Mövzu 1: İnformatika fənni, predmeti və onun tərkib hissəLƏRI

  89 

İjazələrin  məntiqi idarəolunması (İjazələrin fiziki idarəolunmasından fərqli olaraq) proqram vasitələri 

ilə  realizə  olunur.  İjazələrin  məntiqi  idarəolunması  –  çox  istifadəçisi  olan  sistemlərdə  obyektlərin  tam 

məxfiliyini  və  tamlığını  təmin  etməyə  xidmət  edən  (müəyyən  qədər  də  giriş  (avtorizə  olunmamış 

istifadəçilərə  xidməti  qadağan  etməklə))  əsas  mexanizmdir.  Məsələnin  formal  qoyuluşuna  baxaq. 

Subyektlər  məjmusu  və  obyektlər  toplusu  var.  İjazələrin  məntiqi  idarəolunması  (məsələn),  hər  bir 

(subyekt,  obyekt)  jütü  üçün  yolverilən  (mümkün)  əməliyyatlar  çoxluğunu  müəyyən  etməkdən  və 

qoyulmuş qaydaların yerinə yetirilməsinə nəzarət etməkdən ibarətdir. 

(Subyekt,  obyekt)  münasibətini  matris  şəklində  təsvir  etmək  olar.  Matrisin  sətrlərində  subyektlər, 

sütunlarında  obyektlər  sadalanır.  Sətr  və  sütunların  kəsişdiyi  xanalarda  əlavə  şərtlər  (məsələn,  vaxt  və 

hərəkətin məkanı) və verilən ijazə növləri yazılır. 

İjazələrin  məntiqi  idarəolunması  mövzusu  –  informasiya  təhlükəsizliyi  sahəsində  ən  mürəkkəb 

mövzudur.  Səbəb  ondadır  ki,  obyekt  anlayışının  özü  (deməli  ijazə  növləri  də)  servisdən  servisə  dəyişir. 

Əməliyyat  sistemi  üçün  obyekt  fayl,  qurğu  və  prosesdir.  Fayl  və  qurğular  üçün  adətən  oxuma,  yazma, 

yerinə  yetirmə  (proqram  faylları  üçün), bəzən də  silmə  və  əlavə  etmə hüquqlarına baxılır.  Ayrıja  hüquq 

kimi  ijazə  səlahiyyətlərinin  digər  subyektlərə  vermə  imkanına  baxıla  bilər  (sahiblik  hüququ).  Prosesləri 

yaratmaq  və  məhv  etmək  olar.  Müasir  əməliyyat  sistemləri  digər  obyektlərin  varlığını  da  mümkün  edə 

bilər. 

Relyasiyon  verilənlər  bazasını  idarəetmə  sistemləri  üçün  obyekt  –  verilənlər  bazası  jədvəl,  təsvir, 

saxlanan prosedura və s. dir. Jədvəl üçün axtarış, verilənləri əlavə, dəyişiklik etmə və silmə əməliyyatları 

tətbiq olunur. Bu siyahını sonsuz davam etdirmək olardı. 

Obyektlərin və onlara tətbiq olunan əməliyyatların müxtəlifliyi ijazələrin məntiqi idarəolunmasının 

prinsipial  desentralizasiyasına  gətirib  çıxarır.  Hər  bir  servis  konkret  subyektə  konkret  əməliyyat  etməyə 

ijazə  verməyi  özü  həll  etməlidir.  Başlıja  problem  ondadır  ki,  obyektlərin  çoxuna  müxtəlif  servislərin 

köməyi  ilə  mürajiət  etmək  (giriş  əldə  etmək)  olar.  Nətijədə  ijazə  matrisini  verdikdə  hər  bir  servis  üçün 

təkjə privilegiyaların paylanmasını deyil, həm də servislər arasındakı əlaqələri də nəzərə almaq lazımdır 

(matrisin müxtəlif hissələrinin razılaşdırılması qayğısına qalmaq lazım gəlir). Analoci çətinlik verilənlərin 

idxalı/ixrajı  zamanı  meydana  çıxır,  bu  zaman  bir  qayda  olaraq  ijazə  hüquqları  haqqında  informasiya 

itirilir  (yeni  servis  üçün  mənası  olmadığına  görə).  Deməli,  müxtəlif  servislər  arasında  verilənlərin 

mübadiləsi  ijazəli  idarəetmə  baxımından  xüsusi  təhlükə  təşkil  edir,  qeyri  birjins  konfiqurasiyaların 

layihələşdirilməsi  və  realizə  olunması  zamanı  subyektlərin  obyektlərə  ijazə  hüquqlarının  razılaşdırılmış 

bölgüsü və idxal/ixraj üsullarının sayının minimallaşdırılması zəruridir. 

İjazə hüququna nəzarət proqram mühitinin müxtəlif komponentləri-Əməliyyat sisteminin nüvəsi, 

əlavə təhlükəsizlik vasitələri, verilənlər bazasını idarəetmə sistemi, ara vasitəçi proqram təminatı 

(məsələn, tranzaksiyalar monitoru) tərəfindən həyata keçirilir. Buna baxmayaraq əsasında ijazə vermə 

məsələsinin həll olunduğu ümumi kriteriyalarını və ijazə matrisini saxlamağın ümumi metodlarını 

müəyyən etmək olar.  

İjazə vermə haqqında qərar qəbul edərkən aşağıdakı informasiya analiz olunur: 



 

subyektin  identifikatoru  (istifadəçinin  identifikatoru,  kompüterin  şəbəkə  ünvanı  və  s.).  Bu  kimi 

informasiyalar ijazələrin ixtiyari idarəolunmasının əsasıdır. 



 

subyektin  atributları  (təhlükəsizlik  nişanı,  istifadəçinin  qrupu  və  s.).  təhlükəsizlik  nişanı  – 

ijazələrin məjburi idarəolunmasının əsasını təşkil edir. 



 

əməliyyatın məkanı (sistem konsolu, şəbəkənin etibarlı qovşağı və s.) 



 

əməliyyatın zamanı (əməliyyatların əksəriyyətinə anjaq iş vaxtı ijazə vermək məqsədəmüvafiqdir). 



 

servisin daxili məhdudiyyətlərii (proqram məhsuluna lisenziyada yazılan istifadəçilərin sayı, nağd 

verilə bilən məbləğ və s.). 

İjazə matrisini, onun xanalarının çoxusunun boş olduğunu nəzərə alaraq, ikiölçülü massiv şəklində 

saxlamaq səmərəli deyil. Prinsipjə onu sətrlərə görə yadda saxlamaq olar. Bu halda hər bir subyekt üçün 

ijazə verilən obyektlərin siyahısını yadda saxlamaq lazım gəlir. Obyektlər subyektlərdən qat–qat dinamik 

olduqları üçün bu adminstrə etmə işini çox çətinləşdirir. Matrisi sütunlar üzrə, hər bir subyekt üçün “yol 

verilən”  obyekti  ijazə  hüquqları  ilə  birlikdə  siyahıda  saxlamaq  daha  praktikdir.  Siyahının  elementi 

qrupların  adı  və  subyektlərin  şablonu  da  ola  bilər  ki,  bu  da  adminstratora  böyük  köməkdir.  Müəyyən 

obyektiv  çətinliklər  yalnız  subyekti  silərkən  meydana  çıxır:  subyektin  adını  bütün  ijazə  siyahılarından 

silmək lazım gəlir. 

  90 

İjazə  siyahıları  –  müstəsna  dərəjədə  çevik  vasitələrdəir.  Onların  köməyi  ilə  J2  təhlükəsizlik 

sinfinin hüquqların istifadəçi dəqiqliyi ilə qranulyarlığı tələbi asanlıqla yerinə yetirilir. Siyahıların köməyi 

ilə  hüquqları  əlavə  etmək  və  aşkar  şəkildə  ijazəni  qadağan  etmək  çətin  deyil.  Şübhəsiz,  ijazə  siyahıları 

ijazələrin ixtiyari idarəolunmasının ən yaxşı vasitələridir. 

Əməliyyat  sistemlərinin  və  verilənlər  bazalarını  idarəetmə  sistemlərinin  böyük  əksəriyyəti  məhz 

ijazələrin  ixtiyari  idarəolunmasını  realizə  edir.  Bu  üsulun  əsas  üstünlüyü  çevik  olmasıdır.  Təssüf  ki, 

“ixtiyari”  yanaşmanın  bir  sıra  prinsipal  çatışmazlıqları  var.  İjazələrin  idarəolunmasının  paylanması  ona 

gətirir  ki,  təkjə  sistem  operatorları  və  administratorlar  deyil,  daha  çox  istifadəçi  etibarlı  (inanılmış) 

olmalıdır. 

İkinji  çatışmazlıq  ondan  ibarətdir  ki,  ijazə  hüquqları  verilənlərdən  ayrılmışdır.  Hüquqların  və 

verilənlərin belə ”ayrılığı” bir neçə sistemin razılaşdırılmış təhlükəsizlik siyasətini yerinə yetirməsini jiddi 

surətdə çətinləşdirir və başlıjası, razılaşdırmaya effektiv nəzarəti praktik olaraq qeyri-mümkün edir. 

Bir  daha  qeyd  etmək  lazımdır  ki,  ijazələrin  idarəolunması  yalnız  əməliyyat  sistemi  səviyyəsində 

deyil,  müasir  əlavə  proqramların  tərkibindəki  digər  servislərin  çərçivəsində  də,  həmçinin  servislər 

arasındakı qovuşma yerlərində də çox vajibdir. Burada ön plana təşkilatın vahid təhlükəsizlik siyasətinin 

varlığı, ixtisaslaşdırılmış və razılaşdırılmış sistem administrə olunması çıxır. 

Protokollaşdırma və audit 

Protokollaşdırma dedikdə informasiya sistemində baş verən hadisələr haqqında məlumatın 

məlumatın toplanması və jəmlənməsi başa düşülür. 

Hər  bir  servisin  özünəməxsus  hadisələr  toplusu  var,  anjaq  istənilən  halda  onları  xariji  (başqa 

servislərin  təsirindən  yaranan),  daxili  (servisin  öz  təsirindən  yaranan)  və  kliyent  (istifadəçilərin  və 

administratorların hərəkətləri nətijəsində yaranan) kimi təsnif etmək olar. 

Audit-  toplanan  informasiyanın  operativ  (demək  olar  ki,  real  vaxtda)  və  ya  dövri  (məsələn,  gündə 

bir dəfə) aparılan analizidir. 

Protokollaşdırma və auditin realizə olunması aşağıdakı məqsədləri güdür: 



 

istifadəçi və administratorların hesabat verməli olmasını təmin etmək 



 

informasiya təhlükəsizliyini pozma jəhdlərinin aşkar olunması 



 

problemlərin aşkar olunması və analizi üçün informasiyanın təqdim olunması 

Protokollaşdırma digər vasitələrlə müqayisədə realizə olunmaq üçün daha çox sağlam düşünjə tələb 

edir.  Hansı  hadisələri  qeyd  etməli?  Hansı  təfərrüatla?  Belə  suallara  universal  javab  vermək  mümkün 

deyil.  Bir  tərəfdən  yuxarıdakı  məqsədlərə  çatma,  digər  tərəfdən  isə  resursların  istifadəsinin  yolverilən 

sərhədlərdə olması təmin edilməlidir. 

Protokollaşdırma  və  auditin  daha  bir  xüsusiyəti  digər  təhlükəsizlik  vasitələrindən  asılı  olmasıdır. 

İdentifikasiya  və  autentifikasiya  istifadəçilərin  təhtəlhesab  olmasının  başlanğıj  nöqtəsidir.  İjazələrin 

məntiqi  idarəolunması  qeydiyyat  informasiyasının  məxfilik  və  tamlığını  qoruyur.  Ola  bilsin,  müdafiə 

üçün kriptoqrafik metodlar da jəlb olunur. 

Qey  etmək  lazımdır  ki,  hesabat  vermənin  təmini  ən  əvvəl  çəkindirmə  vasitəsi  kimi  vajibdir. 

Hadisələr  ardıjıllığının  rekonstruksiyası  servislərin  müdafiəsində  gəif  yerləri  aşkar  etməyə,  müdaxilənin 

günahkarını  tapmağa,  vurulmuş  ziyanın  miqyasını  qiymətləndirməyə  və  normal  işə  qayıtmağa  kömək 

edir. 

İnformasiya  təhlükəsizliyini  pozma  jəhdlərinin  aşkar  olunması-  çətin  mövzudur,  ümumiyyətlə 

deyilsə,  süni  intellekt  metodlarının  jəlb  olunmasının  tələb  edir.  İstənilən  halda,  operativ  və  dövri  auditi 

təşkil edərkən ətraflı analiz tələb edən yazıların seçilməsi kriteriyalarını formulə etmək lazımdır. 

Paylanmış  müxtəlifjinsli  mühitdə  razılaşdırılmış  protokollaşdırma  və  auditin  təşkili  çətin 

problemdir.  Birinjisi,  təhlukəsizlik  üçün  vajib  bəzi  komponetlər  (məsələn,  marşrutizatorlar)  özlərinin 

protokollaşdırma  vasitələrinə  malik  olmaya  bilərlər.  Bu  halda  onları  protokollaşdırmanı  öz  üzərlərinə 

götürən digər servislərlə ekranlaşdırmaq lazımdır. İkinjisi, müxtəlif servislərdəki hadisələri öz aralarında 

əlaqələndirmək  lazımdır.  Qeydiyyat  informasiyasının  verilənlər  bazalarına  ixrajı  və  SQL-vasitələrin 

istifadəsi olmadan bu işi yerinə yetirmək mümkün deyil. 

Kriptoqrafiya 

İnformasiyanın məxfiliyinin təmini və tamlığına nəzarət üçün ən güjlü vasitələrdən biri 

kriptoqrafiyadır. Bir çox jəhətlərdə o, proqram-texniki vasitələr arasında mərkəzi yer tutur. Kriptoqrafiya 

onlardan bir çoxunun realizə olunması üçün əsas rolunu oynayır, bəzən də yeganə müdafiə vasitəsi olur. 

Məsələn, fiziki müdafiəsi olduqja çətin olan portativ kompüterlər üçün yalnız kriptoqrafiya hətta