Foydalanishni boshqarishning DAC usuli
. Foydalanishni boshqarishning
mazkur usuli tizimdagi shaxsiy aktivlami himoyalash uchun qo‘llaniladi. Bunga
ko‘ra obyekt egasining o‘zi undan foydalanish huquqi va foydalanish turini
belgilaydi.
DAC da subyektlar tomonidan obyektlami boshqarish subyektlaming
identifikatsiya axborotiga asoslanadi. Masalan, UNIX operatsion tizimida fayllami
himoyalashda, fayl egasi qolganlarga o ‘qish (read, r), yozish (write, w) va bajarish
(execute, x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy holda
DAC usuli aksariyat operatsion tizimlarda foydalanishlami boshqarishda
foydalaniladi.
Masalan, 11.2-rasmda DAC usulini Windows OTlarida foydalanish holati
keltirilgan.
11.2-rasm. Windosw OT da DACdan foydalanish
Biroq, DACning jiddiy xavfsizlik muammosi - ma’lumotlardan foydalanish
huquqiga ega bo‘lmagan subyektlar tomonidan foydalanilmasligi to‘liq
kafolatlanmaganligi. Bu holat ma’lumotlardan foydalanish huquqiga ega bo‘lgan
biror bir foydalanuvchining ma’lumot egasining ruxsatisiz foydalanish huquqiga ega
bo‘lmagan foydalanuvchilarga yuborish imkoniyati mavjudligida namoyon bo‘ladi.
Bundan tashqari, DACning yana bir kamchiligi tizimdagi barcha obyektlar ulardan
foydalanishni belgilaydigan suyektlarga tegishli ekanligi. Amalda esa, tizimdagi
barcha ma’lumotlar shaxslarga tegishli bo‘lmay, balki butun tizimga tegishli bo‘ladi.
Bularga yaqqol misol sifatida axborot tizimini keltirish mumkin.
DACning klassik tizimida, dastlab obyekt hech kimga biriktirilmagan bo‘lsa,
“yopiq” obyekt deb ataladi. Agar obyekt foydalanuvchiga biriktirilgan va ulardan
foydalanish bo‘yicha cheklovlar o‘matilgan bo‘lsa, “ochiq” obyekt deb ataladi.
Foydalanishni boshqarishning MAC usuli
. MAC usuli bo‘yicha
foydalanishni boshqarish xavfsizlik siyosati ma’muriga markazlashgan holda
boshqarishni amalga oshirish imkoniyatini beradi. Bunda foydalanuvchi xavfsizlik
siyosatini o‘zgartira olmaydi. DAC usulida esa obyektning egasi xavfsizlik
siyosatini quradi va kimga foydalanish uchun ruxsat berilishini belgilaydi.
Foydalanishni boshqarishning MAC usuli xavfsizlik siyosati ma’muriga
tashkilot bo‘ylab xavfsizlik siyosatini amalga oshirish imkoniyatini beradi. MAC
usulida foydalanuvchilar tasodifan yoki atayin ushbu siyosatni bekor qila
olmaydilar. Bu esa xavfsizlik ma’muriga barcha foydalanuvchilar uchun bajarilishi
kafolatlangan markazlashgan siyosatni belgilashga imkon beradi.
MAC usulida foydalanishni boshqarish subyektlar va obyektlami tasniflashga
asoslanadi. Tizimning har bir subyekti va obyekti bir nechta xavfsizlik darajasiga
ega bo‘ladi. Obyektning xavfsizlik darajasi tashkilotda obyektning muhimlik
darajasi bilan yoki yo‘qolgan taqdirda keltiradigan zarar miqdori bilan
xarakterlanadi. Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan
belgilanadi. Oddiy holda xavfsizlik darajasi uchun: “mutlaqo maxfly” (MM),
“maxfly” (M), “konfidensial” (K) va “ochiq” (O) belgilar tayinlanadi. Bu yerda,
MM>M>K>0.
MAC asosida axborot maxflyligini ta’minlash. Agar obyekt va subyektning
xavfsizlik darajalari orasidagi bir qancha bog‘liqlik shartlari bajarilsa, u holda
subyekt obyektdan foydalanish huquqiga ega bo‘ladi. Xususan, quyidagi shartlar
bajarilish kerak (11.3-rasm):
agar subyektning xavfsizlik darajasida obyektning xavfsizlik darajasi
mavjud bo‘Isa, o‘qish uchun ruxsat beriladi;
agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasida
mavjud bo‘Isa, yozishga ruxsat beriladi.
Ushbu modelda foydalanuvchi va subyekt tushunchalari bir - biridan
farqlanadi. Xususan, xavfsizlik darajasi subyektga berilsa, foydalanuvchi esa u yoki
bu vaqtda subyekt nomidan ish qilishi mumkin bo‘ladi. Shuning uchun, turli hollarda
bir foydalanuvchi turli subyekt nomidan ish ko‘rishi mumkin bo‘ladi. Biroq, biror
aniq vaqtda foydalanuvchi faqat bitta subyekt nomidan ish qilishi muhim
hisoblanadi. Bu axborotni yuqori sathdan quyi sathga uzatilmasligini ta’minlaydi.
11.3-rasm. Axborot xavfsizligini ta’minlash uchun axborot oqimini boshqarish
sxemasi
Yuqorida keltirilgan modelni muvofiqligini shubha ostiga qo‘yadigan ikkita
noaniq fikr mavjud:
1.Quyi sathli foydalanuvchi barcha yuqori sathli obyektlarga yozishi mumkin.
Bu holda u o‘zining mavjud obyektini ham qayta yozishi mumkin va bu o‘chirishga
teng bo‘ladi. Ushbu kamchilikni yuqori darajadagi yozishni taqiqlash orqali bartaraf
etish mumkin. Ushbu sxema uchun qoidalar quyidagicha bo‘ladi:
agar subyektning xavfsizlik darajasi o‘zida obyektning xavfsizlik
darajasini qamragan bo‘Isa, o‘qish uchun ruxsat beriladi;
agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasiga teng
bo‘Isa, yozishga ruxsat beriladi.
2. Sxemadan ko‘rinib turibdiki, yuqori darajali ishonchga ega
foydalanuvchilar xavfsizlik darajasi past bo‘lgan obyektlami o‘zgartira olmaydi.
Ushbu muammoni bartaraf etishda foydalanuvchi turli hujjatlardan foydalanish
uchun turli darajadagi ishonchga ega bo‘lgan subyektlar nomidan ish ko‘rishi
mumkin. Ya’ni, “M” darajasiga ega foydalanuvchi o‘zi, “K” va “O” ishonch
darajasidagi subyektlar nomidan ish ko‘rishi mumkin.
Axborot ishonchligini ta ’minlash. Axborot konfidensialligini ta’minlashdan
tashqari, ba’zida axborot ishonchligini ta’minlash ham talab etiladi. Ya’ni,
obyektning ishonchlik darajasi qanchalik yuqori bo‘Isa, subyektning ishonchligi
ham shunchalik yuqori va subyektning xavfsizlik darajasi qanchalik yuqori bo‘Isa,
u tizimga shuncha ishonchli 100 ma’lumotlami kiritishi mumkin. Mazkur model
uchun yuqorida keltirilgan qoidalami quyidagicha o‘zgartirish mumkin:
agar subyektning xavfsizlik daraj asida obyektning xavfsizlik darajasi mavjud
bo‘lsa, yozish uchun ruxsat beriladi;
agar subyektning xavfsizlik darajasi obyektning xavfsizlik daraj asida bo‘lsa,
o‘qishga ruxsat beriladi.
Ko‘rinib turibdiki, 11.3-rasmda keltirilgan holatlarning o‘mi almashgan
(11.4-rasm). MAC usulida xavfsizlik darajalaridan foydalanish bilan bir qatorda
obyekt va subyektlaming kategoriyalaridan ham foydalanish mumkin. Bu holda
xavfsizlik daraj asidan tashqari har bir obyekt va subyektga tegishli bo‘lgan toifalar
ro‘yxati berilishi mumkin. Obyektning kategoriyalari ushbu obyekt ishlatiladigan
joylami tavsiflash uchun ishlatilsa, subyektning kategoriyasi esa uning qaysi sohada
ishlashini tavsiflaydi. Bunday tizim foydalanishlami yanada batafsil boshqarish
imkoniyatini beradi.
11.4-rasm. Ma’lumotlar ishonchligini ta’minlash uchun axborot oqimini
boshqarish sxemasi
Foydalanishni boshqarishning RBAC usuli. RBAC usulida foydalanishni
boshqarishning asosiy g‘oyasi tizimning ishlash prinsipini tashkilotdagi kadrlar
vazifasini haqiqiy ajratilishiga maksimal daraj ada yaqinlashtirishdir.
RBAC usulida foydalanuvchini axborotdan foydalanilishini boshqarish uning
tizimdagi harakat xiliga asoslanadi. Ushbu usuldan 101 foydalanish tizimdagi
rollami aniqlashni nazarda tutadi. Rol tushunchasini muayyan faoliyat turi bilan
bog‘liq harakatlar va majburiyatlar to‘plami sifatida qarash mumkin. Shunday qilib,
har bir obyekt uchun har bir foydalanuvchining foydalanish ruxsatini belgilash
o‘miga, rol uchun obyektlardan foydalanish ruxsatini ko‘rsatish yetarli. Bunda,
foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. Biror rolni
bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega bo‘ladi.
Umuman olganda, foydalanuvchi turli vaziyatlarda turli rollami bajarishi
mumkin. Xuddi shu rolni ba’zida bir nechta foydalanuvchilar bir vaqtning o‘zida
ishlatishlari mumkin. Ba’zi tizimlarda foydalanuvchiga bir vaqtning o‘zida bir
nechta rollami bajarishga mxsat berilsa, boshqalarida har qanday vaqtda bir-biriga
zid bo‘lmagan bir yoki bir nechta rollarga cheklov mavjud bo‘lishi mumkin.
RBAC usulining asosiy afzalliklari quyidagilar:
1.
| 