருகி வருகின்றன. காப்பு அரண்களைப் பலப்படுத்தும் சேவைகளும், வழிமுறைகளும் புதிது புதிதாய்க் கண்டறியப்படுகின்றன. இவைபற்றி இப்பாடப் பிரிவில் காண்போம்.

5.1.1 பாதுகாப்பின் தேவைகள்

    ’மின்வணிகம்’ என்கிற முந்தைய பாடத்தில் (பாடம் 4.2) ’பாதுகாப்பான தகவல் பரிமாற்றம்’ என்ற தலைப்பில், இணையம்வழித் தகவல் பரிமாற்றத்தில் உள்ள ஆபத்துகள் பற்றியும், மின்வணிகத்தில் பாதுகாப்பான தகவல் பரிமாற்றத்தின் தேவை குறித்தும் பார்த்தோம். கணிப்பொறியில் சேமிக்கப்பட்டுள்ள தரவுகள், கணிப்பொறிப் பிணையங்களின் வழியான தகவல் பரிமாற்றம் இவற்றுக்கு ஏற்படும் ஆபத்துகளை மீண்டும் இங்கே நினைவு கூர்வோம்:

  • கணிப்பொறிப் பிணையங்கள் வழியே மேற்கொள்ளப்படும் தகவல் பரிமாற்றங்களில் தகவலை அனுப்பியவர், தான் அனுப்பவில்லை என்றோ, தகவலைப் பெற்றவர் தனக்குத் தகவல் கிடைக்கவில்லை என்றோ மறுதலிக்க வாய்ப்புண்டு.
  • ஒரு நிறுவனம் தனது அக இணைய அல்லது புற இணைய அமைப்பை இணையம்வழிச் செயல்படுத்துகிறது எனில், அப்பிணைய அமைப்பினுள் அத்துமீறிகள் நுழைந்து, முக்கியமான தகவல்களைக் களவாடவோ, சேமித்து வைத்துள்ள தரவுகளுக்குக் கேடு விளைவிக்கவோ செய்யலாம்.
  • இணையம் வழியாக இருவர்க்கிடையே தகவல் பரிமாற்றம் நடைபெறும்போது மூன்றாவது நபர் ஊடுருவி முக்கியமான தகவல்களை அறிந்து கொள்ளலாம். பயணிக்கும் தகவலை மாற்றியமைக்கலாம்.
  • அத்துமீறுபவர் வேறொருவரின் முகவரியைப் பயன்படுத்தி, அவர் அனுப்புவது போன்று இவரே தகவல் அனுப்பி வைக்கலாம்.
  • இணையம் வழியான பணப் பரிமாற்றங்களில் கடன் அட்டையின் விவரங்களைக் குறிப்பிடுகிறோம். அந்த ரகசிய விவரங்களைத் தீங்கெண்ணம் கொண்டோர் திருடிப் பயன்படுத்திக் கொள்ள முடியும்.
  • நச்சுநிரல் காரணமாகக் கணிப்பொறியில் சேமிக்கப்பட்டுள்ள முக்கியமான தகவல்கள் பாதிக்கப்படலாம். மேற்கண்ட ஆபத்துகளை எதிர்கொள்ளப் போதுமான பாதுகாப்பு நடவடிக்கைகளை மேற்கொள்வது இன்றியமையாத் தேவை ஆகிவிடுகிறது.

5.1.2 பாதுகாப்புக்குப் பங்கம் விளைவிப்போர்

    பாதுகாப்பு நடவடிக்கைகள் பற்றி அறிந்து கொள்வதற்கு முன்பாக ஒரு நிறுவனத்தின் கணிப்பொறி முறைமை மீது தாக்குதல் தொடுப்போர் யார், எப்படிப்பட்ட தாக்குதல்களைத் தொடுக்கின்றனர் என்பதை அறிந்து கொள்வோம். பெரும்பாலான தாக்குதல்கள் ஏதேனும் ஆதாயம் பெறும் பொருட்டோ, எவருக்கேனும் பாதிப்பு ஏற்படுத்தும் பொருட்டோ தீங்கெண்ணம் கொண்டோரால் திட்டமிட்டு மேற்கொள்ளப்படுகின்றன. அவர்கள் திறைமை மிக்கோராய், தீர்க்கமான அறிவு கொண்டோராய்த் திகழ்கின்றனர் என்பதில் ஐயமில்லை. சில வேளைகளில் எதிரிகளால் பெருந்தொகைக்கு அமர்த்தப் பட்டோராய் இருப்பதும் உண்டு. கணிப்பொறி முறைமை மீது தாக்குதல் தொடுத்துப் பாதுகாப்புக்குப் பங்கம் விளைவிப்போரைப் பட்டியலிடுவோம்:

(1) மாணவர்கள்:

பொழுது போக்காகவும் தங்கள் திறைமையைப் பரிசோதிக்கும் வாய்ப்பாகவும் இத்தகைய தாக்குதல்களை மேற்கொள்கின்றனர்.

(2) தாக்கிகள் (Hackers):

ஒரு நிறுவனக் கணிப்பொறி அமைப்பின் பாதுகாப்பைப் பரிசோதிக்கவோ, தரவுகளைக் களவாடவோ தாக்குதல் தொடுப்பர். இவர்கள் உடைப்பாளிகள் (Crackers) என்றும் அழைக்கப்படுவர்.

(3) முன்னாள் பணியாளர்:

வேலைநீக்கம் செய்யப்பட்டதால் நிறுவனத்தைப் பழிதீர்க்கும் நோக்கத்தில் தாக்குதல் தொடுப்பர்.

(4) கணக்காளர், காசாளர்:

தாம் பணிபுரியும் நிறுவனத்தின் பணத்தை மோசடி செய்யும் பொருட்டு அத்துமீறலில் ஈடுபடுவர்.

(5) பங்குச் சந்தைத் தரகர்:

வாடிக்கையாளருக்குத் தந்த உறுதிமொழியை மறுதலிக்கும் பொருட்டு மோசடியில் ஈடுபடுவர்.

(6) களவாளிகள்:

இவர்களின் தொழிலே களவுதான். இவர்கள் தொழில்நுட்பம் கற்ற களவாளிகள். கடன் அட்டை, பற்று அட்டை விவரங்களைத் திருடிப் பணத்தை மோசடி செய்வார்கள்.

(7) ஒற்றர்கள்:

எதிரி நாட்டு இராணுவ மற்றும் பிற இரகசியத் தகவல்களை அறிந்து கொள்ளப் பாதுகாப்பு அரண்களை உடைத்து அத்துமீறுவர்.

(8) தீவிரவாதிகள்:

எதிரி நாட்டில் குழப்பம் விளைவிக்கும் நோக்கில் இவர்களின் தாக்குதல் அமையும்.

5.1.3 தாக்குதலின் வகைகள்

    மேற்கண்டோர் நிகழ்த்தும் கணிப்பொறி முறைமை மீதான தாக்குதல்களை இருபெரும் பிரிவுகளில் அடக்கலாம்: (1) முனைப்பிலாத் தாக்குதல் (Passive Attack). (2) முனைப்புறு தாக்குதல் (Active Attack). அவை பற்றிக் காண்போம்.

(1) முனைப்பிலாத் தாக்குதல்:

சேமிக்கப்பட்டுள்ள தரவுகளைக் களவாடுவது, தகவல் பரிமாற்றங்களை ஒட்டுக் கேட்பது, கண்காணிப்பது ஆகியவற்றைக் குறிக்கும். இத்தகைய தாக்குதலின் நோக்கம் இரகசியத் தகவல்களை அறிந்து கொள்வதே ஆகும். முனைப்பிலாத் தாக்குதல் இரு வகைப்படும். (அ) தரவுத் தளத்திலும், மின்னஞ்சல் மற்றும் கோப்புப் பரிமாற்றங்களிலும் ஊடுருவி இரகசியத் தகவல்களை அறிந்து கொள்வது. (ஆ) தகவல் போக்குவரத்தைத் தொடர்ந்து கண்காணித்து, பகுத்தாய்ந்து இரகசியத் தகவலை அறிந்து கொள்ள முயல்வது. கணிப்பொறிப் பிணையங்கள் வழியான தகவல்கள் மறையாக்கம் செய்யப்பட்டே அனுப்பப்படுகின்றன. அவற்றை ஒட்டுக் கேட்டாலும் புரிந்து கொள்ள முடியாது. ஆனால் தொடர்ந்து கண்காணித்து, பரிமாறிக் கொள்ளப்படும் தகவல்களைப் பகுத்தாய்ந்து, தகவலின் தன்மையை ஓரளவு ஊகிக்க முடியும். முனைப்பிலாத் தாக்குதல்களைக் கண்டறிவது கடினம். ஆனால் அவை நடைபெற முடியாமல் பாதுகாப்பது எளிது.

(2) முனைப்புறு தாக்குதல்:

பரிமாறிக் கொள்ளப்படும் தகவல்களை மாற்றியமைப்பது, மெய்யான தகவலை மறைத்துப் போலியான தகவலை அனுப்பி வைப்பது ஆகியவற்றைக் குறிக்கிறது. இவற்றை நான்கு உட்பிரிவுகளில் அடக்கலாம். (அ) ஒருவரின் பயனர் பெயர், கடவுச்சொல்லைத் திருடி, அவர் பெயரில் பொய்யான தகவலை அனுப்பி வைப்பது. (ஆ) குறிப்பிட்ட பரிமாற்றத் தகவலைத் திருடி, அதே தகவலை வேறொரு சமயத்தில் மீண்டும் அனுப்பிக் குழப்பம் ஏற்படுத்துவது. (இ) பரிமாறிக் கொள்ளப்படும் தகவலைத் தாமதப் படுத்துவது, வரிசையை மாற்றுவது, திருத்தியமைப்பது - அதன்மூலம் விரும்பத் தகாத விளைவுகளை ஏற்படுத்துவது. (ஈ) குறிப்பிட்ட இலக்குக்கு அனுப்பப்படும் தகவலை முற்றிலுமாகத் தடுப்பது, போலியான தகவல் போக்குவரத்தின் மூலம் பிணையத்தின் சுமையை மிகுத்து அல்லது பிணையத்தை முழுவதுமாகச் செயலிழக்கச் செய்து, பயனர்களுக்குக் கிடைக்கும் இயல்பான சேவைகளைத் தடுத்துச் சீர்குலைப்பது. இத்தகைய தாக்குதல் ‘சேவை மறுப்புத் தாக்குதல்’ (Denial of Service Attack) எனப்படும். முனைப்புறு தாக்குதல்களைக் கண்டறிவது எளிது. ஆனால் அவை நடைபெற முடியாமல் தடுப்பது கடினம்

5.1.4 பாதுகாப்புச் சேவைகள் (Security Services)

    கணிப்பொறிப் பிணையம் வழியான தகவல் பரிமாற்றத்தின் ஒவ்வொரு கட்டத்திலும் பிணையத்தின் அங்கமாயுள்ள வன்பொருள், மென்பொருள் கருவிகளில் மேற்கொள்ள வேண்டிய பாதுகாப்பு நடவடிக்கைகள் என்னென்ன என்பது, பிணையத் தொழில்நுட்ப வரையறுப்புகளில் விரிவாக விளக்கப்பட்டுள்ளன. அவை ’பாதுகாப்புச் சேவைகள்’ என்று அழைக்கப் படுகின்றன. பாதுகாப்புச் சேவைகளை ஐந்தாக வகைப்படுத்தலாம்:

(1) ஒப்புச்சான்று (Authentication):

தகவல் பரிமாற்றத்தில் ஈடுபட்டுள்ளோர் அதாவது தகவலை அனுப்புநர், பெறுநர் இன்னார்தாம் என ஒப்புச்சான்று அளிப்பது. தகவல் பரிமாற்றத்தில் ஈடுபடுவோர் அனுமதி பெற்ற பயனர்கள்தாம், அத்துமீறிகள் அல்ல என்பதை இச்சேவை உறுதி செய்கிறது.

(2) அணுகல் கட்டுப்பாடு (Access Control):

தகவல் தொடர்பு தொடுப்புகள் வழியாகப் பிணையத்தை அணுகுவோரை அடையாளம் கண்டு அனுமதிப்பது. அத்துமீறி நுழைவோர் தடுக்கப்படுவர். ஒவ்வொரு பயனருக்கும் உரிய உரிமைகள், சலுகைகள் இவையென வரையறுக்கப்படுகின்றது.

(3) தரவு இரகசியம் (Data Confidentiality):

தகவல் பரிமாற்றத்தை முனைப்பிலாத் தாக்குதல்களிலிருந்து பாதுகாத்தல். தகவலை மறையாக்கம் செய்து அனுப்புதல். தகவலின் அனுப்புமுனை, இலக்குமுனை, கால அளவு, நீளம் ஆகியவற்றை ஊடுருவிகள் அறிந்து கொள்ளாதவாறு பாதுகாப்புச் செய்தல் ஆகியவை இச்சேவையில் அடங்கும்.

(4) தரவு நம்பகம் (Data Integrity):

தகவல் அனுப்பப்பட்டவாறே பெறப்பட்டுள்ளது என்பதைக் குறிக்கிறது. தகவல் போக்குவரத்தின்போது தரவு மிகைப்பு (Duplication), இடைச்செருகல், திருத்தம், வரிசைமாற்றம், மறு அனுப்புகை செய்யப்படவில்லை என்பதை இச்சேவை உறுதி செய்கிறது.

(5) மறுதலிப்பின்மை (Nonrepudiation):

தகவலை அனுப்பியவர் தான் அனுப்பவில்லை என்றோ, தகவலைப் பெற்றவர் தான் பெறவில்லை என்றோ மறுதலிக்க இயலாதவாறு இச்சேவை பாதுகாப்பு அளிக்கிறது. ’இவர்தான் அனுப்பினார்’ எனத் தகவலைப் பெறுபவர் நிரூபிக்க முடியும். அதேபோல, ’தகவலைப் பெற்றவர் இவர்தான்’ என்பதை அனுப்பியவர் நிரூபிக்க முடியும்.

5.1.5 பாதுகாப்பு வழிமுறைகள் (Security Mechanisms)

    பாதுகாப்புச் சேவைகளைப் போலவே பாதுகாப்பு வழிமுறைகளும் பிணையத் தொழில்நுட்பத்தின் பாதுகாப்புச் சேவைகளில் வரையறுக்கப்பட்டுள்ளன. தகவல் பரிமாற்றத்தின் வெவ்வேறு கட்டங்களில் பின்பற்ற வேண்டிய பாதுகாப்பு வழிமுறைகள் சிலவற்றைக் காண்போம்:

(1) மறைக்குறியாக்கம் (Encipherment):

கணிதத் தீர்வுநெறிகளைப் (Mathematical Algorithms) பயன்படுத்தித் தகவலைப் பிறர் புரிந்து கொள்ள முடியாதவாறு மறையாக்கம் (Encryption) செய்வது. அதே தீர்வுநெறியையும் மறையாக்கத் திறவிகளையும் (Encryption Keys) பயன்படுத்தித் தகவலை மறைவிலக்கம் (Decryption) செய்து மெய்யான தகவலைப் பெற வேண்டும்.

(2) துடிமக் கையொப்பம் (Digital Signature):

தகவலைப் பெறுபவர் தகவலை அனுப்பியவர் இவர்தான் என்பதை உறுதி செய்து கொள்வதற்காகத் தகவலுடன் இணைக்கப்படும் இரகசியக் குறிமுறைத் ’துடிமக் கையொப்பம்’ எனப்படுகிறது.

(3) அணுகல் கட்டுப்பாடு (Access Control):

பயனர் பெயர், கடவுச்சொல், கைரேகை மற்றும் பிற அணுகல் பாதுகாப்பு ஏற்பாடுகளை உள்ளடக்கியது.

(4) தரவு நம்பகம் (Data Integrity):

தகவல் மிகைப்பு, இடைச்செருகல், திருத்தம், மறுவரிசையமைப்பு, மறு அனுப்புகை இல்லாமல் தகவல் அனுப்பப்பட்டுள்ளது என்பதை உறுதி செய்யக்கூடிய தரவுத் தொகுதியை மெய்யான தகவலோடு சேர்த்து அனுப்பி வைப்பது.

(5) ஒப்புச்சான்று பரிமாற்றம் (Authentication Exchange):

இரு முனைகளுக் கிடையே தகவல் பரிமாற்றம் நடத்தி, அனுப்பியவரும், பெறுபவரும் இன்னார்தாம் என்பதை உறுதிப்படுத்திக் கொள்வது.

(6) போக்குவரத்து இடையடைப்பு (Taffic Padding):

தகவலை இடைமறித்துப் பகுப்பாய்வு செய்து மெய்யான தகவலை அத்துமீறிகள் அறிந்து கொள்ள முடியாதவாறு, தகவலின் இடையிடையே வெற்றுத் தரவுகளை - பெரும்பாலும் சுழியங்களை (zeroes) - இட்டு நிரப்புவது. பெறுமுனையில் வெற்றுத் தகவல்கள் நீக்கப்பட்டு, மெய்யான தகவல் பெறப்படும்.

(7) திசைவிப்புக் கட்டுப்பாடு (Routing Control):

தகவலின் இரகசியமான தரவுப் பகுதி பயணிக்கப் பாதுகாப்பான திசைவழியைத் தேர்ந்தெடுத்து அனுப்புதல். பாதுகாப்புக்குக் குந்தகம் ஏற்பட்டுள்ளது என ஐயம் ஏற்படின் திசைவழியை மாற்றிக் கொள்ளவும் வழிவகை செய்தல்.

(8) பாதுகாப்புச் சிட்டை (Security Label):

மூலச் செய்தியில் ’பாதுகாப்புச் சிட்டை’ எனப்படும் இரகசியக் குறிமுறையை ஒட்டவைத்து அனுப்புதல்.

(9) நிகழ்வுக் கண்டுபிடிப்பு (Event Detection):

பாதுகாப்பு தொடர்பான அத்துமீறல் நிகழ்வுகளைக் கண்காணித்தல், கண்டறிதல்.

(10) பாதுகாப்புத் தணிக்கை (Security Audit):

கணிப்பொறி முறைமையில் நடைபெறும் பாதுகாப்பு தொடர்பான அனைத்து நிகழ்வுகளையும் பதிவு செய்து, குறிப்பிட்ட காலக்கெடுவுகளில் தணிக்கை மேற்கொள்வதன் மூலம், அத்துமீறல்களை அறிந்து கொள்ள முடியும்.