89
İjazələrin məntiqi idarəolunması (İjazələrin fiziki idarəolunmasından fərqli olaraq) proqram vasitələri
ilə realizə olunur. İjazələrin məntiqi idarəolunması – çox istifadəçisi olan sistemlərdə obyektlərin tam
məxfiliyini və tamlığını təmin etməyə xidmət edən (müəyyən qədər də giriş (avtorizə olunmamış
istifadəçilərə xidməti qadağan etməklə)) əsas mexanizmdir. Məsələnin formal qoyuluşuna baxaq.
Subyektlər məjmusu və obyektlər toplusu var. İjazələrin məntiqi idarəolunması (məsələn), hər bir
(subyekt, obyekt) jütü üçün yolverilən (mümkün) əməliyyatlar çoxluğunu müəyyən etməkdən və
qoyulmuş qaydaların yerinə yetirilməsinə nəzarət etməkdən ibarətdir.
(Subyekt, obyekt) münasibətini matris şəklində təsvir etmək olar. Matrisin sətrlərində subyektlər,
sütunlarında obyektlər sadalanır. Sətr və sütunların kəsişdiyi xanalarda əlavə şərtlər (məsələn, vaxt və
hərəkətin məkanı) və verilən ijazə növləri yazılır.
İjazələrin məntiqi idarəolunması mövzusu – informasiya təhlükəsizliyi sahəsində ən mürəkkəb
mövzudur. Səbəb ondadır ki, obyekt anlayışının özü (deməli ijazə növləri də) servisdən servisə dəyişir.
Əməliyyat sistemi üçün obyekt fayl, qurğu və prosesdir. Fayl və qurğular üçün adətən oxuma, yazma,
yerinə yetirmə (proqram faylları üçün), bəzən də silmə və əlavə etmə hüquqlarına baxılır. Ayrıja hüquq
kimi ijazə səlahiyyətlərinin digər subyektlərə vermə imkanına baxıla bilər (sahiblik hüququ). Prosesləri
yaratmaq və məhv etmək olar. Müasir əməliyyat sistemləri digər obyektlərin varlığını da mümkün edə
bilər.
Relyasiyon verilənlər bazasını idarəetmə sistemləri üçün obyekt – verilənlər bazası jədvəl, təsvir,
saxlanan prosedura və s. dir. Jədvəl üçün axtarış, verilənləri əlavə, dəyişiklik etmə və silmə əməliyyatları
tətbiq olunur. Bu siyahını sonsuz davam etdirmək olardı.
Obyektlərin və onlara tətbiq olunan əməliyyatların müxtəlifliyi ijazələrin məntiqi idarəolunmasının
prinsipial desentralizasiyasına gətirib çıxarır. Hər bir servis konkret subyektə konkret əməliyyat etməyə
ijazə verməyi özü həll etməlidir. Başlıja problem ondadır ki, obyektlərin çoxuna müxtəlif servislərin
köməyi ilə mürajiət etmək (giriş əldə etmək) olar. Nətijədə ijazə matrisini verdikdə hər bir servis üçün
təkjə privilegiyaların paylanmasını deyil, həm də servislər arasındakı əlaqələri də nəzərə almaq lazımdır
(matrisin müxtəlif hissələrinin razılaşdırılması qayğısına qalmaq lazım gəlir). Analoci çətinlik verilənlərin
idxalı/ixrajı zamanı meydana çıxır, bu zaman bir qayda olaraq ijazə hüquqları haqqında informasiya
itirilir (yeni servis üçün mənası olmadığına görə). Deməli, müxtəlif servislər arasında verilənlərin
mübadiləsi ijazəli idarəetmə baxımından xüsusi təhlükə təşkil edir, qeyri birjins konfiqurasiyaların
layihələşdirilməsi və realizə olunması zamanı subyektlərin obyektlərə ijazə hüquqlarının razılaşdırılmış
bölgüsü və idxal/ixraj üsullarının sayının minimallaşdırılması zəruridir.
İjazə hüququna nəzarət proqram mühitinin müxtəlif komponentləri-Əməliyyat sisteminin nüvəsi,
əlavə təhlükəsizlik vasitələri, verilənlər bazasını idarəetmə sistemi, ara vasitəçi proqram təminatı
(məsələn, tranzaksiyalar monitoru) tərəfindən həyata keçirilir. Buna baxmayaraq əsasında ijazə vermə
məsələsinin həll olunduğu ümumi kriteriyalarını və ijazə matrisini saxlamağın ümumi metodlarını
müəyyən etmək olar.
İjazə vermə haqqında qərar qəbul edərkən aşağıdakı informasiya analiz olunur:
subyektin identifikatoru (istifadəçinin identifikatoru, kompüterin şəbəkə ünvanı və s.). Bu kimi
informasiyalar ijazələrin ixtiyari idarəolunmasının əsasıdır.
subyektin atributları (təhlükəsizlik nişanı, istifadəçinin qrupu və s.). təhlükəsizlik nişanı –
ijazələrin məjburi idarəolunmasının əsasını təşkil edir.
əməliyyatın məkanı (sistem konsolu, şəbəkənin etibarlı qovşağı və s.)
əməliyyatın zamanı (əməliyyatların əksəriyyətinə anjaq iş vaxtı ijazə vermək məqsədəmüvafiqdir).
servisin daxili məhdudiyyətlərii (proqram məhsuluna lisenziyada yazılan istifadəçilərin sayı, nağd
verilə bilən məbləğ və s.).
İjazə matrisini, onun xanalarının çoxusunun boş olduğunu nəzərə alaraq, ikiölçülü massiv şəklində
saxlamaq səmərəli deyil. Prinsipjə onu sətrlərə görə yadda saxlamaq olar. Bu halda hər bir subyekt üçün
ijazə verilən obyektlərin siyahısını yadda saxlamaq lazım gəlir. Obyektlər subyektlərdən qat–qat dinamik
olduqları üçün bu adminstrə etmə işini çox çətinləşdirir. Matrisi sütunlar üzrə, hər bir subyekt üçün “yol
verilən” obyekti ijazə hüquqları ilə birlikdə siyahıda saxlamaq daha praktikdir. Siyahının elementi
qrupların adı və subyektlərin şablonu da ola bilər ki, bu da adminstratora böyük köməkdir. Müəyyən
obyektiv çətinliklər yalnız subyekti silərkən meydana çıxır: subyektin adını bütün ijazə siyahılarından
silmək lazım gəlir.
90
İjazə siyahıları – müstəsna dərəjədə çevik vasitələrdəir. Onların köməyi ilə J2 təhlükəsizlik
sinfinin hüquqların istifadəçi dəqiqliyi ilə qranulyarlığı tələbi asanlıqla yerinə yetirilir. Siyahıların köməyi
ilə hüquqları əlavə etmək və aşkar şəkildə ijazəni qadağan etmək çətin deyil. Şübhəsiz, ijazə siyahıları
ijazələrin ixtiyari idarəolunmasının ən yaxşı vasitələridir.
Əməliyyat sistemlərinin və verilənlər bazalarını idarəetmə sistemlərinin böyük əksəriyyəti məhz
ijazələrin ixtiyari idarəolunmasını realizə edir. Bu üsulun əsas üstünlüyü çevik olmasıdır. Təssüf ki,
“ixtiyari” yanaşmanın bir sıra prinsipal çatışmazlıqları var. İjazələrin idarəolunmasının paylanması ona
gətirir ki, təkjə sistem operatorları və administratorlar deyil, daha çox istifadəçi etibarlı (inanılmış)
olmalıdır.
İkinji çatışmazlıq ondan ibarətdir ki, ijazə hüquqları verilənlərdən ayrılmışdır. Hüquqların və
verilənlərin belə ”ayrılığı” bir neçə sistemin razılaşdırılmış təhlükəsizlik siyasətini yerinə yetirməsini jiddi
surətdə çətinləşdirir və başlıjası, razılaşdırmaya effektiv nəzarəti praktik olaraq qeyri-mümkün edir.
Bir daha qeyd etmək lazımdır ki, ijazələrin idarəolunması yalnız əməliyyat sistemi səviyyəsində
deyil, müasir əlavə proqramların tərkibindəki digər servislərin çərçivəsində də, həmçinin servislər
arasındakı qovuşma yerlərində də çox vajibdir. Burada ön plana təşkilatın vahid təhlükəsizlik siyasətinin
varlığı, ixtisaslaşdırılmış və razılaşdırılmış sistem administrə olunması çıxır.
Protokollaşdırma və audit
Protokollaşdırma dedikdə informasiya sistemində baş verən hadisələr haqqında məlumatın
məlumatın toplanması və jəmlənməsi başa düşülür.
Hər bir servisin özünəməxsus hadisələr toplusu var, anjaq istənilən halda onları xariji (başqa
servislərin təsirindən yaranan), daxili (servisin öz təsirindən yaranan) və kliyent (istifadəçilərin və
administratorların hərəkətləri nətijəsində yaranan) kimi təsnif etmək olar.
Audit- toplanan informasiyanın operativ (demək olar ki, real vaxtda) və ya dövri (məsələn, gündə
bir dəfə) aparılan analizidir.
Protokollaşdırma və auditin realizə olunması aşağıdakı məqsədləri güdür:
istifadəçi və administratorların hesabat verməli olmasını təmin etmək
informasiya təhlükəsizliyini pozma jəhdlərinin aşkar olunması
problemlərin aşkar olunması və analizi üçün informasiyanın təqdim olunması
Protokollaşdırma digər vasitələrlə müqayisədə realizə olunmaq üçün daha çox sağlam düşünjə tələb
edir. Hansı hadisələri qeyd etməli? Hansı təfərrüatla? Belə suallara universal javab vermək mümkün
deyil. Bir tərəfdən yuxarıdakı məqsədlərə çatma, digər tərəfdən isə resursların istifadəsinin yolverilən
sərhədlərdə olması təmin edilməlidir.
Protokollaşdırma və auditin daha bir xüsusiyəti digər təhlükəsizlik vasitələrindən asılı olmasıdır.
İdentifikasiya və autentifikasiya istifadəçilərin təhtəlhesab olmasının başlanğıj nöqtəsidir. İjazələrin
məntiqi idarəolunması qeydiyyat informasiyasının məxfilik və tamlığını qoruyur. Ola bilsin, müdafiə
üçün kriptoqrafik metodlar da jəlb olunur.
Qey etmək lazımdır ki, hesabat vermənin təmini ən əvvəl çəkindirmə vasitəsi kimi vajibdir.
Hadisələr ardıjıllığının rekonstruksiyası servislərin müdafiəsində gəif yerləri aşkar etməyə, müdaxilənin
günahkarını tapmağa, vurulmuş ziyanın miqyasını qiymətləndirməyə və normal işə qayıtmağa kömək
edir.
İnformasiya təhlükəsizliyini pozma jəhdlərinin aşkar olunması- çətin mövzudur, ümumiyyətlə
deyilsə, süni intellekt metodlarının jəlb olunmasının tələb edir. İstənilən halda, operativ və dövri auditi
təşkil edərkən ətraflı analiz tələb edən yazıların seçilməsi kriteriyalarını formulə etmək lazımdır.
Paylanmış müxtəlifjinsli mühitdə razılaşdırılmış protokollaşdırma və auditin təşkili çətin
problemdir. Birinjisi, təhlukəsizlik üçün vajib bəzi komponetlər (məsələn, marşrutizatorlar) özlərinin
protokollaşdırma vasitələrinə malik olmaya bilərlər. Bu halda onları protokollaşdırmanı öz üzərlərinə
götürən digər servislərlə ekranlaşdırmaq lazımdır. İkinjisi, müxtəlif servislərdəki hadisələri öz aralarında
əlaqələndirmək lazımdır. Qeydiyyat informasiyasının verilənlər bazalarına ixrajı və SQL-vasitələrin
istifadəsi olmadan bu işi yerinə yetirmək mümkün deyil.
Kriptoqrafiya
İnformasiyanın məxfiliyinin təmini və tamlığına nəzarət üçün ən güjlü vasitələrdən biri
kriptoqrafiyadır. Bir çox jəhətlərdə o, proqram-texniki vasitələr arasında mərkəzi yer tutur. Kriptoqrafiya
onlardan bir çoxunun realizə olunması üçün əsas rolunu oynayır, bəzən də yeganə müdafiə vasitəsi olur.
Məsələn, fiziki müdafiəsi olduqja çətin olan portativ kompüterlər üçün yalnız kriptoqrafiya hətta