Subyektlar
Obyektlar
A
x
bor
ot
oq
im
i
Yo
zi
sh
Yo
zi
sh
O
‘q
ish
O
‘q
ish
O
‘q
ish
4.6-rasm. Ma’lumotlar ishonchligini ta’minlash uchun axborot
oqimini boshqarish sxemasi
Foydalanishni boshqarishning RBAC usuli. RBAC usulida
foydalanishni boshqarishning asosiy g‘oyasi tizimning ishlash tamoyilini
tashkilotdagi kadrlar vazifasini haqiqiy ajratilishiga maksimal darajada
yaqinlashtirishdir.
RBAC usulida foydalanuvchini axborotdan foydalanilishini
boshqarish uning tizimdagi harakat xiliga asoslanadi. Ushbu usuldan
102
foydalanish tizimdagi rollarni aniqlashni nazarda tutadi. Rol
tushunchasini muayyan faoliyat turi bilan bog‘liq harakatlar va
majburiyatlar to‘plami sifatida qarash mumkin. Shunday qilib, har bir
obyekt uchun har bir foydalanuvchining foydalanish ruxsatini belgilash
o‘rniga, rol uchun obyektlardan foydalanish ruxsatini ko‘rsatish yetarli.
Bunda, foydalanuvchilar o‘z navbatida o‘zlarining rollarini
ko‘rsatishadi. Biror rolni bajaruvchi foydalanuvchi rol uchun
belgilangan foydalanish huquqiga ega bo‘ladi.
Umuman olganda, foydalanuvchi turli vaziyatlarda turli rollarni
bajarishi mumkin. Xuddi shu rolni ba’zida bir nechta foydalanuvchilar
bir vaqtning o‘zida ishlatishlari mumkin. Ba’zi tizimlarda
foydalanuvchiga bir vaqtning o‘zida bir nechta rollarni bajarishga
ruxsat berilsa, boshqalarida har qanday vaqtda bir-biriga zid bo‘lmagan
bir yoki bir nechta rollarga cheklov mavjud bo‘lishi mumkin.
RBAC usulining asosiy afzalliklari quyidagilar:
1. Ma’murlashning osonligi. Foydalanishlarni boshqarishning
klassik modellarida obyekt bo‘yicha muayyan amallarni bajarish
huquqlari har bir foydalanuvchi yoki foydalanuvchilar guruhi uchun
ro‘yxatga olingan bo‘ladi. Rolli modelda rol va foydalanuvchi
tushunchalarini ajratish vazifasini ikki qismga ajratish imkonini beradi:
foydalanuvchi rolini aniqlash va rol uchun obyektga bo‘lgan ruxsatni
aniqlash. Ushbu yondashuv, foydalanuvchi javobgarlik sohasini
o‘zgartirganida undan eski rolni olib tashlash va yangi vazifasiga mos
keladigan rolni berishning o‘zi boshqaruv jarayonini sezilarli darajada
soddalashtiradi. Agar foydalanish huquqi bevosita foydalanuvchi va
obyektlar o‘rtasida aniqlansa, foydalanuvchining yangi huquqlarini
qayta tayinlash muolajasi ko‘p harakatlarni talab etar edi.
2. Rollar iyerarxiyasi. Rollarning haqiqiy iyerarxiyasini yaratish
orqali real biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish
mumkin. Har bir rol o‘z imtiyozlari bilan bir qatorda boshqa rollarning
imtiyozlariga ega bo‘lishi mumkin. Ushbu yondashuv tizimni
boshqarishni sezilarli darajada osonlashtiradi.
3. Eng kam imtiyoz tamoyili. Rolli model foydalanuvchiga tizimda
kerakli vazifalarni bajarishga imkon beruvchi eng kichik rol bilan
ro‘yxatdan o‘tish imkonini beradi. Ko‘plab rollarga ega
foydalanuvchilar aniq bir vazifani bajarishi uchun o‘zining barcha
imtiyozlaridan foydalanishi har doim ham talab etilmaydi.
Eng kam imtiyoz tamoyili tizimdagi ma’lumotlarning ishonchligini
ta’minlash uchun juda muhimdir. Bu foydalanuvchiga imkoniyatlari
103
orasidan faqat muayyan vazifani bajarishi uchun kerak bo‘lganini
berilishini talab etadi. Buning uchun rol maqsadini aniqlash, uni bajarish
uchun zarur bo‘lgan imtiyozlarni to‘plash va bu asosida foydalanuvchi
imtiyozlarini cheklash talab etiladi. Joriy vazifani bajarish uchun talab
qilinmaydigan foydalanuvchi imtiyozlarini rad etish tizimni xavfsizlik
siyosatini buzilishidan saqlaydi.
4.Majburiyatlarni ajratish. Tizimda foydalanishlarni
boshqarishning yana bir muhim tamoyillaridan biri – vazifalarni
taqsimlashdir. Firibgarlikni oldini olish uchun bir shaxs tomonidan
ko‘plab vazifalarni bajarish talab etilmaydigan holatlar amalda
yetarlicha mavjud. Bunga misol sifatida bir kishi tomonidan to‘lov
ma’lumotini yaratish va uni tasdiqlashni keltirish mumkin. Shubhasiz,
bu amallarni bir shaxs bajara olmaydi. Rollarga asoslangan usul esa
ushbu muammoni maksimal darajada osonlik bilan hal qilishga yordam
beradi.
Rasman RBAC modelini quyidagicha tasvirlash mumkin
(4.7-rasm):
Foydala
nuvchi
Rollar
Imtiyoz
lar
Ma’mur
roli
Ma’mur
imtiyoz
lari
Cheklov
Seans
Rollar
iyerarxiyasi
Foydalanuvchiga
berilgan rol
Berilgan imtiyoz
Foydalanuvchiga
berilgan rol
Berilgan
imtiyoz
4.7-rasm. RBAC modelining tasviri
104
Model quyidagi tarkibga ega: foydalanuvchilar, rollar va
imtiyozlar. Foydalanuvchi inson yoki uning nomidan ish ko‘ruvchi
dastur bo‘lishi mumkin. Rol foydalanuvchining tashkilotdagi faoliyati
turi bo‘lsa, imtiyoz tizimning bir yoki bir nechta obyektlaridan
foydalanishi uchun aniqlangan ruxsat. Tasvirdagi “rollarni
foydalanuvchilarga tayinlash” va “imtiyozlarni tayinlash” munosabati
ko‘pgina turga tegishli. Ya’ni, foydalanuvchi bir nechta rollarga ega
bo‘lishi va bir nechta foydalanuvchi bir rolda bo‘lishi mumkin. Shunga
o‘xshash, bir qancha imtiyozlar bitta rolga tegishli yoki bir nechta rollar
bitta imtiyozga ega bo‘lishi mumkin.
Foydalanishni boshqarishning ABAC usuli.
Atributlarga
asoslangan foydalanishlarni boshqarish usuli (ABAC) - obyektlar va
subyektlarning atributlari, ular bilan mumkin bo‘lgan amallar va
so‘rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida
foydalanishlarni boshqaradi. Undagi qoidada har qanday turdagi
attributlardan (foydalanuvchi atributlari, resurs atributlari, obyekt va
muhit atributlari va h.) foydalanish mumkin. Ushbu model so‘rovni,
resursni va harakatni kim bajarayotgani to‘g‘risidagi holatlar “AGAR, U
HOLDA” dan tashkil topgan qoidalarga asoslanadi. Masalan, AGAR
talabgor boshqaruvchi bo‘lsa, U HOLDA maxfiy ma’lumotni o‘qish/
yozish huquqi berilsin.
Atributga asoslangan siyosat normativ talablar murakkabligini
kamaytirish orqali foydalanishni boshqarishni yanada samarali amalga
oshiradi. Xuddi shu atributlarga asoslangan siyosat turli tizimlarda
ishlatilishi bir tashkilotda yoki hamkorlikdagi tashkilotlarda resurslardan
foydalanishda muvofiqlikni boshqarishga yordam berishi mumkin.
Bunday markazlashgan foydalanishni boshqarish yagona vakolatli
manbani o‘z ichiga olgani bois, har bir aniq tizim talablariga o‘z siyosati
bilan moslikni tekshirishni talab etmaydi.
Atributlarga asoslangan foydalanishni boshqarishdagi asosiy
standartlardan biri bu - XACML ( eXtensible Access Control Markup
Language) bo‘lib, 2001 yilda OASIS ( Organization for the
Advancement of Structured Information Standards) tomonidan ishlab
chiqilgan.
XACML standartida quyidagi asosiy tushunchalar mavjud:
qoidalar (rules), siyosat (policy), qoidalar va siyosatni
mujassamlashtirgan algoritmlar (rule-combing algorithms), atributlar
(attributes) (subyekt, obyekt, harakat va muhit shartlari), majburiyatlar
105
(obligations) va maslahatlar (advices). Qoida markaziy element bo‘lib,
maqsad, ta’sir, shart, majburiyat va maslahatlarni o‘z ichiga oladi.
Maqsad – subyektning obyekt ustida qanday harakatlarni amalga
oshirishi (o‘qish, yozish, o‘chirish va h.). Ta’sir mantiqiy ifodalarga
asoslangan va tizimdan foydalanish uchun ruxsat, taqiq, mumkin emas,
aniqlanmagan holatlaridan biriga asoslangan ruxsatni berishi mumkin.
Mumkin emas buyrug‘ining mantiqiy shart noto‘g‘ri bo‘lganida
qaytarilishi, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun
aniqlanmagan ta’sirning mavjudligini ko‘rsatadi. Quyida ABAC usuliga
misol keltirilgan.
|