mutlaqo maxfiy
”
(MM), “maxfiy” (M), “
konfidensial
” (K) va “
ochiq
” (O) belgilar tayinlanadi. Bu
yerda, MM>M>K>O.
MAC asosida axborot maxfiyligini taminlash
. Agar obyekt va subyektning
xavfsizlik darajalari orasidagi bir qancha bog‘liqlik shartlari bajarilsa, u holda
subyekt obyektdan foydalanish huquqiga ega bo‘ladi. (4.5-rasm):
- agar subyektning xavfsizlik darajasida obyektning xavfsizlik darajasi
mavjud bo‘lsa, o‘qish uchun ruxsat beriladi;
- agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasida
mavjud bo‘lsa, yozishga ruxsat beriladi.
4.5-rasm. Axborot xavfsizligini ta’minlash uchun axborot oqimini
boshqarish sxemasi
Yuqorida keltirilgan modelni muvofiqligini shubha ostiga qo‘yadigan ikkita
noaniq fikr mavjud:
1. Quyi sathli foydalanuvchi barcha yuqori sathli obyektlarga yozishi
mumkin. Bu holda u o‘zining mavjud obyektini ham qayta yozishi mumkin va bu
o‘chirishga teng bo‘ladi. Ushbu sxema uchun qoidalar quyidagicha bo‘ladi:
- agar subyektning xavfsizlik darajasi o‘zida obyektning xavfsizlik
darajasini qamragan bo‘lsa, o‘qish uchun ruxsat beriladi;
- agar subyektning xavfsizlik darajasi obyektning xavfsizlik darajasiga teng
bo‘lsa, yozishga ruxsat beriladi;
2. Sxemadan
ko‘rinib
turibdiki,
yuqori
darajali
ishonchga ega
foydalanuvchilar xavfsizlik darajasi past bo‘lgan obyektlarni o‘zgartira olmaydi.
Ushbu muammoni bartaraf etishda foydalanuvchi turli hujjatlardan foydalanish
uchun turli darajadagi ishonchga ega bo‘lgan subyektlar nomidan ish ko‘rishi
mumkin.
Axborot ishonchligini taminlash
. Axborot konfidensialligini taminlashdan
tashqari, ba’zida axborot ishonchligini taminlash ham talab etiladi. Ya’ni,
obyektning ishonchlik darajasi qanchalik yuqori bo‘lsa, subyektning ishonchligi
ham shunchalik yuqori va subyektning xavfsizlik darajasi qanchalik yuqori bo‘lsa,
u tizimga shuncha ishonchli ma’lumotlarni kiritishi mumkin.(4.6-rasm)
Foydalanishni boshqarishning RBAC usuli
. Rolga asoslangan kirishni
boshqarish (RBAC) tashkilot ichidagi shaxsning roliga qarab tarmoqqa kirishni
cheklaydi
va
kirishni
ilg'or
boshqarishning
asosiy
usullaridan
biriga
aylandi. RBACdagi rollar xodimlarning tarmoqqa kirish darajasiga ishora qiladi.
Xodimlarga faqat o'z mehnat vazifalarini samarali bajarish uchun zarur
bo'lgan ma'lumotlardan foydalanishga ruxsat beriladi. Kirish vakolat, mas'uliyat va
ish malakasi kabi bir qancha omillarga asoslanishi mumkin. Bundan tashqari,
kompyuter resurslariga kirish faylni ko'rish, yaratish yoki o'zgartirish kabi
muayyan vazifalar bilan cheklanishi mumkin.
Natijada, quyi darajadagi xodimlar, agar ular o'z majburiyatlarini bajarish
uchun kerak bo'lmasa, odatda maxfiy ma'lumotlarga kirish imkoniga ega
emaslar. Bu, ayniqsa, agar sizda ko'plab xodimlar bo'lsa va tarmoqqa kirishni
diqqat bilan kuzatishni qiyinlashtiradigan uchinchi tomonlar va pudratchilardan
foydalansangiz foydali bo'ladi. RBAC-dan foydalanish kompaniyangizning maxfiy
ma'lumotlari va muhim ilovalarini himoya qilishga yordam beradi.
4.6-rasm. Ma'lumotlar ishonchligini ta'minlash uchun axborot oqimini
boshqarish sxemasi.
Umuman olganda, foydalanuvchi turli vaziyatlarda turli rollarni bajarishi
mumkin. Xuddi shu rolni ba’zida bir nechta foydalanuvchilar bir vaqtning o‘zida
ishlatishlari mumkin.
RBAC usulining asosiy afzalliklari quyidagilar
:
1.
Ma’murlashning osonligi
. RBAC yordamida siz xodim ishga qabul
qilinganda yoki uning rolini o'zgartirganda qog'oz va parolni o'zgartirishga bo'lgan
ehtiyojni kamaytirishingiz mumkin. Buning o'rniga, siz rollarni tezda qo'shish va
almashtirish uchun RBAC dan foydalanishingiz mumkin va ularni operatsion
tizimlar, platformalar va ilovalarda global miqyosda amalga oshirishingiz
mumkin. Bundan tashqari, foydalanuvchi ruxsatlarini tayinlashda xatolik
ehtimolini kamaytiradi. Ma'muriy vazifalarga sarflangan vaqtni qisqartirish
RBACning bir nechta iqtisodiy afzalliklaridan biridir. RBAC shuningdek, uchinchi
tomon
foydalanuvchilariga
oldindan
belgilangan
rollarni
berib,
ularni
tarmog'ingizga osonroq integratsiyalashga yordam beradi
2.
Rollar iyerarxiyasi
. Rollarning haqiqiy iyerarxiyasini yaratish orqali real
biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. Har bir rol o‘z
imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo‘lishi mumkin.
3.
Eng kam imtiyoz prinsipi
. Rolli model foydalanuvchiga tizimda kerakli
vazifalarni bajarishga imkon beruvchi eng kichik rol bilan ro‘yxatdan o‘tish
imkonini beradi. Ko‘plab rollarga ega foydalanuvchilar aniq bir vazifani bajarishi
uchun o‘zining barcha imtiyozlaridan foydalanishi har doim ham talab etilmaydi.
4.
Majburiyatlarni ajratish
. Tizimda foydalanishlarni boshqarishning yana
bir muhim prinsiplaridan biri – vazifalarni taqsimlashdir. Firibgarlikni oldini olish
uchun bir shaxs tomonidan ko‘plab vazifalarni bajarish talab etilmaydigan holatlar
yetarlicha mavjud. Bunga misol sifatida bir kishi tomonidan to‘lov ma’lumotini
yaratish va uni tasdiqlashni keltirish mumkin. Shubhasiz, bu amallarni bir shaxs
bajara olmaydi. Rollarga asoslangan usul esa ushbu muammoni maksimal darajada
osonlik bilan hal qilishga yordam beradi.
Rasman RBAC modelini quyidagicha tasvirlash mumkin (4.7-rasm)
Foydalanishni boshqarishning ABAC usuli.
ABAC (Atributga asoslangan
kirishni boshqarish) an'anaviy RBAC (rolga asoslangan kirishni boshqarish)
metodologiyasining evolyutsiyasidir. Bu batafsilroq yondashuv uchun qo'shimcha
atributlardan foydalanishga imkon beradi. Foydalanuvchi, atrof-muhit va manba
atributlaridan foydalanish imkoniyati endi SaaS korxonalariga yanada murakkab
foydalanish holatlarini hal qilish imkonini beradi. Ushbu model so‘rovni, resursni
va harakatni kim bajarayotgani to‘g‘risidagi holatlar “AGAR (
IF
), U HOLDA
(
THEN
)” dan tashkil topgan qoidalarga asoslanadi. Masalan, AGAR talabgor
boshqaruvchi bo‘lsa, U HOLDA (THEN) maxfiy ma’lumotni
o‘qish/ yozish
huquqi berilsin.
Atributga asoslangan siyosat normativ talablar murakkabligini kamaytirish
orqali foydalanishni boshqarishni yanada samarali amalga oshiradi. Xuddi shu
atributlarga asoslangan siyosat turli tizimlarda ishlatilishi bir tashkilotda yoki
hamkorlikdagi
tashkilotlarda
resurslardan
foydalanishda
muvofiqlikni
boshqarishga yordam berishi mumkin.
Atributlarga asoslangan foydalanishni boshqarishdagi asosiy standartlardan
biri bu - XACML (
eXtensible Access Control Markup Language
) bo‘lib, 2001
yilda OASIS (
Organization for the Advancement of Structured Information
Standards
) tomonidan ishlab chiqilgan.
XACML standartida quyidagi asosiy tushunchalar mavjud
: qoidalar (
rules
),
siyosat (
policy
), qoidalar va siyosatni mujassamlashtirgan algoritmlar (
rule-
combing algorithms
), atributlar (
attributes
) (
subyekt, obyekt, harakat va muhit
shartlari
), majburiyatlar (
obligations
) va maslahatlar (
advices
). Qoida markaziy
element bo‘lib, maqsad, ta’sir, shart, majburiyat va maslahatlarni o‘z ichiga oladi.
Maqsad – subyektning obyekt ustida qanday harakatlarni amalga oshirishi (o‘qish,
yozish, o‘chirish va h.). Ta’sir mantiqiy ifodalarga asoslangan va tizimdan
foydalanish uchun ruxsat, taqiq, mumkin emas, aniqlanmagan holatlaridan biriga
asoslangan ruxsatni berishi mumkin. Mumkin emas buyrug‘ining mantiqiy shart
noto‘g‘ri bo‘lganida qaytarilishi, ifodani hisoblash vaqtida yuzaga kelgan
xatoliklar uchun aniqlanmagan ta’sirning mavjudligini ko‘rsatadi. Quyida ABAC
usuliga misol keltirilgan.
|
