S. K. Ganiyev, A. A. Ganiyev, D. Y. Irgasheva ma’lumotlar bazasi xavfsizligi
Yüklə 13,28 Kb. Pdf görüntüsü
|
| mír&Xvéífa..*
...... ,n. 7i i. ' I 2.6-rasm. Foydalanishni mandatli cheklashli foydalanishni cheklash qismtizimining modeli. Ma’ lumotlar xavfsizligi modelining yuqoriroq sathlarida foy- dalanuvchining axborotni ishlashi bo‘yicha vakolatlari tizimi aniqlanadi (2.7-rasm). Agar subyekt sinfi o‘zidagidek yoki yoziluvchi obyektdan past bo‘lgan holdagina subyektga obyektga yozish huquqiga ega boiishi imkoniyatini beruvchi himoya tizimining xususiyati -xususiyat (sigma-jcususiyat) deb yuritiladi. -xususiyatning amalga oshirilishi misoli 2 .8-rasmda keltirilgan. 52 Xavfsizlikning j engyuqori ___ . darajasi | Ko‘p ma’nolik darajasi Belgilangan vakolatlar darajasi Belgilangan foydalanish darajasi (ishchi guruhga yoki stmkturaviy bo'limga taalluqliligi) Foydalanuvchining e’timodliligi (dopusk shakli) Axborot kategoriyasi Axborotning konfidensiallik sinfi ierarxiyasi Ma’lumotlami ishlashda himoyalash darajasi MFlümotïârdan foydalanishda himoyalash darajasi 2.7-rasm. Foydalanishni mandatli cheklashda obyekt va subyektlaming tasnifiy alomatlari. 2.8-rasm, Bell-LaPadula qoidalarini qo‘llash misoli. Jadvaldagi ma’lumotlar konfidensiallik darajasi kamayishi tartibida saralangan. “S” dopuskli jarayon ma’lumotlami faqat mos yoki konfidensiallikning yuqoriroq sinfli kortej larga yozishi 53 mumkin, o‘qish esa faqat mos yoki konfidensiallikning pastroq sinfli kortejlardan amalga oshirilishi mumkin. Bell-LaPadula prinsipining amalga oshirilishi bitta jadvalning o‘zi uchun himoyaning bir necha sathlarini madadlash talabi bilan bog‘liq. Bu esa MBBTning barqarorligini, ishonchliligini va bosh- qariluvchanligini bir muncha pasayishiga olib keladi. Yanada murakkab tasniflovchi to‘plamlami kiritish yoii bilan mandatli modellami kuchaytirish bo‘yicha ishlar ham maium. Bu to‘plamlar, xususan, MLS-panjaralar deb ataluvchi tematik klassi- fikator-rubrikatorlardan (deskriptorli, ierarxik, fasetli) foydalanishga asoslangan tematik jihatni nazarda tutadi. Ammo MLS-panjarali modellar dastlabki mandatli modellaming mohiyatini o‘zgartir- maydi. Xususan, aksariyat hollarda foydalanish subyektlari va obyektlarining tasnifini aniqlash va o‘zgartirish jarayonlarini qat’iy belgilamaydi. Keng ma’noda esa foydalanish subyektlarini aniqlash jarayonlarini hamda ko‘p uchraydigan foydalanishlami (bitta subyekt - bir vaqtning o‘zida bir nechta obyektlardan, bir nechta subyekt bir vaqtning o‘zida bitta obyektdan) qat’iy belgilamaydi. Undan tashqari, mandatli modellar MBBTdagi obyektlar tizimi strukturasini hisobga olmaydi va ularga konfidensiallikka (maxfiy- likka) nisbatan chiziqii tartibda qamrab olingan obyektlar to‘plami sifatida qaraydi. MBBTda mandatli modellami qoilash natijasida ma’lumotlami tashkil etishning va ulardan foydalanishni chek- lashning yagona mexanizmi ta’minlanmaydi. Nazorat savollari 1. Foydalanishni mandatli cheklash mohiyatini tushuntiring. 2. Ma’lumotlar konfidensialligi sinflarining ierarxiyasi. 3. Foydalanishni mandatli cheklashda obyekt va subyekt- laming tasnifiy alomatlari. 4. Ma’lumotlar bazasini boshqarish tizimida Bell-LaPadula qoidasini qoilash misolini tushuntiring. 54 2.4. Rolli model asosida ma’lumotlar bazasidan foydalanishni cheklashni tashkil etish Foydalanishni cheklashning rolli modeli (Role - Based Access Control) foydalanishni cheklashning diskresion siyosatining rivoji hisoblanadi. Tizim subyektlarining obyektlardan foydalanish qoida- lari ulamirig o‘ziga xos xususiyatlarini hisobga oigan holda guruh- lanadi, ya’ni rollar hosil qilinadi. Bunda ushbu model qoidalari qat’iy aniqlangan axborot qiymati panjarasi asosida qurilgan man- datli model qoidalariga nisbatan moslashuvchanroq hisoblanadi. Rolli modelda “subyekt” tushunchasi “foydalanuvchi” va “rol” tu- shunchalari bilan almashtiriladi. Foydalanuvchi - tizim bilan ish- lovchi va ma’lum xizmat vazifalarini bajaruvchi inson. Rol - tizimda harakatlanuvchi abstrakt tushuncha boiib, u bilan maium faoliyatni amalga oshirish uchun zarur boMgan vakolatlaming chek- langan, mantiqiy bog‘langan naborí bogiiq. Rolli siyosatdan foyda- lanib foydalanishni boshqarish ikki bosqichda amalga oshiriladi. Birinchi bosqichda har bir rol uchun obyektlardan foydalanish hu- quqlar naborini ifodalovchi vakolatlar naborí belgilanadi. Ikkínchi bosqichda har bir foydalanuvchiga uning qoiidan keladigan rollar ro‘yxati belgilanadi. Foydalanishni rolli cheklashli foydalanishni cheklash qism ti- zimida foydalanuvchilar axborotdan foydalanish huquqini boshqa foydalanuvchilarga uzata olmaydilar. Bu foydalanishni rolli chek lashning foydalanishni diskresion va mandatli cheklashlardan asosiy farqi hisoblanadi. Foydalanishni roili cheklashda rol vakolatlarini taqsimlash (diskresion foydalanishdan farqli holda) xavfsizlik ma’muriga bog‘- liq boimay, tashkilotda va muayyan MBBTda qabul qilingan xavf sizlik siyosatiga bogiiq boiadi. Rol degonda foydalanuvchi yoki foydalanuvchilar guruhi tashkilot miqyosida bajaradigan harakatlar to'plami tushunilishi mumkin. Rol tushunchasi vazifalar, mas’u- Iiyatlar va malakalar tavsifmi o‘z ichiga oladi. Vazifalar rollar bo‘- yicha MBBT xavfsizlik ma’muri tomonidan taqsimlanadi. Foy- dalanuvchining roldan foydalanishi ham ushbu ma’mur tomonidan aniqlanadi. 55 Foydalanishni cheklashning rolli xili foydalanishni abstraktsiya va tashkilotda ishlatiluvchi subyektlar va obyektlaming tavsifi sathi- da nazoratlashni ko‘zda tutadi. Agar foydalanishni cheklash qism- tizimi foydalanishni rolli cheklash asosida qurilgan boMsa, rollami qo‘shish va yo‘q qilish murakkab bo‘lmagan jarayonga aylanadi. Shunday qilib, foydalanishni rolli cheklash xavfsizlik ma’muriga diskresion foydalanishda ishlatiluvchi an’anaviy foydalanishni nazoratlash ro‘yxatiga nisbatan yuqoriroq sathli abstraktsiyalar bilan ish ko‘rishiga imkon beradi. Foydalanishni rolli cheklash asosidagi xavfsizlik siyosatlari foydalanuvchilar, rollar, amallar va himoyalanuvchi obyektlar atamalarida tavsiflanadi (2.9-rasm). 2.9-rasm. Foydalanishni rolli cheklashda maiumotlar bazasida saqlanuvchi axborotdan foydalanuvchilami foydalanish mexanizmi. Foydalanishni rolli cheklashli himoyalanuvchi obyekt ustida biror-bir amalni bajarish uchun foydalanuvchi qandaydir rolni bajarishi iozim. Foydalanuvchi ushbu rolni bajarishdan oldin MBBT xavfsizligi ma’muri tomonidan ushbu rol uchun avtorizatsiyalangan boiishi shart. Shunday qilib, foydalanishni rolli cheklash ma’murga roldagi avtorizatsiyaga, rolni faollashtirishga, amallami bajarishga cheklashlami o‘matish qobiliyatini bag‘ishlaydi. Rol laming taqdim etilishi, kompyuter tizimlaridan foydala nuvchilar uchun foydalanishni cheklashning aniqroq va tushunarli qoidalarini aniqlashga imkon beradi. Bunda foydalanishni rolli cheklash foydalanuvchilaming vakolatlari va majburiyatlari doirasi aniq belgilangan kompyuter tizimlarida samarali ishlatiladi. Rol deganda kompyuter tizimi obyektlaridan foydalanish huquqlari majmui tushuniladi. Ammo foydalanishni rolli cheklash foydalanishni diskresion cheklashning xususiy holi hisoblanmaydi, chunki foydalanishni rolli cheklash qoidalari kompyuter tizimi subyektlariga foydalanish huquqlarini taqdim etish tartibini vaqtning 56 har bir onida, uning ishlash sessiyasi va undagi mavjud yoki mavjud boimagan rollarga bogiiq holda belgilaydi. Bu esa foydalanishni mandatli cheklash tizimiga xos. Shu bilan birga foydalanishni rolli cheklash qoidalari foydalanishni mandatli cheklash qoidalariga nisbatan moslanuvchan hisoblanadi. Ma’lumki, foydalanishni man datli cheklash qoidalari qat’iy belgilangan axborot muhimligi pan- jarasi (shkalasi) aso sida tuziladi. Foydalanishni rolli cheklashning bazaviy modelining asosiy elementlari quyidagilar: U - foydalanuvchilar to‘plami; R - rollar to‘plami; P - kompyuter tizimi obyektlaridan foydalanish xuquqlari to‘p- lami; S - foydalanuvchilar sessiyalari to‘plami; PA: R -> 2r - har bir rol uchun foydalanish huquqlarini belgi- lovchi funksiya; bunda har bir peP uchun shunday reR mavjudki, pePA (r); UA: U —> 2R - har bir foydalanuvchi uchun, u avtorizat- siyalanishi mumkin boMgan rollar to‘plamini belgilovchi funksiya; user: S -> U — nomi orqali faollashgan har bir sessiya uchun foydalanuvchini belgilovchi funksiya; roles: S -> 2R - muayyan sessiyada avtorlzatsiyalangan foyda lanuvchi uchun rollar to‘plamini belgilovchi funksiya; bunda vaqt- ning har onida har bir seS uchun roles(S)< UA(user(S)) sharti bajariladi. Bir sessiya mobaynida foydalanuvchi avtorizatsiyalanadigan rollar to‘plami foydalanuvchining o‘zi tomonidan modifikatsi- yalanadi. Foydalanishni rolli cheklashda bir sessiya tomonidan ikkinchi sessiyani faollashtirish mexanizmi mavjud emas. Barcha sessiyalar foydalanuvchi tomonidan faollashtiriladi. Foydalanuvchi avtorizatsiyalanishi mumkin boMgan yoki u-bir sessiya mobaynida avtorizatsiyalanuvchi rollar to‘plamiga qo‘yiladigan cheklashlar foydalanishni rolli cheklash bazaviy modelining muhim mexanizmi hisoblanadi. Ushbu mexanizm foydalanishni rolli cheklashni keng qo‘llashga ham zarur, chunki u kompyuter tizimlarida axborotni ishlash texnologiyalariga yuqori muvofíqlikni ta’minlaydi. 57 Foydalanishni rolli cheklashning bazaviy modelida U, R, P to‘plamlari va PA, UA fimksiyalari vaqt mobaynida o‘zgarmaydi yoki ushbu to‘plamlar va funksiyalami o‘zgartirishga imkon taqdim etuvchi yagona rol - “xavfsizlik ma’muri” mavjud deb faraz qili- nadi. Yuzlab va minglab foydalanuvchilar bir vaqtda ishlovchi real kompyuter tizimlarida rollar strukturasi va foydalanish huquqlari ju- da murakkab bo‘lishi mumkin, ya’ni ma’murlash muammolari o‘ta muhim masala hisoblanadi. Ushbu masalani yechish uchun foydala nishni rotli cheklashning bazaviy modeli asosida qurilgan foyda lanishni rolli cheklashni ma’murlash modeli ko‘riladi. Foydalanishni rolli cheklashning bazaviy modeli strukturasi 2.10-rasmda keltirilgan. i ROLLAR ; •■j IERARXIYASI i" I * Yüklə 13,28 Kb. Dostları ilə paylaş:
|