Kiberxavfsizlik asoslari Mustaqil ish Bajardi: Rasuljonov Nurali Tekshirdi
O‘ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA
KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI
Kiberxavfsizlik asoslari
Mustaqil ish
Bajardi: Rasuljonov Nurali
Tekshirdi: Shakarov Muhiddin
Toshkent 2022
| |
Rasuljonov Nurali Baxromjon o‘g‘li 431-21 IIo'
|
Foydalanishni boshqarish usullari.
|
Foydalanishni boshqarish usullari:
Reja:
1. diskretsion foydalanishni boshqarish usuli (Discretionary access control,
DAC);
2. mandatli foydalanishni boshqarish usuli (Mandatory access control,
MAC);
3. rolga asoslangan foydalanishni boshqarish usuli (Role-based access
control, RBAC);
4. attributlarga asoslangan foydalanishni boshqarish usuli (Attribute- based
access control, ABAC).
Foydalanishni boshqarish- ob'ektdan ob'ektga ishlash qobiliyatini aniqlashdan iborat.
Hozirda tizimlarda obyektlarni boshqarish uchun turlicha usullar mavjud
bo‘lib, ularga quyidigalarni misol keltirish mumkin:
DAC usuli
Foydalanishni boshqarishning mazkur usuli tizimdagi shaxsiy obyektlarni
himoyalash uchun qo‘llaniladi. Bunga ko‘ra obyekt egasining o‘zi undan
foydalanish huquqini va kirish turini o‘zi belgilaydi.
DAC da subyektlar tomonidan obyektlarni boshqarish subyektlarning
identifikatsiya axborotiga asoslanadi. Masalan, UNIX operasion tizimida
fayllarni himoyalashda, fayl egasi qolganlarga o‘qish (r), yozish (w) va
bajarish (x) amallaridan bir yoki bir nechtasini berishi mumkin. Umumiy
holda DAC usuli aksariyat operatsion tizimlarda foydalanishlarni boshqarish
uchun foydalaniladi.
DAC modelidagi faylga kirish quyidagi tarzda ishlaydi:
1-foydalanuvchi fayl yaratadi va uning egasiga aylanadi yoki mavjud faylga kirish huquqini oladi.
2-foydalanuvchi ushbu faylga kirishni soʻraydi. Ular o'zlarining hisob ma'lumotlarini taqdim etadilar: foydalanuvchi nomi, parol yoki boshqa narsa.
1-foydalanuvchi o'z xohishiga ko'ra kirish huquqini beradi. Biroq, 1-foydalanuvchi o'zinikidan ortiq bo'lgan kirish huquqlarini bera olmaydi. Misol uchun, agar foydalanuvchi 1 faqat hujjatni o'qiy olsa, ular 2-foydalanuvchiga uni tahrirlashiga ruxsat bera olmaydi.
Agar administrator tomonidan yaratilgan ACL va foydalanuvchi 1 tomonidan qabul qilingan qaror o'rtasida ziddiyat bo'lmasa, kirishga ruxsat beriladi.
DAC-dan qachon foydalanish kerak
DAC bir necha sabablarga ko'ra o'ta nozik ma'lumotlar (tibbiy, moliyaviy, harbiy va boshqalar) bilan ishlaydigan tashkilotlar tomonidan ishlatilmasligi kerak:
Agar 1-foydalanuvchi kirish huquqlarini 2-foydalanuvchi bilan baham ko'rsa, 2-foydalanuvchiga ishlash uchun ushbu ruxsat kerak, ma'lumotlarni o'g'irlamaydi yoki buzmaydi va zararli foydalanuvchiga ruxsat bermasligiga kafolat yo'q.
Tarmoq ichidagi axborot oqimini boshqarish mumkin emas.
Eng kam imtiyoz, bilish kerak va vazifalarni ajratish tamoyillarini amalga oshirish mumkin emas.
Shu bilan birga, DAC IT xodimlari va kiberxavfsizlik byudjetlari cheklangan kichik korxonalar uchun yaxshi tanlovdir. Bu ma'lumot almashish imkonini beradi va biznesning uzluksiz ishlashini ta'minlaydi. Ushbu yondashuv, 10 dan 20 gacha xodimlarga ega bo'lgan tashkilotda qo'llanilganda, yuzlab yoki minglab xodimlarga ega bo'lgan tashkilotlarda DACdan foydalanish bilan bog'liq murakkablik va nazorat muammolari mavjud emas.
MAC usuli
Foydalanishning mazkur usulida foydalanish ruxsati obyektning egasi
tomonidan amalga oshirilmaydi. Masalan, Alisa TOP SECRET
ruxsatnomasiga ega bo‘lgan subyektlarga ruxsat bera olmaydi. Sababi u
ushbu bosqichdagi hujjatlarni to‘liq nazorat qila olmaydi. MAC usuli bilan
foydalanishni boshqarishda xavfsizlik markazlashgan holatda xavfsizlik
siyosati ma’muri tomonidan amalga oshiriladi. Bunda foydalanuvchi
xavfsizlik siyosatini o‘zgartira olmaydi. DAC usulida esa obyektning egasi
xavfsizlik siyosatini quradi va kimga foydalanish uchun ruxsat berilishini
aniqlaydi. MAC usulida foydalanishlar subyektlar va obyektlar
klassifikatsiyalashga asosan boshqariladi. Tizimning har bir subyekti va
obyekti bir nechta xavfsizlik darajasiga ega bo‘ladi. Obyektning xavfsizlik
darajasi tashkilotda obyektning muhimlik darajasi bilan yoki
yo‘qolgantaqdirda keltiradigan zarar miqdori bilanxarakterlanadi.
Subyektning xavfsizlik darajasi esa unga ishonish darajasi bilan belgilanadi.
Oddiy holda xavfsizlik darajasini: O‘TA MAXFIY (O‘M), MAXFIY (M),
KONFIDENSIAL (K) va OChIQ (O) shaklida yoki: O‘M > M > 𝐾𝐾 > 𝑂𝑂.
Majburiy kirish nazorati nima?
Majburiy kirishni boshqarish (MAC) - bu kirishni boshqarish modeli bo'lib, operatsion tizim foydalanuvchilarga ma'lumotlarning maxfiyligi va foydalanuvchi ruxsati darajasiga asoslangan kirishni ta'minlaydi. Ushbu modelda kirish bilish zarurati asosida beriladi: foydalanuvchilar kirishdan oldin ma'lumotlarga ehtiyoj borligini isbotlashlari kerak.
MAC ixtiyoriy bo'lmagan boshqaruv modeli deb ham ataladi, ya'ni boshqaruv foydalanuvchi yoki fayl egasining ixtiyoriga ko'ra qo'lga kiritilmaydi. MAC boshqaruv mexanizmlari bilan nol ishonch tamoyillarini amalga oshiradi.
MAC barcha kirishni boshqarish modellari ichida eng xavfsiz hisoblanadi. Ushbu modeldagi kirish qoidalari tizim ma'murlari tomonidan qo'lda belgilanadi va operatsion tizim yoki xavfsizlik yadrosi tomonidan qat'iy ravishda amalga oshiriladi. Oddiy foydalanuvchilar hatto o'zlari yaratgan ma'lumotlar uchun ham xavfsizlik atributlarini o'zgartira olmaydi.
MAC ning asosiy tamoyillari qanday?
1. Tashkilot resurslarining maksimal maxfiyligi va maxfiyligi eng muhim hisoblanadi. Hech kim birovning ma'lumotlariga kirish yoki tahrirlash uchun standart imtiyozlarga ega emas.
2. Kirishni ta'minlash markazlashtirilgan tarzda boshqariladi.
3. Tizimdagi har bir shaxs va resursda ularning tasnifi va toifasi ko'rsatilgan xavfsizlik belgilari mavjud.
Foydalanishni boshqarishning rolli modeli (RBAC)
RBAC usulida foydalanishni boshqarishning asosiy g‘oyasi tizimning
ishlash logikasini tashkilotda kadrlar vazifasini haqiqiy ajratilishiga
maksimal darajada yaqinlashtirilgan. RBAC usuli foydalanuvchini
axborotga ruxsatini boshqarishda uning tizimdagi harakat xiliga asoslanadi.
Ushbu usuldan foydalanish tizimdagi rollarni aniqlashni nazarda tutadi. Ro‘l
tushunchasini muayyan faoliyat turi bilan bog‘liq harakatlar va majburiyatlar
to‘plami sifatida belgilanishi mumkin. Shunday qilib, har bir ob’yekt uchun
har bir foydalanuvchini foydalanish ruxsatini belgilash o‘rniga, rol uchun
ob’yektlardan foydalanish ruxsatini ko‘rsatish yetarli. Bunda
foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. Biror rolni
bajaruvchi foydalanuvchi rol uchun belgilangan foydalanish huquqiga ega
bo‘ladi.
RBAC ning afzalliklari
Rolga asoslangan kirishni boshqarish tizimiga ega bo'lishning ko'plab afzalliklari mavjud. Mana bir nechtasi:
Kamroq ma'muriy vazifalar. RBACni amalga oshirish orqali xavfsizlik tadqiqotchilari va tarmoq ma'murlari mutlaq nazoratga ega bo'ladilar va operatsion tizim, platforma va ilovalarga ruxsatlarni ko'rish imkoniyatini oshiradilar. Bundan tashqari, u yangi xodimlar ishga qabul qilinganda yoki mavjud bo'lganlar rol almashishga muhtoj bo'lganda, hujjatlarni rasmiylashtirish, parollarni o'zgartirish yoki rol va mas'uliyatni o'zgartirish zaruratini kamaytiradi.
Uchinchi tomon xavflarining kamayishi. RBAC tashkilotlarga sotuvchilar va etkazib beruvchilar kabi uchinchi tomon foydalanuvchilarini oldindan belgilangan rollarni berish orqali o'z tizimlariga osongina integratsiya qilish imkonini beradi.
Yaxshiroq muvofiqlik. Barcha kompaniyalar mahalliy, shtat va federal qoidalarga rioya qilishlari kerak. Bu erda RBAC tashkilotlarga maxfiylik, maxfiylik va qonuniy talablar, shu jumladan ma'lumotlarga kirishni boshqarish qobiliyati kabi qonuniy talablarga javob berishda yordam beradi. Bu, ayniqsa, bank muassasalari va sog'liqni saqlash tashkilotlari uchun juda muhimdir, chunki ular maxfiy ma'lumotlarni qayta ishlaydilar.
RBAC usulining asosiy afzalliklari quyidagilar:
1. Ma’murlashning osonligi.
Foydalanishlarni boshqarishning klassik modellarida ob’yekt bo‘yicha
muayyan amallarni bajarish huquqlari har bir foydalanuvchi yoki
foydalanuvchilar guruhi uchun ro‘yxatga olingan bo‘ladi. Rolli modelda rol
va foydalanuvchi tushunchalarini ajratish vazifani ikki qismga ajratish
imkonini beradi: foydalanuvchi rolini aniqlash va rol uchun ob’yektga
ruxsatini aniqlash. Ushbu yondashuv boshqaruv jarayonini sezilarli darajada
osonlashtiradi. Chunki, foydalanuvchini javobgarlik sohasini o‘zgartirganda
undan eski rolni olib tashlash va unga yangi vazifasiga mos kelidagan rolni
berishning o‘zi kifoya qiladi. Agar foydalanish huquqi bevosita
foydalanuvchi va ob’yektlar o‘rtasida aniqlansa, shu prosedura yangi
foydalanuvchi huquqlarini qayta tayinlash uchun ko‘p harakatlarni talab
qiladi.
2. Rollar iyerarxiyasi.
Rollarning haqiqiy iyerarxiyasini yaratish orqali haqiqiy biznes
jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. Har bir rol o‘z
imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo‘lishi
mumkin. Ushbu yondashuv tizimni boshqarishni sezilarli darajada
osonlashtiradi.
ABAC modeli
Attributlarga asoslangan foydalanishlarni boshqarish usuli (ABAC) –
ob’yektlar va sub’yektlarning atributlari, ular bilan mumkin bo‘lgan amallar
va so‘rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida
foydalanishlarni boshqaradi. Qoidada har qanday turdagi attributlardan
(foydalanuvchi attributlari, resurs attributlari, obyekt va muhit attributlari va
hak.) foydalanish mumkin. Ushbu model so‘rovni, resursni va harakatni kim
bajarayotgani to‘g‘risidagi holatlar “AGAR, U HOLDA” dan tashkil topgan
qoidalarga asoslanadi. Masalan, AGAR talabgor boshqaruvchi bo‘lsa, U
HOLDA maxfiy ma’lumotni o‘qish/ yozish huquqi berilsin.
Attributlarga asoslangan foydalanishni boshqarishdagi asosiy
standartlardan biri bu XACML (eXtensible Access Control Markup
Language) bo‘lib, 2001 yilda ishlab OASIS (Organization for the
Advancement of Structured Information Standards) chiqilgan.
XACML standartida asosiy tushunchalar bular: qoida (rules), siyosat
(policy), qoida va siyosatni mujassamlashtirgan algoritmlar (rule-combing
algorithms), attributlar (attributes) (subyekt, obyekt, harakat va muhit
shartlari), majburiyatlar (obligations) va maslahatlar (advices). Qoida
markaziy element bo‘lib, o‘zida maqsad, ta’sir, shart, majburiyat va
maslahatlarni o‘z ichiga oladi. Maqsad – bu sub’yekt ob’yekt ustida nima
harakat qilishidir (o‘qish, yozish, o‘chirish va hak.). Ta’sir mantiqiy
ifodalarga asoslangan bo‘ladi va tizim foydalanish uchun ruxsat, taqiq,
mumkin emas, aniqlanmagan holatlaridan biri bo‘lgan ruxsatni berishi
mumkin. Mumkin emas buyrug‘i mantiqiy shart noto‘g‘ri bo‘lganda
qaytarilsa, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun
aniqlanmagan ta’sirini ko‘rsatadi.
FOYDALANILGAN ADABIYOTLAR VA TARMOQLAR:
1. S.G‘ANIYEV, M.KARIMOV, K.TASHEV Axborot xavfsizligi (Axborot kommunikatsion tizimlar xavfsizligi)
2. Texnika fanlari doktori, professor S.S. Qosimov umumiy tahriri ostida
http://fayllar.org
|
