S. K. Ganiyev, A. A. Ganiyev, D. Y. Irgasheva ma’lumotlar bazasi xavfsizligi
Yüklə 13,28 Kb. Pdf görüntüsü
|
| Nazorat savollari
1. Muloqot tillari bo‘yicha qanday MBBTlar farqlanadi? 2. Arxitekturadagi sathlar soni bo'yicha qanday MBBTlar farqlanadi? 3. Ma’lumotlar bazasini boshqarish tizimi quwati bo‘yicha qanday MBBTlar farqlanadi? 4. Bitta odam foydalanuvchi va korporativ MBBTlarining qiyosiy xarakteristikalari. 13. Ma’lumotlar bazasi xavfsizligining texnologik jihatlari Yuqorida keltirilgan xavfsizlik síyosatiari va modellarining ham- da himoyalangan ma’lumotlar bazasini qurishning va ishlashining aksiomatik prinsiplarini amalga oshirilishi quyidagi yo‘nalishlar bo‘yicha guruhlash mumkin bo‘lgan qator dasturiy - texnologik masalalami yechish zaruriyatini keltirib chiqaradi: - identifikatsiya va autentifikatsiya texnologiyalari; - ma’lumotlar bazasi xavfsizligi tillari; 22 - obyektlardan takroran foydalanish xavfsizligini ta’minlash texnologiyalari; - ishonchli loyihalash va ma’murlash texnologiyalari. 1.3.1. Identiflkatsiya va autentifikatsiya texnologiyalari Identifikatsiya va autentifikatsiya texnologiyalari himoyalan- gan tizimning majburiy elementi hisoblanadi, chunki u subyektlami personalizatsiyalashning aksiomatik prinsipini ta’minlaydi va nati- jada kompyuter tizimlarida axborotni himoyalashning birinchi (dast- labki) dasturiy - texnik chegarasini amalga oshiradi. Identifikatsiya deganda subyektlami, obyektlami, jarayonlami nomlari bilan ifodalanuvchi obrazlari bo‘yicha farqlash tushuniladi. Autentifikatsiya deganda identifikatsiyalangan subyektlar, ob- yektlar, jarayonlar obrazining haqiqiyligini tekshirish va tasdiqlash tushuniladi. Sistemotexnik jihatdan identifikatsiya/autentifikatsiya tizimi strukturasini 1.7-rasmda keltirilgan sxema orqali tasvirlash mumkin. Tizimda identiflkatsiyalash/autentifikatsiyalash obyekti xavf- sizlik monitori tomonidan ro‘yxatga olinganda uning obrazi shakl- lanadi. Ushbu obraz bo‘yicha axborot kriptografik o‘zgartiriladi va tizimda faqat xavfsizlik monitori foydalana oluvchi resurs ko‘ri- nishida saqlanadi. Shu tariqa identifikatsiya/autentifikatsiya obyekt- lari ichki obrazlarining axborot massivlari shakllanadi. Keyinchalik identifikatsiyalashda/autentifikatsiyalashda obyekt o‘zining obrazi xususidagi axborotni axborot eltuvchi kanal orqali xavfsizlik monitoriga o'zgartirish uchun uzatadi. 0 ‘zgartirish nati- jasi ro‘yxatga olingan mos ichki obraz bilan taqqoslanadi. Ulaming mosligida obyektning aniq langanligi (identifikatsiyalanganligi) va haqiqiyligi (autentifikatsiyalanganligi) xususida qaror qabul qili- nadi. 23 1.7-rasm. Identifikatsiya / autentifikatsiyaning sxemotexnik jihati. Identifíkatsiya/autentifikatsiya obyektlari ichki obrazining ax- borot massivi tizimning jiddiy resursi hisoblanadi va undan rux- satsiz foydalanish butun xavfsizlik tizimini obro‘siz!antiradi. Shu- ning uchun undan ruxsatsiz foydalanishga yo‘I qo‘ymaslikning barcha choralaridan tashqari axborot massivining o‘zi shifrlangan bo‘ lishi lozim. Umuman, kompyuter tizimlarida subyektlarni (foydalanuvchi- lami) identifikatsiyalash/autentifikatsiyalash uchun ulaming biomet- rik parametrlari (barmoq izlari, qo‘l panjasining geometrik shakli, yuzning shakli va oichamlari, ko‘z yoyi va to‘r pardasining naqshi, ovoz xususiyatlari va h.) yoki maxsus qurilmalar (smart-kartalar, magnit kartalar va h.) ishlatilishi mumkin. Ammo bevosita kompyu te r tizimidan (ma’Iumotlar bazasidan) foydalanilganda, ko‘pincha identifikatsiya/autentifikatsiyaning parol tizimi ishlatiladi. Parol tizimlari autentifikatsiyalash onida foydalanuvchi tomo- nidan maxsus maxfiy (faqat haqiqiy foydalanuvchiga ayon) so‘zni yoki simvollar naborini-parolni taqdim etishga asoslangan. Parol foydalanuvchi tomonidan klaviaturadan kiritiladi, kriptografik o‘z- gartiriladi va o‘zining tizimdagi' shifrlangan nusxasi bilan taq- 24 qoslanadi. Tashqi va ichki parol identifikatori mos kelganda mos subyektni aniqlash va haqiqiyligini tasdiqlash amalga oshiriladi. Parol tizimlari oddiy, ammo parollami to‘g‘ri tanlash va foyda- lanish sharoitida, xususan, foydalanuvchilar parollami so‘zsiz yashi- rincha saqlashlari sharoitida, autentifikatsiyalashning yetarlicha ishonchli vositasi hisoblanadi. Shu sababli parol tizimlari keng tarqalgan. Parol tizimlarining asosiy kamchiligi autentifikatoming sub- yekt-eltuvchidan ajralganligi. Natijada parol u yoki bu usul bilan qonuniy foydalanuvchidan olinishi yoki klaviaturadagi nabordan mo‘ralanishi, tizimga kirish yo‘lida u yoki bu usul bilan ushlab qolinishi va tizimga niyati buzuq tomonidan taqdim etilishi mumkin. Shu sababli ba’zi hollarda parol tizimlari kollektiv niurojaat tizimi bilan kuchaytirilishi mumkin. Kollektiv murojaat tizimida autentifikatsiyani tizimda ro‘yxatga olingan barcha foydalanuvchilar birdaniga o‘tishlari shart. Boshqacha aytganda, foydalanuvchilar yakka holda tizimda ishlay olmaydilar. Niyati buzuq tomonidan birdaniga barcha parollami saralash, ushlab qolish va h. ehtimolligi juda kam, demak, bunday autentifikatsiya tizimining ishonchliligi yuqori. Taqsimlangan axborot tizimlarida obyektlami (resurslami, qurilmalami) hamda jarayonlami (so‘rovlami, paketlami va h.) autentifikatsiyalash lozim. Autentifikatsiyalangan (haqiqiy) foydala- nuvchi tizim obyektlariga murojaat etish jarayonida, o‘z navbatida, ulaming haqiqiy ekanligiga ishonch hosil qilishi lozim. Jarayonlami autentifikatsiyalashda belgi (deskriptor) texnolo- giyalari keng tarqalgan. Foydalanishning belgi yoki deskriptor texnologiyasi xavfsizlikning bir sathli va ko‘p sathli modellarining birikmasini aks ettiradi va tizim ma’muri tomonidan ma’lumotlar bazasining barcha obyekt va subyektlariga foydalanishning maxsus deskriptorlarini berishga asoslangan. Foydalanishning deskriptori tarkibida konfidensiallik sathi parametrlarining, joiz amallaming, foydalanish obyektlari yoki subyektlarining joiz nomlarining va foydalanishning boshqa shartlarining nabori bo‘ladi. Foydalanish subyekti o‘zining deskriptoriga (belgisiga) binoan ruxsat etilgan ja- rayonni boshlab, unga o‘zining foydalanish belgisini uzatadi. 25 MBBT xavfsizlik yadrosi jarayon belgisini foydalanuvchi - subyektning foydalanish belgisi bilan taqqoslab, jarayon belgisining haqiqiyligini tekshiradi, ijobiy natijada jarayonning foydalanish bel gisi obyektining foydalanish belgisi bilan taqqoslanadi. Agar jara yonning va obyektning foydalanish deskriptorlari bir-biriga mos kelsa, xavfsizlik monitori foydalanishga, ya’ni jarayonni (amalni) amalga oshirishga ruxsat beradi. Belgilaming haqiqiyligini tekshirish uchun tizimda maxsus yozuvlarni qayd etish fayli (massivi) shakllantiriladi. Yangi foyda- ianuvchini ro‘yxatga olishda uning uchun tarkibida uning identifi- katsiya nomeri (identifikatori), parol autentifikatori va ma’lumotlar bazasi obyektlaridan foydalanish deskriptorlari nabori (foydalanish belgisi) bo‘lgan qaydlash yozuvi yaratiladi. Foydalanuvchi (sub- yekt) ma’lupiotlar bazasida qandaydir jarayonni boshlab, unga o‘zi- ning foydalanish belgisini uzatganida, MBBT xavfsizligi yadrosi jaráyon belgisini kriptografik o‘zgartiradi, uni qaydlash yozuvlari massividagi mos subyektga (foydalanuvchiga) tegishli shifrlangan belgi bilan taqqoslaydi va belgining haqiqiyligi xususida qaror qabul qiladi. Qaydlash yozuvi massivi, o‘z navbatida, tizimdagi yuqori darajali konfidensiallikka ega obyekt hisoblanadi va undan faqat ma’mur foydalanishi mumkin. Butun tizimning xavfsizligi uchun qaydlash yozuvlari massivining nihoyatda muhimligi tufayli, uni shifrlashdan tashqari qo‘shimcha qator choralar ko‘riladi, xususan, uni joylashtirish, uning yaxlitligini tekshirishning maxsus rejimlari. Shunday qilib, hozirda himoyalangan kompyuter tizimlarida identifikatsiya/autentifikatsiya texnologiyasining rivojlangan nabori ishlab chiqilgan va ishlatiladi. Shuning bilan birga, xavfsizlikning asosiy raxnalarini niyati buzuq aynan shu yo‘nalishda topadi. 1.3.2. Ma’lumotlar bazasi xavfsizligi tillari Kompyuter tizimining ma’lumotlar bazasini loyihalashda foydalanishning muayyan vazifalarini yoki foydalanish qoidalari va cheklashlarini o‘matish hamda foydalanishni cheklash tizimini boshqarish maqsadida tizim ma’muriga maxsus vosita zarur. Bunday vosita foydalanishning u yoki bu vazifalarini va muayyan 26 kompyuter tizimida xavfsizlik siyosatining boshqa zarur yoi- yo‘riqlarini tavsiflash va o‘matishga imkon beruvchi maium tilgâ asoslanishi lozim. Ma’lumotlar bazasining ichki sxemasidan ko‘rinib turibdiki, ma’lumotlar bazasini boshqarish tizimining asosiy vazifasi-maiu- motlami joylashtirish va ulami tashqi (diskli) xotira va asosiy xotira orasida almashishning xususiy tizimini yaratish va madadlash. Har bir muayyan MBBT tomonidan ushbu vazifani (ma’lumotlar fayllarining formati, indekslash, xeshlash va buferlash) samarali amalga oshirilishi butun MBBTning samarali ishlashini ta’minlaydi. Shu sababli, 60-yillar oxiri va 70-yillar boshidagi dastlabki MBBT yaratuvchilarining asosiy kuchlari ayrian ushbu yo‘nalishga qara- tilgan edi. Natijada ma’lumotlami kiritish, ishlash yoki chiqarish bo‘yicha har qanday funksiyalami amalga oshirish uchun yuqori darajali algoritmik tillarida (70-yillar FORTRAN, KOBOL va h.) maxsus dasturlami yaratuvchi, maiumotlar strukturasini tashqi va asosiy xotirada joylashtirish usullarining xususiyatlarini “biluvchi” malakali dasturchilar talab etilar edi. Oqibatda, maiumotlar bazasi bilan ishlash foydalanuvchining axborotga boigan ehtiyojini mashina kodiga “o ‘tkazuvchi” yuqori malakali dasturchi - vositachi orqali amalga oshirilar edi (1.8-rasm). 1.8-rasm. Ilk MBBTlarda foydalanuvchilaming maiumotlar bazasi bilan o‘zaro aloqasi. Bunday vaziyat avtomatlashtirilgan axbôrot tizimini yaratîshda va ekspluatatsiyasida katta qo'shimcha xarajatlarga olib keldi hamda korxona va tashkilot faoliyatidagi axborot ta’minoti jarayonlarida hisoblash texnikasining tarqalishini maium darajada to‘x.tatdi. Axborot ehtiyojlari Yüklə 13,28 Kb. Dostları ilə paylaş:
|