• Foydalanishni boshqarishning MAC usuli
  • Foydalanishni boshqarishning DAC usuli




    Download 0,64 Mb.
    Pdf ko'rish
    bet2/3
    Sana07.10.2024
    Hajmi0,64 Mb.
    #273846
    1   2   3
    Bog'liq
    11-Ma’ruza Mavzu Ma’lumotlardan foydalanishni mantiqiy boshqari

    Foydalanishni boshqarishning DAC usuli
    . Foydalanishni boshqarishning 
    mazkur usuli tizimdagi shaxsiy aktivlami himoyalash uchun qo‘llaniladi. Bunga 
    ko‘ra obyekt egasining o‘zi undan foydalanish huquqi va foydalanish turini 
    belgilaydi.
    DAC da subyektlar tomonidan obyektlami boshqarish subyektlaming 
    identifikatsiya axborotiga asoslanadi. Masalan, UNIX operatsion tizimida fayllami 
    himoyalashda, fayl egasi qolganlarga o ‘qish (read, r), yozish (write, w) va bajarish 
    (execute, x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy holda 
    DAC usuli aksariyat operatsion tizimlarda foydalanishlami boshqarishda 
    foydalaniladi. 
    Masalan, 11.2-rasmda DAC usulini Windows OTlarida foydalanish holati 
    keltirilgan. 
    11.2-rasm. Windosw OT da DACdan foydalanish 
    Biroq, DACning jiddiy xavfsizlik muammosi - ma’lumotlardan foydalanish 
    huquqiga ega bo‘lmagan subyektlar tomonidan foydalanilmasligi to‘liq 
    kafolatlanmaganligi. Bu holat ma’lumotlardan foydalanish huquqiga ega bo‘lgan 
    biror bir foydalanuvchining ma’lumot egasining ruxsatisiz foydalanish huquqiga ega 


    bo‘lmagan foydalanuvchilarga yuborish imkoniyati mavjudligida namoyon bo‘ladi. 
    Bundan tashqari, DACning yana bir kamchiligi tizimdagi barcha obyektlar ulardan 
    foydalanishni belgilaydigan suyektlarga tegishli ekanligi. Amalda esa, tizimdagi 
    barcha ma’lumotlar shaxslarga tegishli bo‘lmay, balki butun tizimga tegishli bo‘ladi. 
    Bularga yaqqol misol sifatida axborot tizimini keltirish mumkin. 
    DACning klassik tizimida, dastlab obyekt hech kimga biriktirilmagan bo‘lsa, 
    “yopiq” obyekt deb ataladi. Agar obyekt foydalanuvchiga biriktirilgan va ulardan 
    foydalanish bo‘yicha cheklovlar o‘matilgan bo‘lsa, “ochiq” obyekt deb ataladi.
    Foydalanishni boshqarishning MAC usuli
    . MAC usuli bo‘yicha 
    foydalanishni boshqarish xavfsizlik siyosati ma’muriga markazlashgan holda 
    boshqarishni amalga oshirish imkoniyatini beradi. Bunda foydalanuvchi xavfsizlik 
    siyosatini o‘zgartira olmaydi. DAC usulida esa obyektning egasi xavfsizlik 
    siyosatini quradi va kimga foydalanish uchun ruxsat berilishini belgilaydi. 
    Foydalanishni boshqarishning MAC usuli xavfsizlik siyosati ma’muriga 
    tashkilot bo‘ylab xavfsizlik siyosatini amalga oshirish imkoniyatini beradi. MAC 
    usulida foydalanuvchilar tasodifan yoki atayin ushbu siyosatni bekor qila 
    olmaydilar. Bu esa xavfsizlik ma’muriga barcha foydalanuvchilar uchun bajarilishi 
    kafolatlangan markazlashgan siyosatni belgilashga imkon beradi.
    MAC usulida foydalanishni boshqarish subyektlar va obyektlami tasniflashga 
    asoslanadi. Tizimning har bir subyekti va obyekti bir nechta xavfsizlik darajasiga 
    ega bo‘ladi. Obyektning xavfsizlik darajasi tashkilotda obyektning muhimlik 
    darajasi bilan yoki yo‘qolgan taqdirda keltiradigan zarar miqdori bilan 
    xarakterlanadi. Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan 
    belgilanadi. Oddiy holda xavfsizlik darajasi uchun: “mutlaqo maxfly” (MM), 
    “maxfly” (M), “konfidensial” (K) va “ochiq” (O) belgilar tayinlanadi. Bu yerda, 
    MM>M>K>0.
    MAC asosida axborot maxflyligini ta’minlash. Agar obyekt va subyektning 
    xavfsizlik darajalari orasidagi bir qancha bog‘liqlik shartlari bajarilsa, u holda 
    subyekt obyektdan foydalanish huquqiga ega bo‘ladi. Xususan, quyidagi shartlar 
    bajarilish kerak (11.3-rasm):

    agar subyektning xavfsizlik darajasida obyektning xavfsizlik darajasi 
    mavjud bo‘Isa, o‘qish uchun ruxsat beriladi; 

    agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasida 
    mavjud bo‘Isa, yozishga ruxsat beriladi.
    Ushbu modelda foydalanuvchi va subyekt tushunchalari bir - biridan 
    farqlanadi. Xususan, xavfsizlik darajasi subyektga berilsa, foydalanuvchi esa u yoki 


    bu vaqtda subyekt nomidan ish qilishi mumkin bo‘ladi. Shuning uchun, turli hollarda 
    bir foydalanuvchi turli subyekt nomidan ish ko‘rishi mumkin bo‘ladi. Biroq, biror 
    aniq vaqtda foydalanuvchi faqat bitta subyekt nomidan ish qilishi muhim 
    hisoblanadi. Bu axborotni yuqori sathdan quyi sathga uzatilmasligini ta’minlaydi. 
    11.3-rasm. Axborot xavfsizligini ta’minlash uchun axborot oqimini boshqarish 
    sxemasi 
    Yuqorida keltirilgan modelni muvofiqligini shubha ostiga qo‘yadigan ikkita 
    noaniq fikr mavjud:
    1.Quyi sathli foydalanuvchi barcha yuqori sathli obyektlarga yozishi mumkin. 
    Bu holda u o‘zining mavjud obyektini ham qayta yozishi mumkin va bu o‘chirishga 
    teng bo‘ladi. Ushbu kamchilikni yuqori darajadagi yozishni taqiqlash orqali bartaraf 
    etish mumkin. Ushbu sxema uchun qoidalar quyidagicha bo‘ladi:

    agar subyektning xavfsizlik darajasi o‘zida obyektning xavfsizlik 
    darajasini qamragan bo‘Isa, o‘qish uchun ruxsat beriladi;

    agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasiga teng 
    bo‘Isa, yozishga ruxsat beriladi. 
    2. Sxemadan ko‘rinib turibdiki, yuqori darajali ishonchga ega 
    foydalanuvchilar xavfsizlik darajasi past bo‘lgan obyektlami o‘zgartira olmaydi. 
    Ushbu muammoni bartaraf etishda foydalanuvchi turli hujjatlardan foydalanish 
    uchun turli darajadagi ishonchga ega bo‘lgan subyektlar nomidan ish ko‘rishi 


    mumkin. Ya’ni, “M” darajasiga ega foydalanuvchi o‘zi, “K” va “O” ishonch 
    darajasidagi subyektlar nomidan ish ko‘rishi mumkin.
    Axborot ishonchligini ta ’minlash. Axborot konfidensialligini ta’minlashdan 
    tashqari, ba’zida axborot ishonchligini ta’minlash ham talab etiladi. Ya’ni, 
    obyektning ishonchlik darajasi qanchalik yuqori bo‘Isa, subyektning ishonchligi 
    ham shunchalik yuqori va subyektning xavfsizlik darajasi qanchalik yuqori bo‘Isa, 
    u tizimga shuncha ishonchli 100 ma’lumotlami kiritishi mumkin. Mazkur model 
    uchun yuqorida keltirilgan qoidalami quyidagicha o‘zgartirish mumkin:

    agar subyektning xavfsizlik daraj asida obyektning xavfsizlik darajasi mavjud 
    bo‘lsa, yozish uchun ruxsat beriladi;

    agar subyektning xavfsizlik darajasi obyektning xavfsizlik daraj asida bo‘lsa, 
    o‘qishga ruxsat beriladi.
    Ko‘rinib turibdiki, 11.3-rasmda keltirilgan holatlarning o‘mi almashgan 
    (11.4-rasm). MAC usulida xavfsizlik darajalaridan foydalanish bilan bir qatorda 
    obyekt va subyektlaming kategoriyalaridan ham foydalanish mumkin. Bu holda 
    xavfsizlik daraj asidan tashqari har bir obyekt va subyektga tegishli bo‘lgan toifalar 
    ro‘yxati berilishi mumkin. Obyektning kategoriyalari ushbu obyekt ishlatiladigan 
    joylami tavsiflash uchun ishlatilsa, subyektning kategoriyasi esa uning qaysi sohada 
    ishlashini tavsiflaydi. Bunday tizim foydalanishlami yanada batafsil boshqarish 
    imkoniyatini beradi.


    11.4-rasm. Ma’lumotlar ishonchligini ta’minlash uchun axborot oqimini 
    boshqarish sxemasi 
    Foydalanishni boshqarishning RBAC usuli. RBAC usulida foydalanishni 
    boshqarishning asosiy g‘oyasi tizimning ishlash prinsipini tashkilotdagi kadrlar 
    vazifasini haqiqiy ajratilishiga maksimal daraj ada yaqinlashtirishdir.
    RBAC usulida foydalanuvchini axborotdan foydalanilishini boshqarish uning 
    tizimdagi harakat xiliga asoslanadi. Ushbu usuldan 101 foydalanish tizimdagi 
    rollami aniqlashni nazarda tutadi. Rol tushunchasini muayyan faoliyat turi bilan 
    bog‘liq harakatlar va majburiyatlar to‘plami sifatida qarash mumkin. Shunday qilib, 
    har bir obyekt uchun har bir foydalanuvchining foydalanish ruxsatini belgilash 
    o‘miga, rol uchun obyektlardan foydalanish ruxsatini ko‘rsatish yetarli. Bunda, 
    foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. Biror rolni 
    bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega bo‘ladi.
    Umuman olganda, foydalanuvchi turli vaziyatlarda turli rollami bajarishi 
    mumkin. Xuddi shu rolni ba’zida bir nechta foydalanuvchilar bir vaqtning o‘zida 
    ishlatishlari mumkin. Ba’zi tizimlarda foydalanuvchiga bir vaqtning o‘zida bir 
    nechta rollami bajarishga mxsat berilsa, boshqalarida har qanday vaqtda bir-biriga 
    zid bo‘lmagan bir yoki bir nechta rollarga cheklov mavjud bo‘lishi mumkin.
    RBAC usulining asosiy afzalliklari quyidagilar:
    1. 

    Download 0,64 Mb.
    1   2   3




    Download 0,64 Mb.
    Pdf ko'rish