-xususiyatning amalga oshirilishi
misoli 2 .8-rasmda keltirilgan.
52
Xavfsizlikning
j
engyuqori
___ .
darajasi
|
Ko‘p ma’nolik darajasi
Belgilangan vakolatlar darajasi
Belgilangan foydalanish darajasi (ishchi
guruhga yoki stmkturaviy bo'limga
taalluqliligi)
Foydalanuvchining e’timodliligi (dopusk
shakli)
Axborot kategoriyasi
Axborotning konfidensiallik sinfi ierarxiyasi
Ma’lumotlami ishlashda
himoyalash darajasi
MFlümotïârdan
foydalanishda
himoyalash darajasi
2.7-rasm. Foydalanishni mandatli cheklashda obyekt va
subyektlaming tasnifiy alomatlari.
2.8-rasm, Bell-LaPadula qoidalarini qo‘llash misoli.
Jadvaldagi ma’lumotlar konfidensiallik darajasi kamayishi
tartibida saralangan. “S” dopuskli jarayon ma’lumotlami faqat mos
yoki konfidensiallikning yuqoriroq sinfli kortej larga yozishi
53
mumkin, o‘qish esa faqat mos yoki konfidensiallikning pastroq
sinfli kortejlardan amalga oshirilishi mumkin.
Bell-LaPadula prinsipining amalga oshirilishi bitta jadvalning
o‘zi uchun himoyaning bir necha sathlarini
madadlash talabi bilan
bog‘liq. Bu esa MBBTning barqarorligini, ishonchliligini va bosh-
qariluvchanligini bir muncha pasayishiga olib keladi.
Yanada murakkab tasniflovchi to‘plamlami kiritish yoii bilan
mandatli modellami kuchaytirish bo‘yicha ishlar ham maium. Bu
to‘plamlar, xususan, MLS-panjaralar deb ataluvchi tematik klassi-
fikator-rubrikatorlardan (deskriptorli, ierarxik, fasetli) foydalanishga
asoslangan tematik jihatni nazarda tutadi. Ammo MLS-panjarali
modellar dastlabki mandatli modellaming mohiyatini o‘zgartir-
maydi. Xususan, aksariyat hollarda foydalanish subyektlari va
obyektlarining tasnifini aniqlash va o‘zgartirish jarayonlarini qat’iy
belgilamaydi. Keng ma’noda esa foydalanish subyektlarini aniqlash
jarayonlarini hamda ko‘p uchraydigan foydalanishlami (bitta
subyekt - bir vaqtning o‘zida bir nechta obyektlardan, bir nechta
subyekt bir vaqtning o‘zida bitta obyektdan) qat’iy belgilamaydi.
Undan
tashqari, mandatli modellar MBBTdagi obyektlar tizimi
strukturasini hisobga olmaydi va ularga konfidensiallikka (maxfiy-
likka) nisbatan chiziqii tartibda qamrab olingan obyektlar to‘plami
sifatida qaraydi. MBBTda mandatli modellami qoilash natijasida
ma’lumotlami tashkil etishning va ulardan foydalanishni chek-
lashning yagona mexanizmi ta’minlanmaydi.
Nazorat savollari
1. Foydalanishni mandatli cheklash mohiyatini tushuntiring.
2. Ma’lumotlar konfidensialligi sinflarining ierarxiyasi.
3. Foydalanishni mandatli cheklashda obyekt va subyekt-
laming tasnifiy alomatlari.
4. Ma’lumotlar bazasini boshqarish tizimida Bell-LaPadula
qoidasini qoilash misolini tushuntiring.
54
2.4. Rolli model asosida ma’lumotlar bazasidan foydalanishni
cheklashni tashkil etish
Foydalanishni cheklashning rolli modeli (Role - Based Access
Control) foydalanishni cheklashning diskresion siyosatining rivoji
hisoblanadi. Tizim subyektlarining obyektlardan foydalanish qoida-
lari ulamirig o‘ziga xos xususiyatlarini hisobga oigan holda guruh-
lanadi, ya’ni rollar hosil qilinadi.
Bunda ushbu model qoidalari
qat’iy aniqlangan axborot qiymati panjarasi asosida qurilgan man-
datli model qoidalariga nisbatan moslashuvchanroq hisoblanadi.
Rolli modelda “subyekt” tushunchasi “foydalanuvchi” va “rol” tu-
shunchalari bilan almashtiriladi. Foydalanuvchi - tizim bilan ish-
lovchi va ma’lum xizmat vazifalarini bajaruvchi inson. Rol -
tizimda harakatlanuvchi abstrakt tushuncha boiib, u bilan maium
faoliyatni amalga oshirish uchun zarur boMgan vakolatlaming chek-
langan, mantiqiy bog‘langan naborí bogiiq. Rolli siyosatdan foyda-
lanib foydalanishni boshqarish ikki bosqichda amalga oshiriladi.
Birinchi bosqichda har bir rol uchun obyektlardan foydalanish hu-
quqlar naborini ifodalovchi vakolatlar naborí belgilanadi. Ikkínchi
bosqichda har bir foydalanuvchiga uning qoiidan keladigan rollar
ro‘yxati belgilanadi.
Foydalanishni rolli cheklashli foydalanishni cheklash qism ti-
zimida foydalanuvchilar axborotdan
foydalanish huquqini boshqa
foydalanuvchilarga uzata olmaydilar. Bu foydalanishni rolli chek
lashning foydalanishni diskresion va mandatli cheklashlardan asosiy
farqi hisoblanadi.
Foydalanishni roili cheklashda rol vakolatlarini taqsimlash
(diskresion foydalanishdan farqli holda) xavfsizlik ma’muriga bog‘-
liq boimay, tashkilotda va muayyan MBBTda qabul qilingan xavf
sizlik siyosatiga bogiiq boiadi. Rol degonda foydalanuvchi yoki
foydalanuvchilar guruhi tashkilot miqyosida bajaradigan harakatlar
to'plami tushunilishi mumkin. Rol tushunchasi vazifalar, mas’u-
Iiyatlar va malakalar tavsifmi o‘z ichiga oladi. Vazifalar rollar bo‘-
yicha MBBT xavfsizlik ma’muri tomonidan taqsimlanadi. Foy-
dalanuvchining roldan foydalanishi ham ushbu ma’mur tomonidan
aniqlanadi.
55
Foydalanishni cheklashning rolli xili foydalanishni abstraktsiya
va tashkilotda ishlatiluvchi subyektlar va obyektlaming tavsifi sathi-
da nazoratlashni ko‘zda tutadi. Agar foydalanishni cheklash qism-
tizimi foydalanishni rolli cheklash asosida qurilgan boMsa, rollami
qo‘shish va yo‘q qilish murakkab bo‘lmagan jarayonga aylanadi.
Shunday qilib, foydalanishni rolli cheklash xavfsizlik ma’muriga
diskresion foydalanishda ishlatiluvchi an’anaviy foydalanishni
nazoratlash ro‘yxatiga nisbatan yuqoriroq sathli abstraktsiyalar bilan
ish ko‘rishiga imkon beradi.
Foydalanishni rolli cheklash asosidagi
xavfsizlik siyosatlari
foydalanuvchilar, rollar, amallar va himoyalanuvchi obyektlar
atamalarida tavsiflanadi (2.9-rasm).
2.9-rasm. Foydalanishni rolli cheklashda maiumotlar bazasida
saqlanuvchi axborotdan foydalanuvchilami foydalanish mexanizmi.
Foydalanishni rolli cheklashli himoyalanuvchi obyekt ustida
biror-bir amalni bajarish uchun foydalanuvchi qandaydir rolni
bajarishi iozim. Foydalanuvchi ushbu rolni bajarishdan oldin MBBT
xavfsizligi ma’muri tomonidan ushbu rol uchun avtorizatsiyalangan
boiishi shart. Shunday qilib, foydalanishni rolli cheklash ma’murga
roldagi avtorizatsiyaga, rolni faollashtirishga, amallami bajarishga
cheklashlami o‘matish qobiliyatini bag‘ishlaydi.
Rol laming taqdim etilishi, kompyuter tizimlaridan foydala
nuvchilar uchun foydalanishni cheklashning
aniqroq va tushunarli
qoidalarini aniqlashga imkon beradi. Bunda foydalanishni rolli
cheklash foydalanuvchilaming vakolatlari va majburiyatlari doirasi
aniq belgilangan kompyuter tizimlarida samarali ishlatiladi.
Rol deganda kompyuter tizimi obyektlaridan foydalanish
huquqlari majmui tushuniladi. Ammo foydalanishni rolli cheklash
foydalanishni diskresion cheklashning xususiy holi hisoblanmaydi,
chunki foydalanishni rolli cheklash qoidalari kompyuter tizimi
subyektlariga foydalanish huquqlarini taqdim etish tartibini vaqtning
56
har bir onida, uning ishlash sessiyasi va undagi mavjud yoki mavjud
boimagan rollarga bogiiq holda belgilaydi. Bu esa foydalanishni
mandatli cheklash tizimiga xos. Shu bilan birga foydalanishni rolli
cheklash qoidalari foydalanishni mandatli cheklash qoidalariga
nisbatan moslanuvchan hisoblanadi. Ma’lumki, foydalanishni man
datli cheklash qoidalari qat’iy belgilangan
axborot muhimligi pan-
jarasi (shkalasi) aso sida tuziladi.
Foydalanishni rolli cheklashning bazaviy modelining asosiy
elementlari quyidagilar:
U - foydalanuvchilar to‘plami;
R - rollar to‘plami;
P - kompyuter tizimi obyektlaridan foydalanish xuquqlari to‘p-
lami;
S - foydalanuvchilar sessiyalari to‘plami;
PA: R -> 2r - har bir rol uchun foydalanish huquqlarini belgi-
lovchi funksiya; bunda har bir peP uchun shunday reR mavjudki,
pePA (r);
UA: U
—>
2R - har bir foydalanuvchi uchun, u avtorizat-
siyalanishi mumkin boMgan rollar to‘plamini belgilovchi funksiya;
user: S -> U — nomi orqali faollashgan har bir sessiya uchun
foydalanuvchini belgilovchi funksiya;
roles: S
->
2R - muayyan sessiyada avtorlzatsiyalangan foyda
lanuvchi uchun rollar to‘plamini belgilovchi funksiya; bunda vaqt-
ning har onida har bir seS uchun roles(S)< UA(user(S)) sharti
bajariladi.
Bir sessiya mobaynida foydalanuvchi avtorizatsiyalanadigan
rollar to‘plami foydalanuvchining o‘zi
tomonidan modifikatsi-
yalanadi. Foydalanishni rolli cheklashda bir sessiya tomonidan
ikkinchi sessiyani faollashtirish mexanizmi mavjud emas. Barcha
sessiyalar foydalanuvchi tomonidan faollashtiriladi. Foydalanuvchi
avtorizatsiyalanishi mumkin boMgan yoki u-bir sessiya mobaynida
avtorizatsiyalanuvchi rollar to‘plamiga qo‘yiladigan cheklashlar
foydalanishni rolli cheklash bazaviy modelining muhim mexanizmi
hisoblanadi. Ushbu mexanizm foydalanishni rolli cheklashni keng
qo‘llashga ham zarur, chunki u kompyuter tizimlarida axborotni
ishlash texnologiyalariga yuqori muvofíqlikni ta’minlaydi.
57
Foydalanishni rolli cheklashning bazaviy modelida U, R, P
to‘plamlari va PA, UA fimksiyalari vaqt mobaynida o‘zgarmaydi
yoki ushbu to‘plamlar va funksiyalami o‘zgartirishga imkon taqdim
etuvchi yagona rol - “xavfsizlik ma’muri”
mavjud deb faraz qili-
nadi. Yuzlab va minglab foydalanuvchilar bir vaqtda ishlovchi real
kompyuter tizimlarida rollar strukturasi va foydalanish huquqlari ju-
da murakkab bo‘lishi mumkin, ya’ni ma’murlash muammolari o‘ta
muhim masala hisoblanadi. Ushbu masalani yechish uchun foydala
nishni rotli cheklashning bazaviy modeli asosida qurilgan foyda
lanishni rolli cheklashni ma’murlash modeli ko‘riladi.
Foydalanishni rolli cheklashning bazaviy modeli strukturasi
2.10-rasmda keltirilgan.
i
ROLLAR
;
•■j IERARXIYASI i"
I
*
Dostları ilə paylaş: